Dal 25 maggio 2018 è entrato in vigore il Regolamento Europeo noto come GDPR.
Esso rappresenta un vero e proprio modello, poiché ha indicato le linee guida da adottare in materia di privacy e trattamento dei dati personali.
La sua entrata in vigore ha coinvolto anche il trattamento dei dati e i modelli di privacy policy dei siti web.
Così, i possessori dei siti web hanno dovuto procedere all’adeguamento dei siti secondo il GDPR, con un particolare focus alla tutela dei dati personali degli utenti.
Nonostante siano passati già due anni, nel 2020 molte aziende o professionisti che hanno un sito web, un e-commerce o un blog non sanno effettivamente se il loro sito sia GDPR compliant.
Proviamo a chiarire brevemente il significato del termine GDPR compliant:
Essere compliant significa essere conformi, in questo caso essere conformi al GPDR, cioè rispettare princìpi e regole previsti dal Regolamento europeo con un atteggiamento proattivo di fronte alla legge e con responsabilità (principio di accountability).
Adesso vediamo in pratica cosa bisogna fare per adeguare il tuo sito affinché sia GDPR compliant al 100%.
Cosa devi fare per avere un sito web GDPR compliant?
Proviamo a stilare una lista in punti che sia più esaustiva possibile per te che possiedi un sito web e vorresti che sia GDPR compliant e adeguarlo al regolamento europeo sulla privacy.
-
Rivedi il modello di Privacy Policy del tuo sito
L’art 13 del GDPR stabilisce quali sono le informazioni che la privacy policy di un sito web deve contenere. In particolare, il tuo sito web deve contenere:
- una descrizione sintetica dell'attività che svolgi
- la tipologia e la quantità dei dati raccolti
- le finalità di utilizzo dei dati
- le modalità di tutela dei dati
- il tempo di conservazione
- chi ha accesso ai dati
- indicazione dei plug in che memorizzano i dati degli utenti
- indicazioni di terze parti a cui trasmetti i dati raccolti per la profilazione degli utenti
- i dati del Titolare dell’informativa e (se è previsto) del DPO (Responsabile delle protezione dei dati).
È importante che il tuo sito web specifichi anche in che modo gli utenti possono esercitare i propri diritti e che l’informativa della privacy siano un modello sempre uguale e ben visibile in tutte le pagine del tuo sito web.
-
Controlla i moduli e i form di raccolta dei dati
I moduli di raccolta dei dati richiedono l'inserimento volontario di dati personali da parte dell’utente. Per questo motivo devi assicurarti che rispettino i principi del GDPR.
In pratica:
- non eccedere nella raccolta di dati non necessarie per le finalità
- prevedi una casella di spunta per ciascuna finalità
- controlla che le caselle non siano pre-spuntate o impostate sul SI nel caso ci sia l’opzione SI/NO.
Le stesse regole valgono anche per la compilazione di moduli di check out, cioè di finalizzazione di un ordine on-line, nel caso in cui il tuo sito fosse un e-commerce.
Se, invece, i tuoi form di contatto raccolgono i dati per iscrizioni alla newsletter, dovresti inserire una casella di spunta nella quale l’utente presta consenso all’invio di newsletter.
Devi inoltre consentire all’utente di revocare questo consenso in qualsiasi momento e in modo semplice: per farlo ti consigliamo di inserire il link per la cancellazione sia alla fine della newsletter che invii sia nel modulo che hai utilizzato per raccogliere i dati.
Se il tuo modulo prevede diverse modalità per contattare l’utente (es. telefono, SMS, email), permetti all’utente di scegliere quella che preferisce.
Se attraverso il modulo trasferisci i tuoi dati a terze parti:
- identifica chiaramente ciascuna di esse;
- permetti all’utente di dare o meno il consenso a questo trasferimento;
- prevedi un modo chiaro e semplice che consenta all’utente di revocare il consenso in qualsiasi momento.
-
Riesamina la cookie policy del tuo sito
Accertati che sul tuo sito sia presente un’informativa sui cookie che rispetti il Provvedimento Generale del Garante 229/2014.
L’informativa sui cookie deve essere parte integrante dell’informativa privacy e deve contenere:
- descrizione di cosa sono i cookie e come possono essere gestiti tramite le impostazioni del browser
- spiegazione di come viene prestato il consenso
- descrizione delle categorie di cookie utilizzati e relative finalità;
Per i cookie di terze parti, devi anche inserire:
- descrizione delle finalità e link al relativo modulo di consenso e all’informativa della terza parte.
In base al tipo di cookie presenti sul tuo sito web, ecco cosa devi fare:
- Per i cookie tecnici di “navigazione” (quelli strettamente necessari) non è necessario chiedere il consenso; basta un semplice banner in cui dichiari l’uso di questi cookie.
- Per i cookie Analytics, che sono assimilabili a quelli tecnici, non è necessario il consenso e puoi inserire anche in questo caso un banner informativo.
- Per i cookie di profilazione (cioè quelli che rilevano un determinato comportamento dell’utente sul tuo sito) è necessario chiedere il consenso dell’utente con un banner che informa della presenza di questi cookie e con un link che permetta all’utente di accettarli o rifiutarli.
Dovrai fare lo stesso qualora il tuo sito abbia installati dei cookie di profilazione di terze parti.
Ricorda che il banner deve essere molto visibile sul tuo sito web per dimensioni, per l’uso di font più grandi e per colori più evidenti rispetto agli altri contenuti del sito.
-
Fai un check dei Plug-in installati sul tuo sito web
In aiuto dei titolari di siti web e blog, ci sono alcuni plugin di WordPress, che consentono di estendere il numero di funzionalità del sito web senza usare nuove righe di codice.
Esistono centinaia di plug-in oggi, addirittura anche quelli per mettersi in regola con il GDPR, come ad esempio Iubenda.
Ma attenzione: quello che devi fare in questo caso è controllare che tutti i plug-in del tuo sito web siano conformi al GDPR e dichiararlo nell’informativa privacy.
Se così non fosse, ti consigliamo di sostituire il plug-in con un’alternativa migliore e in linea con le direttive del GDPR.
Oltre ai plug-in assicurati che anche il CMS, cioè l’editor che ti consente di gestire e aggiornare i contenuti sul tuo sito web, sia GDPR compliant.
Questa, in sintesi, è la nostra check-list per essere sicuro che il tuo sito web si adegui perfettamente alla normativa sulla privacy a al GDPR.
Se hai bisogno di un supporto tecnico per assicurarti che il tuo sito web sia adeguato al GDPR in ogni sezione, mettiti in contatto con uno dei nostri consulenti.
Ti supporterà e ti affiancherà in tutte le attività necessarie per far sì che il tuo sito web metta in atto tutte le disposizioni previste dal GDPR.