GDPR sito web: Come adeguarlo correttamente alla normativa?
GDPR Sito Web

GDPR sito web: Come adeguarlo correttamente alla normativa?

  • Post category:Blog

Come posso adeguare il mio sito web alla normativa GDPR per essere in regola?
Questa è una domanda che si pongono i proprietari di siti web da molto tempo, più nello specifico, dal 25 maggio 2018, quando è entrata ufficialmente in vigore la normativa GDPR per la regolamentazione del trattamento dei dati personali degli utenti che visitano i siti web.

Voglio partire con una premessa: non sono un avvocato, quindi non sarò in grado di entrare nello specifico, ma sono ufficialmente un partner certificato di Iubenda.
Iubenda è un team di avvocati ed esperti del settore che gestiscono il servizio di privacy e cookie policy più importante e conosciuto in Italia.

Usando moltissimo questo servizio, ho fatto un percorso per poter essere riconosciuto ufficialmente come partner studiando molto bene ogni singolo aspetto per poter adeguare correttamente un sito web.

In questo articolo, come partner certificato di Iubenda, voglio darti alcune informazioni su quello che devi fare per essere in regola con la normativa GDPR.

GDPR: Che cos’è?

Ma partiamo dall’inizio. Che cos’è il GDPR?
Il GDPR è la regolamentazione generale sul trattamento dei dati personali entrata ufficialmente in vigore il 25 maggio 2018.
Questa regolamentazione ha effetto su qualsiasi attività sia offline che online, ma in questo articolo andremo a coprire solo la parte online.
I siti web devono rispettare alcuni obblighi imposti dalla legge. Il mancato rispetto di questi obblighi porta a sanzioni non indifferenti.

Adeguamento sito GDPR: Privacy Policy e Cookie Policy

Come adeguare il sito web al GDPR?
Le due parti più importanti per adeguare in modo corretto il tuo sito web sono la privacy policy e la cookie policy.

La Privacy Policy

La privacy policy del tuo sito web deve contenere alcuni elementi fondamentali tra cui:

• le tipologie di dati personali trattati;
• le basi giuridiche del trattamento;
• le finalità e le modalità del trattamento;
• i soggetti ai quali i dati personali possono essere comunicati;
• l’eventuale trasferimento dei dati al di fuori dell’Unione Europea;
• i diritti dell’interessato;
• gli estremi identificativi del titolare.

La Cookie Policy

La cookie policy descrive in particolare le diverse tipologie di cookie installati attraverso il sito, le eventuali terze parti cui questi cookie fanno riferimento (incluso un link ai rispettivi documenti e moduli di opt-out) e le finalità del trattamento.

Non è possibile utilizzare documenti generici in quanto l’informativa deve descrivere in dettaglio il trattamento dati effettuato dal proprio sito web, elencando anche tutte le tecnologie di terza parte utilizzate (es. pulsanti Like di facebook o mappe di Google Maps).

E se non tratto dati? Devo adeguarmi al GDPR?

E’ molto difficile che il tuo sito non tratti alcun tipo di dato. Basta semplicemente un form di contatto oppure il collegamento con Google Analytics per avere l’obbligo di adeguarsi al GDPR.

GDPR per sito web: La Cookie Law

Oltre alla privacy policy e alla cookie policy esiste anche un terzo elemento molto importante che ha fatto discutere parecchie persone addette ai lavori in ambito web, ovvero la cookie law. Ma che cos’è di preciso?

La cookie law è una legge che obbliga ogni sito web a mostrare all’utente, durante la sua prima visita, un banner dove si informa che il sito utilizza cookie e dove l’utente può dare il consenso prima che questi cookie vengano installati sul suo browser.

Ma facciamo un passo indietro, cercherò di spiegare meglio il tutto.
Per prima cosa, che cos’è un cookie?

Un cookie è un file che viene salvato sul browser del tuo dispostivo e che memorizza alcune tue informazioni che possono essere utili per le visite successive del sito web. Tutti i siti web utilizzano cookie, ma bisogna fare due distinzioni.
Bisogna distinguere i cookie necessari dai cookie di terze parti (non necessari).

Cookie necessari

I cookie necessari, sono cookie indispensabili per il corretto funzionamento del sito. Non memorizzano alcun tipo di informazione personale e quindi, per questo motivo, non serve alcun consenso da parte dell’utente per poterli utilizzare.

Cookie di terze parti (non necessari)

A differenza dei cookie necessari, i cookie di terze parti non sono necessari per il corretto funzionamento del sito. Solitamente sono cookie che memorizzano informazioni sull’utente per poi intercettarlo con campagne sponsorizzate su Facebook o su Google.
Questi cookie, NON possono in nessun caso essere attivati senza che l’utente abbia prima dato il consenso tramite l’apposito banner.

Quindi, se il tuo sito utilizza cookie di terze parti, assicurati che questi vengano attivati solo dopo un consenso esplicito, altrimenti potresti avere dei problemi.
Attenzione, ho parlato di consenso “esplicito”. Cosa vuol dire?
Vuol dire che non è possibile fare in modo che l’utente possa accettare l’attivazione di questi cookie tramite uno scroll della pagina o tramite caselle di controllo già preimpostate. L’utente deve decidere di sua spontanea volontà se attivare o meno questi cookie.

Privacy GDPR sito web: I form 

Come ci dobbiamo comportare con i form presenti sul sito web?
Per qualsiasi modulo presente sul sito web, dove l’utente può inserire dei dati (form di contatto o newsletter), entra in gioco il consenso ai sensi del GDPR.
In altre parole, per ogni modulo di contatto è necessario raccogliere un consenso libero, specifico ed informato, nonché registrare una prova inequivocabile del consenso. Ma cosa vuol dire?

Significa che in ogni form deve essere presente una casella di accettazione per ogni tipo di trattamento dei dati.
Se il tuo form raccoglie dati per newsletter e marketing, dovrai avere due checkbox distinte e soprattutto non preselezionate dove a fianco sarà ben specificata la finalità del trattamento di quei dati. Una volta acquisito il contatto dell’utente dovrai anche registrare questa acquisizione dimostrando che ha accettato autonomamente i vari trattamenti dei suoi dati.

Il DPA: Contratto per nomina responsabile del trattamento

Altra cosa fondamentale è la nomina del trattamento dei dati personali.
Il proprietario del sito web è il “Titolare del trattamento dei dati personali”. Ma se il sito web viene gestito da un’altra persona come un libero professionista e una web agency?

In questo caso chi gestisce il sito, e quindi i dati personali degli utenti, diventa “Responsabile del trattamento dei dati personali”, per cui occorre stipulare un contratto di nomina del responsabile chiamato DPA (Data Processing Agreement).

GDPR siti web: In conclusione

Quindi ricapitolando, che cosa serve per rendere un sito web conforme alla normativa GDPR?

– Una privacy policy che informa quali dati vengono raccolti, come vengono trattati e dove.
– Una cookie policy dove si informa quali cookie vengono utilizzati, dove vengono trattati e le finalità del trattamento. Ogni cookie dovrà avere un link di Opt-Out per poter decidere in qualsiasi momento di revocare l’utilizzo di quei cookie.
– La cookie law, ovvero un banner che informa l’utilizzo di cookie e dove è possibile scegliere quali cookie possono attivarsi.
– Consensi ai sensi del GDPR su tutti i form presenti all’interno del sito web.
– La stipulazione di un contratto DPA per la nomina del responsabile del trattamento dei dati personali (se i dati sono gestiti da terzi e quindi non dal titolare).

GDPR e siti web: Come fare per adeguarsi?

Il discorso GDPR per i siti web non è molto semplice.
Fortunatamente arriva in nostro aiuto Iubenda.
Grazie al servizio fornito da Iubenda avrai la possibilità di adeguare il tuo sito web sotto ogni aspetto, dalla privacy policy alla cookie policy fino al consenso di attivazione dei cookie. E’ possibile utilizzare un piano gratuito ed un piano a pagamento visitando come prima cosa il sito ufficiale di Iubenda.

Ovviamente il piano gratuito ha alcuni limiti, puoi infatti aggiungere alla tua cookie policy solo 4/5 servizi.
Creare una corretta privacy policy e cookie policy non è facile, occorre che venga fatto in maniera corretta da persone che realmente conoscono il funzionamento e i servizi del loro sito web e che sanno quali dati stanno trattando.

Per qualsiasi altra informazione potete scrivermi qui sotto oppure contattarmi sulla mia pagina Facebook.

Alla prossima!

Inserisci un Commento
Condividi sui Social:

Bjorn Cavallotti

Sono Bjorn Cavallotti, abito a Biella e sono un Consulente di Web Marketing. Appassionato da sempre di web e tecnologia, aiuto privati, attività locali e liberi professionisti a migliorare la loro visibilità sul web fornendo consigli e servizi sulla base di costanti studi ed approfondimenti.