Il Regolamento Generale sulla Protezione dei Dati (GDPR) ha rivoluzionato il modo in cui le aziende trattano e proteggono i dati personali dei cittadini dell’Unione Europea. Per i siti web, infatti, è diventato obbligatorio essere a norma GDPR.

In questo articolo, esploreremo i passi fondamentali per rendere un sito web a norma GDPR, garantendo che le pratiche di raccolta e trattamento dei dati siano conformi alle disposizioni di questo regolamento.

Cosa significa essere a norma GDPR?

Essere compliant con le normative GDPR significa rispettare un insieme di requisiti specifici riguardanti la raccolta, l’uso, la conservazione e la protezione dei dati personali.

Questi requisiti includono:

  • Ottenere il consenso esplicito degli utenti prima di raccogliere i loro dati.
  • Informare gli utenti su come i loro dati verranno utilizzati.
  • Consentire agli utenti di accedere, modificare o eliminare i loro dati.
  • Proteggere i dati da accessi non autorizzati o violazioni.

Come rendere quindi il tuo sito web conforme con tali normative? Ecco la checklist degli elementi essenziali che dovresti assolutamente avere:

  1. Cookie banner
  2. Privacy policy
  3. Cookie policy
  4. Form e moduli di richiesta dati
  5. La scelta dei fornitori

1. Cookie banner

Cookie banner su Robinson Pet Shop

Il cookie banner è quella finestra rettangolare che si apre non appena entriamo in un nuovo sito. Questo banner è un elemento importante perché informa l’utente che sul sito sono presenti i cookie, la loro tipologia (tecnici, statistici, marketing, ecc) e dà la possibilità all’utente di accettare o rifiutare il loro utilizzo.

Sostanzialmente, il cookie banner è uno strumento tecnico che svolge la funzione principale di informare l’utente e bloccare preventivamente tutti i cookie che non sono tecnici. Quindi, se l’utente chiude la finestra del banner o decide di non accettare i cookie, il sito non deve rilasciare cookie statistici, di marketing o di profilazione, ovvero tutto ciò che non è strettamente tecnico.

Come faccio ad avere un cookie banner? Ci sono tanti servizi che offrono questa opportunità. Tra questi c’è Avacy, una consent management platform che consente di creare un cookie banner personalizzabile che si adatta perfettamente al design del tuo sito web e rispecchia l’immagine del tuo brand. Ti basterà seguire questa guida.

2. Privacy policy

La privacy policy, invece, fa parte di quelli che vengono chiamati “documenti legali” ed è un testo che riporta in modo esaustivo, chiaro e trasparente tutte le informazioni necessarie su come gestiamo e utilizziamo i dati raccolti sul sito web.

La privacy policy deve quindi contenere:

  1. Chi è il titolare del trattamento dei dati, ovvero il proprietario del sito web (solitamente è lui il titolare del trattamento dei dati);
  2. Quali dati vengono raccolti sul sito web;
  3. Come vengono utilizzati questi dati;
  4. Per quanto tempo i dati rimangono salvati;
  5. Per quali finalità vengono raccolti i dati;
  6. Chi può avere accesso ai dati;
  7. Come l’utente può richiedere di essere cancellato.

L’informativa sulla privacy è uno dei documenti più importanti per un sito web perché spiega esattamente cosa facciamo con i dati degli utenti, sia di chi visita semplicemente il sito web sia di chi interagisce di più, come gli acquirenti online o chi si iscrive a servizi come la newsletter.

Inoltre, è importante che questo documento sia ben visibile e accessibile da ogni pagina del sito web e in tutti i form in cui viene chiesto all’utente di inserire i propri dati personali. Spesso, all’interno dei siti, la privacy policy è nascosta tra le pagine, relegata a un piccolo link invisibile perché “…tanto nessuno la legge e occupa solo spazio!“. È chiaro che la privacy non è il contenuto principale del sito ma, per chi vuole consultarla, deve essere trovata senza difficoltà da tutti, soprattutto dal garante della privacy in fase di verifica.

Il consiglio è quello di creare una pagina dedicata alla privacy policy e inserire il link nel footer o direttamente nel cookie banner, e in tutti i moduli di richiesta dei dati.

Come faccio ad avere questi documenti legali? Come per il cookie banner, ci sono dei servizi che ci offrono la possibilità di generare questi documenti. Ad esempio Avacy crea la privacy policy in maniera automatica, rispondendo semplicemente a una serie di domande. In alternativa, è possibile inserire manualmente il testo della privacy policy nello spazio dedicato.

3. Cookie policy

La cookie policy è un documento che descrive come un sito web utilizza i cookie e altre tecnologie di tracciamento per raccogliere informazioni sugli utenti.

I cookie sono piccoli file di testo che vengono salvati sul dispositivo dell’utente durante la navigazione su un sito web. Questi file contengono dati che possono essere utilizzati per vari scopi, come ricordare le preferenze dell’utente, raccogliere dati statistici o fornire contenuti personalizzati.

È importante che la cookie policy contenga:

  1. Una spiegazione generale di cosa sono i cookie e come funzionano. Questo include una descrizione delle tecnologie di tracciamento simili, come i pixel di tracciamento o gli script di monitoraggio.
  2. Le tipologie di cookie utilizzati: cookie tecnici e necessari (essenziali per il funzionamento del sito web), cookie di prestazione (raccolgono informazioni sull’utilizzo del sito per migliorare le prestazioni e l’esperienza utente), cookie di funzionalità, cookie di targeting o pubblicitari, ecc.
  3. Finalità dell’uso dei cookie, ovvero una spiegazione del perché il sito utilizza i cookie, ad esempio per migliorare l’esperienza utente, analizzare il traffico del sito, o fornire pubblicità personalizzata.
  4. Informazioni sui cookie di terze parti: dettagli sui cookie inseriti da terze parti, come inserzionisti o fornitori di analisi, e come questi cookie vengono utilizzati.
  5. Istruzioni su come gli utenti possono gestire le impostazioni dei cookie, ad esempio modificando le preferenze nel browser o utilizzando strumenti forniti dal sito stesso, come un banner di consenso.
  6. Informazioni sulla durata di conservazione dei cookie, ovvero quanto tempo i cookie rimangono attivi sui dispositivi degli utenti, differenziando tra cookie temporanei (di sessione) e permanenti.
  7. Descrizione di come i dati raccolti tramite i cookie vengono trattati in conformità con le leggi sulla privacy e se vengono condivisi con terze parti.

Presentare la cookie policy sul sito web è fondamentale in quanto secondo il GDPR è obbligatorio informare gli utenti sull’uso dei cookie e ottenere il loro consenso prima di memorizzare o accedere ai cookie sui loro dispositivi.

Tra le sue funzionalità, Avacy genera la una cookie policy conforme alle normative. Scansionando il sito web, Avacy è in grado di analizzare i cookie attivi sul sito e, in maniera automatizzata, li inserisce all’interno della cookie policy, adeguando il sito web alle normative in materia GDPR.

4. Form e moduli di richiesta dati

Privacy policy form dati

Se il tuo sito web contiene sezioni che richiedono dati personali, come i moduli di contatto, i form per l’iscrizione alla newsletter o form di checkout in caso di ecommerce, è importante prestare attenzione a questi 4 punti indicati nel GDPR.

  1. Richiedi solo i dati strettamente necessari per raggiungere la finalità prevista. Ad esempio, richiedere il numero di telefono in un form di iscrizione alla newsletter risulterebbe inappropriato poiché non è necessario per il raggiungimento di quello specifico scopo (inviare comunicazioni di marketing).
  2. Includi sempre una casella di spunta con un link all’informativa privacy e un messaggio come “Ho letto e accetto le modalità di trattamento dei dati descritte nella Privacy Policy”.
  3. Prevedi una casella di consenso separata per ogni finalità specifica, ad esempio: una per l’invio di comunicazioni di marketing, un’altra per il consenso alla profilazione, e magari una terza per il trasferimento dei dati ad altri titolari.
  4. Le caselle non devono essere pre-selezionate.

Archivio dei consensi

Attenzione! Se utilizzi i dati degli utenti raccolti tramite i form per attività di profilazione e marketing è molto probabile che tu abbia bisogno di un archivio dei consensi!

Un archivio dei consensi è uno strumento che consente di registrare e conservare la “prova” che l’utente ha effettivamente acconsentito al trattamento dei dati personali. Mantenere traccia del consenso fornito dagli utenti è estremamente importante per garantire trasparenza e conformità alle normative.

Un utile strumento per gestire facilmente e in modo centralizzato i consensi per i tuoi moduli di raccolta dati sul sito è Avacy. Con l’archivio dei consensi di Avacy potrai personalizzare e integrare i tuoi moduli e form per raccogliere e documentare il consenso in conformità al GDPR.

5. La scelta dei fornitori

I fornitori di un sito web sono le entità che forniscono i servizi o le tecnologie che generano e gestiscono i cookie utilizzati dal sito. Questi fornitori possono essere sia interni che esterni al sito web e possono includere:

  • Fornitori di analisi e tracciamento, come Google Analytics, Tag Manager, Hotjar e altri.
  • Fornitori di pubblicità e marketing: Google Ads, Facebook Ads, LinkedIn Ads, ecc.
  • Fornitori di social media: Facebook, Twitter, Instagram e altri.
  • Fornitori di funzionalità del sito: come plugin e widget.
  • Fornitori di servizi di hosting.

Questi fornitori gestiscono i cookie per diverse finalità, come il monitoraggio delle visite, la pubblicità personalizzata, il miglioramento dell’esperienza utente o la sicurezza. È importante che, nell’informativa sui cookie, il sito web specifichi i fornitori coinvolti e le loro finalità.

Infatti, gli utenti devono essere informati in modo chiaro sui fornitori a cui vengono inviati i loro dati nel caso decidano di accettare i cookie.

Anche i fornitori del sito devono essere compliant al GDPR.

Hosting del sito

Dove risiedono i dati del sito è un aspetto cruciale in termini di privacy. Gli articoli 44-46 del GDPR stabiliscono chiaramente che il trasferimento di dati personali di residenti dell’UE verso paesi terzi che non offrono adeguate garanzie di sicurezza e protezione dei dati richiede sempre il consenso esplicito degli interessati. In assenza di questo consenso, il trattamento dei dati è considerato illecito.

Oggi molti siti web utilizzano servizi di hosting basati su server situati in datacenter cloud distribuiti in tutto il mondo. È quindi fondamentale sapere dove questi dati sono effettivamente conservati, specialmente se i dati personali vengono conservati in paesi terzi che non dispongono di normative chiare in materia di protezione dei dati, come la Russia, la Cina e l’India.

È quindi consigliabile affidarsi a fornitori di servizi cloud che offrono hosting in datacenter situati all’interno dell’UE o negli Stati Uniti, dove esiste il Privacy Shield, e che dichiarano apertamente queste informazioni nelle loro policy.

In ogni caso, se decidi di utilizzare un servizio di hosting extra UE, devi informare chiaramente i tuoi utenti nella tua informativa sulla privacy, indicando dove i dati sono conservati e se il Paese offre garanzie di adeguatezza in materia di protezione dei dati. Se tali garanzie non sono presenti, è necessario ottenere il consenso esplicito degli utenti per il trasferimento dei dati in paesi extra UE.

È possibile avere un sito web 100% compliance?

Rendere un sito web completamente conforme alle normative è un obiettivo ambizioso ma non impossibile. Tuttavia, è importante notare che la conformità al 100% può essere difficile da garantire in modo assoluto, poiché le normative e le linee guida possono evolversi nel tempo.

Per raggiungere la conformità, segui le linee guida di questo articolo. Seguire queste pratiche può aiutare a minimizzare i rischi e a mantenere un alto livello di conformità.

Ricordati che ogni sito è diverso, e nessuno può essere completamente inviolabile. La soluzione migliore è quella di rivolgersi a un legale esperto in digital.

Avacy è una piattaforma progettata con l’aiuto di un team di esperti legali per rendere a norma il tuo sito web in modo facile e intuitivo.

Tutti i siti web devono essere a norma GDPR?

La normativa GDPR si applica principalmente ai siti web che raccolgono e trattano dati personali degli utenti.

Se un sito web è puramente informativo e non raccoglie dati personali, potrebbe non essere soggetto agli stessi obblighi. Tuttavia, la maggior parte dei siti web, anche quelli apparentemente semplici, spesso raccolgono qualche forma di dati personali e quindi devono adeguarsi alla normativa.

Cosa succede se non mi adeguo al GDPR?

La non conformità può comportare sanzioni significative, fino al 4% del fatturato globale annuo dell’azienda, o 20 milioni di euro, a seconda di quale importo sia maggiore.

In alcuni casi, possono essere previste anche sanzioni penali, a seconda della gravità della violazione e delle leggi nazionali. Inoltre, le imprese potrebbero essere obbligate a risarcire i danni causati agli interessati a causa della violazione. Infine, potrebbe essere imposto un divieto temporaneo al trattamento dei dati personali fino a quando non viene ripristinata una condizione di conformità.

Queste misure sono pensate per garantire che le aziende prendano sul serio la protezione dei dati personali e adottino le misure necessarie per conformarsi alle normative.