La gestione della lista fornitori è un aspetto cruciale per la conformità al GDPR di un sito web. Il GDPR ha infatti stabilito norme rigorose sulla protezione dei dati personali, imponendo alle aziende di adottare misure appropriate per garantire la sicurezza e la riservatezza dei dati raccolti e trattati. In questo contesto, una corretta gestione dei fornitori che trattano dati per conto del tuo sito web è fondamentale. Ecco una guida dettagliata su come farlo.
A cosa serve la vendor list?
La vendor list di un sito web, o lista dei fornitori, è una lista in cui vengono registrati i fornitori di servizi terzi di cui il sito si avvale.
Utilizzare un servizio fornito da una terza parte, infatti, può comportare la raccolta, l’elaborazione, l’uso e la conservazione di dati personali da parte di quest’ultima. Ad esempio, se sul sito web è installato il pixel di Facebook, significa che la società Meta ha accesso ai dati degli utenti che navigano il tuo sito web.
Su questo il GDPR è molto chiaro: il titolare deve adottare le misure necessarie per proteggere le informazioni personali che l’azienda o una terza parte gestisce e tratta. Ecco che da qui si capisce l’importanza della lista fornitori.
I rischi dei fornitori non GDPR compliant
In materia di privacy la prevenzione è un tema fondamentale, ma spesso viene trascurata a causa di inconsapevolezza o di disinformazione.
Per questo motivo, è importante mettere in evidenza le sanzioni e le responsabilità: se un’azienda si affida a fornitori che non rispettano il GDPR, sarà l’azienda stessa a pagare per eventuali violazioni.
I principali rischi che i fornitori non conformi al GDPR possono causare a un’azienda sono:
- Mettere in pericolo la sicurezza dei dati personali trattati;
- Non seguire le policy aziendali e le best practice;
- Danneggiare la stabilità dell’azienda, sia internamente che esternamente, con gravi conseguenze anche per la reputazione.
Tra i concetti introdotti dal GDPR rientra anche il principio di privacy by design in cui si richiede di valutare il rischio relativo alla privacy già in una fase di pre-selezione dei fornitori. In pratica, quando scegli un fornitore esterno, devi verificare la sua compliance al GDPR e capire quali misure di sicurezza adottare già prima di sceglierlo e poi monitorare i suoi processi.
Come selezionare il fornitore rispettando il GDPR
Ora che sai che con il nuovo Regolamento Europeo i responsabili del trattamento devono fare da garanti anche rispetto a come vengono gestiti i dati dai propri partner e fornitori, vediamo concretamente quali sono le azioni da svolgere sul tuo sito web per assicurarti una raccolta dei dati nel pieno rispetto del GDPR.
La vendor list è una parte fondamentale del cookie banner. Per legge, infatti, il banner deve informare gli utenti in modo chiaro sui fornitori a cui vengono inviati i loro dati nel caso decidano di accettare i cookie.
Utilizzando una consent solution come Avacy, è possibile scansionare il sito web e rilevare in maniera automatica i fornitori attualmente attivi. Tuttavia, è importante considerare che la scansione, anche se automatizza notevolmente il lavoro, non è precisa al 100% a causa della complessità delle tecnologie che vengono installate su alcuni siti web.
Per questo motivo, è possibile aggiungere, modificare o eliminare manualmente i fornitori presenti sul proprio sito direttamente dal pannello delle preferenze del cookie banner.
Una volta che la lista dei fornitori è salvata e pubblicata, viene esposta automaticamente nel cookie banner del sito.
Blocco preventivo dei cookie
Per essere in regola con le normative GDPR, ricorda di attivare il blocco preventivo per tutti i tuoi fornitori.
Il blocco preventivo fa riferimento alle misure che le aziende devono adottare per assicurarsi che vengano trattati solo i dati personali strettamente necessari per uno specifico scopo. In sostanza, significa che i dati degli utenti non devono essere accessibili ai tuoi fornitori senza il consenso esplicito dell’utente, specialmente per cookie e altri strumenti di tracciamento online che non sono strettamente necessari al funzionamento del tuo sito.
Ad esempio, i siti web devono mostrare un cookie banner che permetta agli utenti di decidere quali cookie accettare prima che vengano installati sul loro dispositivo. Questo segue il principio di “privacy di default” del GDPR, secondo il quale le impostazioni volte a proteggere la privacy devono essere applicate di default, senza che l’utente debba effettuare modifiche.
Inoltre, il blocco preventivo è cruciale per impedire l’uso di cookie non essenziali nel browser dei visitatori prima che abbiano dato il loro consenso. Questo garantisce il rispetto della privacy degli utenti e assicura che i dati siano raccolti e utilizzati in modo legale, trasparente e sicuro.
Leggi la guida di Avacy per scoprire come attivare il blocco preventivo.
Aggiornamento e revisione periodica della lista fornitori
Il panorama dei fornitori può cambiare nel tempo, così come le normative e le best practice in materia di protezione dei dati. È essenziale aggiornare e rivedere periodicamente la lista fornitori per garantire che rimanga conforme al GDPR.