Sei alla ricerca di un modo per rendere il tuo sito web conforme alle normative senza dover passare ore a capire articoli o tutorial complessi sulla GDPR? Sei nel posto giusto!
In questo articolo parleremo dell’importanza della GDPR per i siti web, perché è fondamentale essere in regola e i rischi che corri se ignori la conformità.
Inoltre, ti spiegheremo le funzionalità chiave di Avacy che renderanno il tuo sito web completamente compliant, in modo facile e intuitivo.
Perché la GDPR è così importante per un sito web?
Nel 2024, ci troviamo di fronte a una realtà preoccupante: una vasta maggioranza di siti web non rispetta ancora pienamente le normative imposte dalla General Data Protection Regulation (GDPR).
Ma cosa implica esattamente questa situazione? Risalendo al 2018, quando le normative sulla privacy hanno subito cambiamenti significativi, i responsabili del trattamento dei dati, inclusi coloro che gestiscono siti web o piattaforme online, sono stati chiamati ad adottare un approccio proattivo nei confronti della privacy degli utenti.
Per cosa è stata creata la GDPR?
La GDPR è stata creata per:
-
- Potenziare la protezione dei dati personali.
La GDPR fornisce agli utenti maggior controllo sui loro dati, obbligando le aziende a essere trasparenti su come i dati vengono raccolti, utilizzati e conservati.
- Potenziare la protezione dei dati personali.
-
- Unificare la regolamentazione all’interno dell’UE.
Prima della GDPR, ogni paese europeo aveva le proprie regole sulla privacy. La GDPR ha standardizzato queste leggi per tutte le aziende che operano nell’UE, semplificando così il panorama normativo.
- Unificare la regolamentazione all’interno dell’UE.
-
- Imporre sanzioni severe.
Le aziende che non rispettano la GDPR possono essere colpite da multe che raggiungono fino al 4% del fatturato annuo globale o 20 milioni di euro, a seconda di quale sia il valore più alto.
- Imporre sanzioni severe.
È diventato quindi obbligatorio esporre in modo chiaro, trasparente e inequivocabile le modalità con cui i dati personali vengono utilizzati.
Ad esempio, se un sito web desidera usare i dati personali dell’utente per finalità pubblicitarie, è necessario ottenere il suo consenso in modo esplicito, offrendo anche l’opzione di rifiutare tale utilizzo.
La mancanza di un’opzione chiara per rifiutare i cookie, presente ancora in numerosi siti, impedisce di fatto quella profilazione necessaria per fornire pubblicità mirata, riflettendo una mancata conformità che è ancora diffusa.
Rischi di non conformità
Ignorare la GDPR significa violare la legge, e ciò comporta rischi significativi:
-
- Sanzioni economiche: come già menzionato, le multe per la non conformità possono essere drastiche.
-
- Danni alla reputazione: un’azienda che viene alla luce per non aver protetto adeguatamente i dati dei clienti può subire un grave danno reputazionale, che può influenzare negativamente la fiducia e la clientela.
-
- Perdita di clienti: i consumatori sono sempre più consapevoli dei loro diritti in termini di dati personali. Una violazione può portare alla perdita di clienti che cercano aziende con maggiore trasparenza e sicurezza dei dati.
Che cosa vuol dire avere un sito a norma oggi?
Avere un sito web conforme alle normative attuali significa implementare sul sito un cookie banner che descriva in modo chiaro e inequivocabile quali dati vengono raccolti e come vengono utilizzati.
Questo può includere i “dati sensibili” – ovvero informazioni come la geolocalizzazione, i log di accesso, gli indirizzi email e i dati anagrafici – e, come tali, richiedono che l’utente sia pienamente informato e consenziente prima di utilizzare i servizi offerti dal sito: che si tratti di interagire, visualizzare pagine, cliccare su un pulsante o navigare in determinate aree.
La conformità, tuttavia, va oltre l’installazione di un cookie banner. Richiede una comprensione approfondita e un’attuazione seria delle leggi sulla privacy, spesso necessitano l’intervento di legali e avvocati per navigare tra i complessi dettagli burocratici e legali.
Preparare moduli appropriati e gestire la documentazione richiesta può essere un processo oneroso, e per questo molte aziende optano per delegare queste responsabilità a specialisti o a terze parti.
Mettere a norma un sito web è quindi un investimento significativo in termini di tempo, risorse e impegno, riflettendo l’importanza di proteggere i diritti e la privacy degli utenti in un’era digitale sempre più interconnessa.
Che cos’è Avacy e perché è fondamentale per la compliance del tuo sito?
Avacy è una piattaforma di gestione del consenso progettata per automatizzare i processi fondamentali necessari per la compliance del tuo sito web.
Tra le sue funzioni principali si occupa della generazione di privacy policy e cookie policy realmente a norma, della gestione di cookie banner visibili sul sito e dell’archiviazione dei consensi degli utenti. Quest’ultima funzione è cruciale per avere una prova tangibile del consenso degli utenti, soprattutto in caso di controversie legali.
L’obiettivo è semplificare e automatizzare questi processi, riducendo il rischio di errori e garantendo la conformità alle normative vigenti.
Avacy si impegna a offrire una piattaforma sempre aggiornata e user-friendly, garantendo agli utenti di rimanere in linea con le leggi in modo semplice ed efficace.
In più, Avacy CMP si posiziona sul mercato come una piattaforma competitiva, focalizzata non solo su un’offerta vantaggiosa dal punto di vista del pricing, ma anche sulla qualità dell’esperienza utente.
Guida per mettere a norma il tuo sito web con Avacy
Registrazione
Avacy offre un’interfaccia di registrazione intuitiva, dove è sufficiente inserire i tuoi dati anagrafici come nome, cognome o email, data di nascita, impostare una password e accettare i termini e le condizioni d’uso.
Dopo la registrazione, ti verrà inviata un’email di verifica dell’account per consentire l’accesso immediato alla piattaforma e la creazione di un team.
Creazione del team
Un team in Avacy è un gruppo dedicato alla gestione degli utenti e dei siti web all’interno della piattaforma. Attraverso i team, è possibile aggiungere o eliminare utenti, definire i loro permessi e assegnare autorizzazioni granulari per limitare l’accesso solo a determinate parti dei dati presenti.
All’interno di un team, è possibile visualizzare e gestire tutti i siti web sotto la tua responsabilità.
Ad esempio, se sei un’agenzia di marketing che gestisce diverse piattaforme online, puoi creare un team per ciascun cliente e includere i siti web che gestisci per ognuno di essi.
Questo ti consente di gestire in modo efficace tutti gli aspetti relativi al cookie banner, alla privacy policy e altro ancora per ciascun sito web.
Selezione del piano
Dopo la creazione del team, si passa alla selezione del piano.
Il piano annuale include la possibilità di scegliere un pacchetto di siti web da gestire. Ad esempio, se sei un’agenzia e gestisci 25 siti web, c’è un pacchetto apposito con il corrispettivo pricing.
Una volta selezionato il piano, è possibile aggiungere gli spazi web al team creato.
Creazione spazio web
Uno spazio web è essenzialmente un sinonimo di sito web. Si tratta dei siti che vengono gestiti all’interno della piattaforma. Se sei un’agenzia e gestisci due siti web, nella schermata di Avacy vedrai entrambi gli spazi web elencati e per ciascuno di essi avrai a disposizione una dashboard dedicata.
All’interno del singolo spazio web, avrai accesso a tutte le funzionalità relative alla gestione del cookie banner, alla configurazione dei documenti di privacy e cookie policy, all’archivio dei consensi e altre informazioni cruciali.
Potrai anche visualizzare il numero di cookie attivi e di fornitori rilevati sul tuo sito web, gestire le lingue se il sito è multilingua e ottenere una panoramica delle scansioni effettuate sul sito.
Come configurare un sito web
Passiamo al sodo: vediamo insieme come si configura sito web su Avacy!
La schermata di configurazione di Avacy comprende un wizard che si articola in 4 step:
Primo step
La prima parte è dedicata al sito web su cui desideri configurare Avacy. Inserisci il dominio del sito e, se necessario, puoi aggiungere domini di terzo livello selezionando l’opzione “Hai dei domini di terzo livello da aggiungere?”. Avrai anche la possibilità di impostare le scansioni periodicamente, garantendoti una panoramica costante sui cookie installati sul tuo sito.
Questa funzione è particolarmente utile per siti che vengono aggiornati frequentemente o che utilizzano piattaforme come WordPress, dove l’installazione di nuovi plugin potrebbe comportare l’aggiunta di nuovi cookie senza il tuo diretto controllo.
Puoi anche selezionare le lingue desiderate. Avacy supporta i siti multilingua, attualmente offrendo supporto per le principali lingue europee e aggiungendo costantemente nuove lingue alla lista.
Secondo step
Questa schermata riguarda i dati del titolare del trattamento, un passaggio opzionale ma fondamentale per garantire la conformità normativa.
Se non hai immediatamente a disposizione tutti i dati del titolare del trattamento, potrai inserirli successivamente.
Tuttavia, è importante fornire questi dati in quanto finiranno nel documento della privacy policy, dove dichiari chiaramente chi è responsabile della gestione dei dati raccolti dagli utenti che visitano il tuo sito.
Tra i dati opzionali, c’è la possibilità di inserire l’email del DPO (Data Protection Officer). Se stai utilizzando un DPO per la gestione dei dati, puoi inserire direttamente qui la sua email.
Terzo step
A questo punto, verrà eseguita una scansione preliminare sul sito. La durata della scansione può variare in base alla dimensione del sito web. Questo strumento è fondamentale perché automatizza diversi passaggi, come l’individuazione dei fornitori operanti sul sito e dei cookie installati.
Tuttavia, è importante comprendere che la scansione potrebbe non essere precisa al 100%. Questo non è un problema specifico di Avacy, ma è comune a tutte le CMP (Consent Management Platform). È difficile rilevare con precisione tutti i cookie e le tecnologie presenti su un sito web a causa della complessità di come vengono installati.
Nonostante ciò, la scansione semplifica notevolmente il lavoro, anche se non è sempre possibile rilevare tutte le informazioni relative ai siti web.
Una volta completata la scansione, verrà visualizzata una lista preliminare dei fornitori rilevati sul sito, come ad esempio Google, Cloudflare (servizio di hosting), LinkedIn e Stripe, insieme ai relativi cookie associati.
Aggiungendo questi fornitori, si dichiara quali cookie sono collegati a ciascuno di essi.
Tuttavia, è importante notare che la scansione potrebbe non individuare tutti i fornitori. In tal caso, se siamo consapevoli di alcuni fornitori che dobbiamo includere, possiamo farlo manualmente attivando il singolo fornitore di interesse.
Ad esempio, potremmo notare che il crawler non ha visitato la pagina del carrello, da cui parte un evento di Facebook legato all’aggiunta di un elemento al carrello. In questo caso, possiamo attivare manualmente il fornitore Facebook e associare i cookie corrispondenti.
Quarto step
Una volta inseriti i fornitori e i cookie nella lista, è possibile procedere con l’integrazione del cookie banner sul sito web. Questo banner può essere integrato in diversi modi:
-
- Tramite codice HTML: è possibile utilizzare uno script o un codice HTML che va installato nell’header della pagina web. Questo metodo è compatibile con diverse tecnologie, inclusa WordPress.
-
- WordPress: attualmente è in fase di sviluppo un plugin WordPress che semplificherà l’integrazione del cookie banner e la parte di blocco preventivo delle tecnologie traccianti sul sito.
-
- Google Tag Manager: se utilizzi Google Tag Manager, Avacy supporta anche la versione 2 della Consent Mode. Questa è diventata obbligatoria recentemente, superando le scadenze per i siti che utilizzano Google Analytics e affini.
Una volta integrata la parte del cookie banner e conclusa la configurazione iniziale del sito web, ci sono ancora alcune opzioni da controllare.
Puoi generare la privacy policy e la cookie policy in base alle informazioni raccolte durante la configurazione. Puoi anche intervenire sulla lista dei cookie e dei fornitori, aggiungendo o modificando le voci secondo necessità. Inoltre, è possibile personalizzare il cookie banner, cambiando i colori o i testi in base alle preferenze.
Generazione della Privacy Policy
La privacy policy si struttura attraverso un’interfaccia che presenta una serie di domande relative alla natura del proprio sito web.
Si può indicare se il sito è un e-commerce, se utilizza form di contatto, se effettua determinati tipi di tracciamento, se raccoglie dati di geolocalizzazione, o se gestisce dati sensibili, e così via.
Una volta risposto alle domande, viene generato un documento contenente tutte le clausole corrispondenti.
Questo documento può essere integrato nel sito web in vari modi: ad esempio, è possibile ottenere un link diretto per l’inclusione della privacy policy in una pagina specifica, oppure inserirla all’interno di una finestra pop-up per una maggiore accessibilità.
L’integrazione della privacy policy è altamente flessibile e può essere adattata alle esigenze specifiche di ogni gestore del sito.
Le privacy policy possono essere generate in diverse lingue. Se si desidera una versione in inglese, basta selezionare l’opzione “inglese” e seguire i passaggi per generare il documento.
Inoltre, ci sono altre opzioni personalizzabili all’interno della privacy policy, come ad esempio la durata di conservazione dei dati personali. Tutti i dati presentati sono stati validati legalmente, garantendo che il documento generato sia pienamente conforme alle normative vigenti.
Cookie policy
La cookie policy è un testo più statico in quanto essenzialmente serve a dichiarare l’uso dei cookie sul sito. Deve indicare quali cookie vengono utilizzati, sia per profilazione che per scopi tecnici, e spiegare agli utenti come disattivarli sul proprio browser.
Tutte queste informazioni sono già incluse nel documento generato automaticamente, garantendo una copertura completa.
La parte che potrebbe richiedere una revisione è quella relativa alle liste dei cookie e dei fornitori. Queste sezioni forniscono una panoramica dei fornitori e delle terze parti utilizzate per il tracciamento sul sito, così come dei cookie tecnici installati.
Configurazione dei cookie
I cookie si distinguono in cookie tecnici e cookie di profilazione.
Cookie Tecnici
I cookies tecnici sono essenziali per il funzionamento del sito e non possono essere rifiutati dall’utente. Disabilitare i cookie tecnici potrebbe compromettere il corretto funzionamento del sito.
Questi cookie non sono soggetti a blocco da parte del Garante della Privacy e sono necessari esclusivamente per l’operatività del sito, senza scopi di profilazione o raccolta dati dagli utenti.
Cookie di profilazione
I cookie di profilazione, al contrario, possono essere erogati sia da te che da terze parti come Google Analytics, Google ADS e Facebook Pixel.
Questi cookie raccolgono dati dagli utenti e sono utilizzati per finalità di marketing e pubblicità. È fondamentale avere una panoramica chiara delle terze parti che operano sul sito e dei cookie che erogano, per comprendere se sono cookie funzionali o tecnici, non soggetti alle restrizioni del GDPR, oppure se sono cookie di profilazione, che devono essere dichiarati nella cookie policy.
Lista dei Cookie
I cambiamenti effettuati nella lista dei cookie si riflettono automaticamente nella cookie policy.
Ogni modifica, salvataggio o aggiunta di cookie nella lista si aggiorna automaticamente nella cookie policy, consentendo una gestione precisa e aggiornata dei cookie presenti sul sito.
Prendiamo ad esempio il cookie YSC: questo è comunemente associato a YouTube, ma nulla impedisce a un proprietario di sito web di sviluppare un cookie chiamato YSC che non sia legato a YouTube.
È importante comprendere che, anche se nella maggior parte dei casi i cookie vengono correttamente associati ai fornitori, esiste sempre un piccolo margine di errore.
In alcuni casi, potrebbe accadere che un cookie chiamato YSC non sia legato a YouTube ma sia un cookie sviluppato internamente dal proprietario del sito web. Questo dipende da come il sito web è stato sviluppato e gestito.
Quindi, sebbene la scansione dei cookie e l’associazione ai fornitori siano solitamente accurate, è possibile che si verifichino eccezioni.
Lista fornitori
Questa lista compare obbligatoriamente nel pannello delle preferenze del cookie banner. Nel pannello dei fornitori, è possibile aggiungere un nuovo fornitore premendo su “Aggiungi nuovo fornitore” in alto a destra.
È possibile inserire il nome del fornitore e altri dati relativi. Inoltre, è possibile aggiungere fornitori dalla lista dei fornitori frequenti o modificarne i dettagli per includere informazioni aggiuntive come una descrizione per gli utenti.
Se la lista dei fornitori è collegata alla cookie policy, può essere inclusa anche nella privacy policy, sebbene questa opzione non sia obbligatoria.
Tuttavia, è un dato importante per comprendere la situazione del sito e poterlo aggiornare in futuro in caso di modifiche o aggiunte di nuovi fornitori o cookie.
Una volta che la lista dei fornitori è salvata e pubblicata, viene esposta nel cookie banner del sito.
Personalizzare il Cookie Banner
In questa sezione, possiamo visualizzare un’anteprima del cookie banner e vedere quali sono effettivamente le terze parti nel pannello delle preferenze del cookie banner.
Questo è fondamentale in ottica GDPR, poiché gli utenti devono essere informati in modo chiaro sui fornitori a cui vengono inviati i loro dati nel caso decidano di accettare i cookie.
Pertanto, la parte relativa alla lista dei fornitori è di vitale importanza, poiché il cookie banner rappresenta il biglietto da visita per la privacy del sito.
Successivamente, passiamo alla personalizzazione estetica del cookie banner. Possiamo scegliere la posizione, aggiungere un logo per il branding, modificare testi, colori e font. I testi sono già compliant con il GDPR, ma è possibile modificarli se necessario.
Sono disponibili in più lingue, configurabili in base alla lingua del sito.
Per quanto riguarda i testi delle preferenze del cookie banner, è consigliabile personalizzarli con l’assistenza di un professionista legale per garantire la correttezza delle informazioni e il rispetto delle normative.
Tra le impostazioni avanzate, c’è il supporto alla Google Consent Mode, che consente di abilitare le finalità relative a questa modalità nel cookie banner.
Queste finalità sono collegate agli indicatori di consenso di Google e sono illustrate nella documentazione di Avacy, che fornisce anche informazioni tecniche sulla configurazione del sito e sulle personalizzazioni del banner.
Inoltre, la documentazione di Avacy offre una guida completa su come integrare e configurare il banner nel proprio sito, fornendo dettagli su varie funzionalità e impostazioni avanzate, così come istruzioni dettagliate su come eseguire le personalizzazioni desiderate.
Archivio dei consensi
Il Garante della Privacy ha sottolineato l’importanza per le agenzie di mantenere un archivio dei consensi, ma non ha specificato in dettaglio come dovrebbero essere raccolti questi dati.
Il principio fondamentale è di raccogliere solo il minimo indispensabile: ad esempio, se un utente inserisce la sua email in un modulo di contatto per la newsletter, l’archivio dei consensi conserva la “prova” che l’utente ha acconsentito al trattamento dei dati personali.
Tuttavia, il Garante non ha indicato limiti precisi su quali dati possono essere raccolti e se ci sono restrizioni sull’identificazione univoca degli utenti. Se un’agenzia decide di raccogliere dati aggiuntivi che consentono un’identificazione più precisa dell’utente, potrebbe superare una linea di demarcazione legale.
È importante comprendere che questo è un terreno delicato e, a differenza di quanto affermano in molti, non basta acquistare una soluzione per essere automaticamente tutelati. Anche se diverse piattaforme del consenso cercano di spaventare proponendo l’archivio dei consensi come unico rimedio per evitare multe, è fondamentale sapere che, anche con un archivio dei consensi completo al 100%, non si è al riparo da possibili contestazioni. Per evitare ciò, è importante che ogni ogni strumento sia configurato correttamente in base al caso specifico e ai dati del singolo sito web.
Conclusione
Ora che hai accesso a tutti gli strumenti necessari, ti invitiamo a registrarti su Avacy e ad avviare il processo di adeguamento del tuo sito alle normative sulla privacy!
Se desideri ulteriori approfondimenti, ti consigliamo di guardare il webinar qui sotto!
Per eventuali domande o dubbi, non esitare a contattarci.