Home ›› Blog ›› GDPR e siti internet

GDPR e siti internet

10 cose che il titolare di un sito internet dovrebbe sapere

Dal 25 maggio 2018 è entrato in vigore in tutti gli Stati membri il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) e relativo alla protezione delle persone fisiche in materia di trattamento e libera circolazione dei dati personali.

Il regolamento Europeo, ormai conosciuto come GDPR è stato recepito in italia con il decreto attuativo n. 101 del 10 agosto 2018 pubblicato in Gazzetta Ufficiale del 4 settembre 2018.

L'entrata in vigore di questa normativa ha ripercussioni su molte attività aziendali, inclusa naturalmente la pubblicità e la comunicazione aziendale anche attraverso il sito internet. Nello specifico, tutte le aziende che posseggono un sito web e che elaborano le informazioni dei propri utenti, devono adeguarsi al Regolamento Europeo. 

Naturalmente non tutti i siti raccolgono gli stessi dati, nè li trattano per le stesse finalità, per cui ogni caso merita di esser valutato nella sua specificità da un professionista competente. 

Il primo consiglio è di informarsi leggendo attentamente alcune pagine, in particolare la guida al Regolamento UE disponibile sul sito del Garante Privacy  ed ovviamente il testo del decreto attuativo sulla gazzetta ufficiale

In secondo luogo ogni azienda o persona fisica o giuridica interessata dovrebbe valutare l'opportunità di rivolgersi ad un professionista che sia in grado di valutare caso per caso le azioni da intraprendere e soprattutto fornire le informative specifiche per le esigenze dell'azienda, perchè non sempre un modulo standard o un'informativa generica è adeguata. 

Ma vediamo, almeno per sommi capi, i punti salienti del GDPR e come impattano sul titolare di un sito internet.

N.1 GDPR e Siti internet: quali siti sono interessati

Siete proprietari di un piccolo sito internet aziendale o di un blog e vi state chiedendo se dovete adeguarlo al GDPR? Beh, quasi certamente si.
Devono adeguarsi al GDPR tutti i siti che trattano dati personali degli utenti. Ma cosa si intende per dato personale?  Ormai si tende a considerare dato personale qualsiasi informazione (nome, codice fiscale, indirizzo, data di nascita, numero telefonico, ecc.) riguardante una persona fisica identificata o identificabile, anche indirettamente, oppure informazioni riguardanti una persona la cui identità è nota o può comunque essere accertata mediante informazioni supplementari.
Secondo questa accezione sono dati personali anche informazioni, tipicamente usate nel mondo digitale, quali email, IP, cookie che sono raccolti dal 99% dei siti internet.

N.2 GDPR e Siti internet: i diritti dell'interessato

Il punto fondamentale è che il proprietario del dato personale ha sempre diritto ad accedervi, modificarlo e gestirlo in ogni modo (anche con la portabilità) fino a chiederne la cancellazione.

Diritto di accesso, il diritto di rettifica, il diritto all’oblio, il diritto di limitare l’elaborazione delle informazioni private, il diritto alla portabilità dei dati sono infatti alcuni dei diritti fondamentali dell’utente, riconosciuti dal GDPR.
In particolar modo il diritto all'oblio è uno dei fulcri della nuova normativa. Questo significa che gli utenti devono poter manifestare facilmente la loro volontà ad essere cancellati dai database di un'azienda.

N.3 GDPR e Siti internet: il consenso al trattamento

Il consenso degli interessati al trattamento deve essere libero, incondizionato, preventivo, esplicito ed informato. Vediamo cosa significa.

Il consenso deve essere prima di tutto libero ed incondizionato, per cui il consenso è inefficace (quindi NON è valido) se l'esecuzione di un contratto o la prestazione di un servizio è subordinata al consenso, pur non essendo quest'ultimo indispensabile per tale esecuzione.

Oltre a questo il consendo deve essere preventivo cioè deve esser dato prima che il trattamento dei dati abbia inizio.

Il consenso deve essere esplicito e non sottinteso 

Il consenso deve essere informato, quindi il titolare del sito deve informare l'utente su alcune questioni importanti come: 
quali dati raccoglie il sito;
con quali modalità avviene il trattamento;
per quale scopo sono raccolti i dati
chi effettua il trattamento;
per quanto tempo vengono conservati i dati;
come può l'interessato accedere ai propri dati per effettuare modifiche e/o richiederne la cancellazione;
ecc.

Tutte queste informazioni saranno raccolte all'interno di una o più informative, da presentare all'utente al momento opportuno e comunque sempre disponibili sul sito. 

N.4 GDPR e Siti internet: accesso ai dati personali

L’utente deve avere la possibilità di gestire i propri dati personali in modo semplice, ad esempio attraverso una pagina di profilo utente a cui possa accedere autonomamente. In questo modo ogni utente avrà la possibilità di gestire il consenso all'invio di comunicazioni, newsletter eccetera. 

N.5 GDPR e siti internet: la sicurezza dei dati

La sicurezza dei dati degli utenti diviene centrale. In caso di violazione dei dati, la comunicazione agli utenti dovrà avvenire entro 72 ore per non incorrere in sanzioni. Per questo è opportuno passare da HTTP a HTTPS, valutare soluzioni di web hosting con protocolli sicuri a cifratura SSL/TLS e mettere in piedi misure per prevenire e gestire i data breach.

N.6 GDPR e siti internet: Le informative

Ogni sito internet deve fornire ai suoi utenti un'informativa sulla privacy, o anche più di una. Tale documento è obbligatorio nel momento in cui si raccolgono dati personali, ed ha lo scopo di fornire alle persone alcune informazioni su come tali dati saranno trattati, per quale scopo, per quanto tempo, qual'è la vostra identità, come ottenerne modifica e cancellazione e così via.

Ogni sito internet deve anche informare i suoi utenti che sta raccogliendo cookie, specificando di quali si tratta. Inoltre non è possibile installare cookie prima del consenso dell'utente. Cioè si devono bloccare i cookie fino a quando l'utente non li accetta esplicitamente (ad eccezione dei cookie tecnici).

N.7 GDPR e siti internet: google analytics & co.

Abbiamo detto che non si possono installare cookie prima che l'utente li abbia accettati, inclusi i cookie di google analytics, utilizzati per avere statistiche sugli accessi al sito.
Quasi tutti i siti web oggi utilizzano Google Analytics che solitamente registra l'IP del visitatore associandolo ad una serie di azioni (quali pagine visita, i tempi di accesso, il referrer, ecc.). Ma secondo il GDPR non è possibile registrare l'IP di accesso prima che l'utente accetti il trattamento.

Esiste in alternativa la possibilità di utilizzare Google Analytics con anonimizzazione degli IP così che l'attività di Analytics assume valore statistico e non rientra più nella definizione di "dato personale".

Per quanto riguarda eventuali banner pubblicitari, ad esempio del famoso circuito Ad Sense, qui non vi sono scappatoie: l'utente deve accettare l'installazione dei cookie di Google AdSense prima che gli vengano mostrati i banner pubblicitati.

Stessa cosa per widget di terze parti come mappe di google, pulsanti di facebook e così via.

L'utente inoltre deve poter accettare i cookie singolarmente e quindi per ipotesi dire sì ai cookie di google map e no a quelli di facebook...

N.8 GDPR e siti internet: la prova del consenso

Il titolare del sito web deve essere in grado di dimostrare l'avvenuto consenso (ad esempio registrando l'indirizzo IP ed il momento del click sul pulsante "Accetto"). La prova deve essere disponibile finchè dura il trattamento .

Fondamentale è anche che i flag di accettazione delle privacy policy non siano spuntati di default. 

N.9 GDPR e siti internet: le newsletter

Se raccogliete indirizzi sul sito per inviare una newsletter siate chiari su quante newsletter invierete. L'utente dovrà accettare un'informativa specifica per questo. Inoltre deve potersi cancellare facilmente in qualunque momento.

Per quanto riguarda gli elenchi di utenti che si sono iscritti in passato alla vostra newsletter può essere sufficiente aggiornare le vostre privacy policy, ma ogni caso va valutato.

N.10 GDPR e siti internet: differenze cookie Law e GDPR

Con l'avvento della cookie law del 2015 il gestore di un sito web era tenuto a mostrare un banner con un'informativa breve per informare l'utente sull'utilizzo di cookie sul sito web. L'utente poteva solo accettare oppure andarsene.

Con il GDPR non è più sufficiente: il gestore di un sito web deve consentire agli utenti di effettuare una scelta, consapevole e informata, su quali cookie autorizzare e quali no e non si può proibire l'accesso alle informazioni del sito per il solo fatto di rifiutare l'installazione di un cookie, a meno che non sia idispensabile al funzionamento del sito.

 



LEGGI ANCHE

SEO e ottimizzazione del sito internet

C'è una battuta simpatica che gira sulla rete fra gli addetti ai lavori.
Qual'è il posto migliore per nascondere un cadavere e compiere il delitto perfetto? La seconda pagina dei risultati di google!

Google Adwords

Una guida veramente basic con tutto quello che ogni proprietario di un sito internet dovrebbe sapere di AdWords.

Per gli addetti ai lavori, web designer, web developper, seo specialist e chi più ne ha più ne metta, sembra impossibile che un proprietario di un sito internet non conosca Google Ads, eppure molto spesso nel mio lavoro mi rendo conto che è così.
Invece Google Ads è un servizio che tutti coloro che hanno un sito internet dovrebbero conoscere abbastanza bene, non dico che tutti debbano usarlo, ma almeno conoscerlo è imprescindibile. Ecco perchè ho scritto questa breve guida a Google Ads.

A cosa serve un sito web?

"Non mi serve un sito internet, ho la pagina facebook" è il pensiero di molti piccoli artigiani, professionisti, imprese locali o piccole aziende. In realtà questo è un pensiero piuttosto diffuso, ma spesso chi sottovaluta l'importanza di un sito lo fa perchè non conosce a fondo tutte le problematiche coinvolte o semplicemente perchè ha avuto qualche brutta esperienza in passato con siti internet non adeguati alle proprie esigenze e magari anche troppo costosi.

 

Indicizzazione e posizionamento dei siti internet

L'indicizzazione di un sito internet è in grado di determinarne il successo o l'oblio nella rete, per questo il lavoro sul posizionamento è alla base del Web Marketing

Accessibilità dei siti internet ai disabili

L'accessibilità è la caratteristica di un dispositivo, di un servizio o di una risorsa d'essere fruibile con facilità da una qualsiasi tipologia d'utente, incluse persone con ridotta o impedita capacità sensoriale, motoria, o psichica, di fruire dei sistemi informatici e delle risorse a disposizione tipicamente attraverso l'uso di tecnologie assistive o tramite il rispetto di requisiti di accessibilità dei prodotti.

La Pubblica Amministrazione in rete

Ormai quasi tutti gli enti pubblici hanno un sito internet ma quelli che attraverso la rete offrono servizi concreti ai cittadini sono ancora solo una felice eccezione.
Il motivo è che non sempre a monte dei progetti c'è una riflessione adeguata sulle ragioni che dovrebbero spingere un'istituzione a pubblicare un sito, venendo così a mancare l'adeguata considerazione del progetto da parte dell'ufficio che si fa promotore del progetto (solitamente l'ufficio relazioni con il pubblico)

La sfida raccolta dalla comunicazione pubblica oggi, riguarda la capacità di realizzare luoghi, iniziative, professioni, finalizzate ad attivare processi di confronto, di relazione e di scambio fra le istituzioni e i cittadini.
Per vincerla è necessario che la fondamentale acquisizione che oggi l’informazione diventa risorsa primaria, entri in tutti gli uffici pubblici.
Solo così è possibile valorizzare il ruolo e le potenzialità della comunicazione pubblica: dare impulso, trasparenza, comprensione e condivisione alla stessa azione amministrativa. [...].

La comunicazione

La comunicazione è per gli esseri umani ciò che l'acqua è per i pesci: ci viviamo immersi, pur senza esserne consapevoli.

Non possiamo non comunicare

Anche il silenzio ha un significato. Non essere presente sui social, non avere un sito, sono scelte che hanno valore di un messaggio. Sicuro di voler comunicare che non sei interessato a dialogare con chi ti sta cercando?

Usabilità, ovvero quando il web design non è solo bello

Un'interfaccia ben fatta è quella che non richiede di essere spiegata.

Lezioni americane

Leggerezza, rapidità, esattezza, visibilità, molteplicità, coerenza … in realtà l'usabilità non sembra aver fatto grandi scoperte!

Cookie Law

Navigando in rete, già da qualche mese, vi sarà capitato di imbattervi sempre più spesso in banner che riportano diciture del tipo "Questo sito utilizza i cookie per migliorare servizi e esperienza dei lettori (leggi l'informativa estesa). Se decidi di continuare la navigazione consideriamo che accetti il loro uso".
Questo perché il prossimo 2 giugno 2015 diventerà operativo il provvedimento del Garante della privacy in materia di cookie (n.229/2014)" Modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie", recependo una normativa Europea (Cookie Law).