Il regolamento Europeo, ormai conosciuto come GDPR è stato recepito in italia con il decreto attuativo n. 101 del 10 agosto 2018 pubblicato in Gazzetta Ufficiale del 4 settembre 2018.
L'entrata in vigore di questa normativa ha ripercussioni su molte attività aziendali, inclusa naturalmente la pubblicità e la comunicazione aziendale anche attraverso il sito internet. Nello specifico, tutte le aziende che posseggono un sito web e che elaborano le informazioni dei propri utenti, devono adeguarsi al Regolamento Europeo.
Naturalmente non tutti i siti raccolgono gli stessi dati, nè li trattano per le stesse finalità, per cui ogni caso merita di esser valutato nella sua specificità da un professionista competente.
Il primo consiglio è di informarsi leggendo attentamente alcune pagine, in particolare la guida al Regolamento UE disponibile sul sito del Garante Privacy ed ovviamente il testo del decreto attuativo sulla gazzetta ufficiale
In secondo luogo ogni azienda o persona fisica o giuridica interessata dovrebbe valutare l'opportunità di rivolgersi ad un professionista che sia in grado di valutare caso per caso le azioni da intraprendere e soprattutto fornire le informative specifiche per le esigenze dell'azienda, perchè non sempre un modulo standard o un'informativa generica è adeguata.
Ma vediamo, almeno per sommi capi, i punti salienti del GDPR e come impattano sul titolare di un sito internet.
N.1 GDPR e Siti internet: quali siti sono interessati
Siete proprietari di un piccolo sito internet aziendale o di un blog e vi state chiedendo se dovete adeguarlo al GDPR? Beh, quasi certamente si.
Devono adeguarsi al GDPR tutti i siti che trattano dati personali degli utenti. Ma cosa si intende per dato personale? Ormai si tende a considerare dato personale qualsiasi informazione (nome, codice fiscale, indirizzo, data di nascita, numero telefonico, ecc.) riguardante una persona fisica identificata o identificabile, anche indirettamente, oppure informazioni riguardanti una persona la cui identità è nota o può comunque essere accertata mediante informazioni supplementari.
Secondo questa accezione sono dati personali anche informazioni, tipicamente usate nel mondo digitale, quali email, IP, cookie che sono raccolti dal 99% dei siti internet.
N.2 GDPR e Siti internet: i diritti dell'interessato
Il punto fondamentale è che il proprietario del dato personale ha sempre diritto ad accedervi, modificarlo e gestirlo in ogni modo (anche con la portabilità) fino a chiederne la cancellazione.
Diritto di accesso, il diritto di rettifica, il diritto all’oblio, il diritto di limitare l’elaborazione delle informazioni private, il diritto alla portabilità dei dati sono infatti alcuni dei diritti fondamentali dell’utente, riconosciuti dal GDPR.
In particolar modo il diritto all'oblio è uno dei fulcri della nuova normativa. Questo significa che gli utenti devono poter manifestare facilmente la loro volontà ad essere cancellati dai database di un'azienda.
N.3 GDPR e Siti internet: il consenso al trattamento
Il consenso degli interessati al trattamento deve essere libero, incondizionato, preventivo, esplicito ed informato. Vediamo cosa significa.
Il consenso deve essere prima di tutto libero ed incondizionato, per cui il consenso è inefficace (quindi NON è valido) se l'esecuzione di un contratto o la prestazione di un servizio è subordinata al consenso, pur non essendo quest'ultimo indispensabile per tale esecuzione.
Oltre a questo il consendo deve essere preventivo cioè deve esser dato prima che il trattamento dei dati abbia inizio.
Il consenso deve essere esplicito e non sottinteso
Il consenso deve essere informato, quindi il titolare del sito deve informare l'utente su alcune questioni importanti come:
quali dati raccoglie il sito;
con quali modalità avviene il trattamento;
per quale scopo sono raccolti i dati
chi effettua il trattamento;
per quanto tempo vengono conservati i dati;
come può l'interessato accedere ai propri dati per effettuare modifiche e/o richiederne la cancellazione;
ecc.
Tutte queste informazioni saranno raccolte all'interno di una o più informative, da presentare all'utente al momento opportuno e comunque sempre disponibili sul sito.
N.4 GDPR e Siti internet: accesso ai dati personali
L’utente deve avere la possibilità di gestire i propri dati personali in modo semplice, ad esempio attraverso una pagina di profilo utente a cui possa accedere autonomamente. In questo modo ogni utente avrà la possibilità di gestire il consenso all'invio di comunicazioni, newsletter eccetera.
N.5 GDPR e siti internet: la sicurezza dei dati
La sicurezza dei dati degli utenti diviene centrale. In caso di violazione dei dati, la comunicazione agli utenti dovrà avvenire entro 72 ore per non incorrere in sanzioni. Per questo è opportuno passare da HTTP a HTTPS, valutare soluzioni di web hosting con protocolli sicuri a cifratura SSL/TLS e mettere in piedi misure per prevenire e gestire i data breach.
N.6 GDPR e siti internet: Le informative
Ogni sito internet deve fornire ai suoi utenti un'informativa sulla privacy, o anche più di una. Tale documento è obbligatorio nel momento in cui si raccolgono dati personali, ed ha lo scopo di fornire alle persone alcune informazioni su come tali dati saranno trattati, per quale scopo, per quanto tempo, qual'è la vostra identità, come ottenerne modifica e cancellazione e così via.
Ogni sito internet deve anche informare i suoi utenti che sta raccogliendo cookie, specificando di quali si tratta. Inoltre non è possibile installare cookie prima del consenso dell'utente. Cioè si devono bloccare i cookie fino a quando l'utente non li accetta esplicitamente (ad eccezione dei cookie tecnici).
N.7 GDPR e siti internet: google analytics & co.
Abbiamo detto che non si possono installare cookie prima che l'utente li abbia accettati, inclusi i cookie di google analytics, utilizzati per avere statistiche sugli accessi al sito.
Quasi tutti i siti web oggi utilizzano Google Analytics che solitamente registra l'IP del visitatore associandolo ad una serie di azioni (quali pagine visita, i tempi di accesso, il referrer, ecc.). Ma secondo il GDPR non è possibile registrare l'IP di accesso prima che l'utente accetti il trattamento.
Esiste in alternativa la possibilità di utilizzare Google Analytics con anonimizzazione degli IP così che l'attività di Analytics assume valore statistico e non rientra più nella definizione di "dato personale".
Per quanto riguarda eventuali banner pubblicitari, ad esempio del famoso circuito Ad Sense, qui non vi sono scappatoie: l'utente deve accettare l'installazione dei cookie di Google AdSense prima che gli vengano mostrati i banner pubblicitati.
Stessa cosa per widget di terze parti come mappe di google, pulsanti di facebook e così via.
L'utente inoltre deve poter accettare i cookie singolarmente e quindi per ipotesi dire sì ai cookie di google map e no a quelli di facebook...
N.8 GDPR e siti internet: la prova del consenso
Il titolare del sito web deve essere in grado di dimostrare l'avvenuto consenso (ad esempio registrando l'indirizzo IP ed il momento del click sul pulsante "Accetto"). La prova deve essere disponibile finchè dura il trattamento .
Fondamentale è anche che i flag di accettazione delle privacy policy non siano spuntati di default.
N.9 GDPR e siti internet: le newsletter
Se raccogliete indirizzi sul sito per inviare una newsletter siate chiari su quante newsletter invierete. L'utente dovrà accettare un'informativa specifica per questo. Inoltre deve potersi cancellare facilmente in qualunque momento.
Per quanto riguarda gli elenchi di utenti che si sono iscritti in passato alla vostra newsletter può essere sufficiente aggiornare le vostre privacy policy, ma ogni caso va valutato.
N.10 GDPR e siti internet: differenze cookie Law e GDPR
Con l'avvento della cookie law del 2015 il gestore di un sito web era tenuto a mostrare un banner con un'informativa breve per informare l'utente sull'utilizzo di cookie sul sito web. L'utente poteva solo accettare oppure andarsene.
Con il GDPR non è più sufficiente: il gestore di un sito web deve consentire agli utenti di effettuare una scelta, consapevole e informata, su quali cookie autorizzare e quali no e non si può proibire l'accesso alle informazioni del sito per il solo fatto di rifiutare l'installazione di un cookie, a meno che non sia idispensabile al funzionamento del sito.