Da quando è entrato in vigore il GDPR le aziende italiane ed europee si sono adeguate al regolamento per proteggere i dati personali e di privacy delle persone con cui entrano in contatto quotidianamente. Le sanzioni previste per le violazioni sono molto salate, possono infatti arrivare ad importi di 20 milioni di euro o fino al 4% del fatturato annuo aziendale. Anche i siti web devono rispettare quanto stabilito all’interno del regolamento inserendo tutti gli elementi richiesti dalla normativa e ottenendo tutti i consensi necessari.
Se stai quindi per creare il tuo sito web da capo potrai trovare molto utili i nostri consigli per non tralasciare questo aspetto così importante e per evitare di incorrere in pesanti sanzioni. Ricordati inoltre che scegliere un hosting GDPR ready come Tophost ti permette di facilitare la procedura di adeguamento.
GDPR, cos’è
Il GDPR, o Regolamento Generale sulla Protezione dei Dati (General Data Protection Regulation) è un regolamento che riguarda il trattamento dei dati personali e in materia di privacy. È stato emanato dall’UE nell’aprile 2016 ed è diventato operativo a partire dal maggio del 2018, perciò oggi è una normativa a pieno regime.
Il regolamento nasce dall’esigenza di regolare la circolazione dei dati delle persone fisiche adeguandola al processo tecnologico in corso e di rendere la normativa privacy omogenea all’interno degli Stati Membri dell’Unione. In realtà il regolamento non è diretto soltanto alle aziende con sede all’interno dell’UE ma anche ad aziende con sede estera che però trattano dati di cittadini europei.
All’interno del regolamento viene disciplinata la modalità con cui i dati vanno raccolti, condivisi e utilizzati.
GDPR e sito web, come adeguarsi
Come abbiamo già detto l’inadempienza al regolamento GDPR può causare sanzioni molto elevate, per questo è importante tenere conto di quali elementi è necessario inserire all’interno del proprio sito web per proteggere i dati raccolti.
“Gli obblighi per i siti web possono variare in base alla natura del sito”
Il processo di adeguamento non è così semplice, per questo molti scelgono di affidarsi a professionisti che siano in grado di valutare tutti gli aspetti specifici del sito web senza tralasciare alcun elemento. Infatti gli obblighi per i siti web possono variare in base alla natura del sito: gli e-commerce hanno obblighi diversi rispetto a blog e siti vetrina. Ad ogni modo, alcuni adempimenti sono comuni a tutte le tipologie di siti web:
1. Privacy policy
La privacy policy è una pagina dedicata al GDPR che contiene tutta una serie di informazioni riguardanti la raccolta dei dati. Questa pagina deve essere ben visibile e accessibile in qualsiasi momento nella navigazione del sito web - per questo è solita trovarsi nel footer del sito e in tutti i moduli di contatto.
La privacy policy deve contenere informazioni su:
- la tipologia di dati personali che raccoglie il sito
- la motivazione per cui vengono raccolti i dati
- chi è il titolare del trattamento dei dati (di solito coincide con l’azienda)
- le modalità di trattamento dei dati
- il luogo e le tempistiche di conservazione dei dati
- nel caso in cui i dati vengano ceduti a terzi, in quale modalità.
Per riassumere, l’informativa sulla privacy deve contenere in modo chiaro, dettagliato e trasparente tutto quello che si intende fare con i dati degli utenti, da quelli che navigano sul sito a quelli che concludono un ordine online. Per questo motivo una privacy policy dovrebbe essere redatta ad hoc in base a quanti e quali dati vengono raccolti all’interno del sito e per quale scopo.
2. Cookie policy
Un altro elemento fondamentale da inserire all’interno del tuo sito web è la cookie policy. I cookie sono una sorta di “gettone identificativo” che memorizza i dati dell’utente che sta visitando un sito per poi poterlo identificare di nuovo nel caso in cui torni a visitare il sito. Al primo accesso al sito va inserito un cookie banner facilmente visibile ed identificabile dal visitatore che richieda il suo consenso al trattamento dei dati prima di procedere con la navigazione.
Il banner deve poi contenere il link che rimandi alla cookie policy, cioè all’informativa sui cookie. L’informativa cookie deve comprendere:
- una definizione generale di cosa sono i cookie
- le tipologie di cookie non tecnici installati e la loro finalità
- le indicazioni per esprimere o negare il consenso
- il link alla privacy policy
- le modalità di disattivazione di cookie di terze parti.
Oltre alla privacy policy ed alla cookie policy ci sono altri elementi da considerare per adeguarsi al GDPR:
3. Moduli di contatto
Tutti i moduli di contatto devono contenere il consenso all’uso dei dati per ognuna delle finalità previste dal modulo. Inoltre, secondo il GDPR, non possono essere richiesti più dati di quelli strettamente necessari ad adempiere alle finalità indicate. In ultimo il form deve contenere, come già specificato, il link che rimandi alla privacy policy.
4. Newsletter
Il consenso al trattamento dei dati va inserito anche all’interno dei moduli di iscrizione alla newsletter. L’utente deve avere sempre accesso libero ai propri dati ed essere in grado di modificarli; deve anche essere libero di revocare il consenso in qualsiasi momento: all’interno di ogni newsletter deve esserci un link per la disiscrizione.
5. E-commerce
Anche le procedure di raccolta dati per gli ordini effettuati sul proprio sito online devono seguire le indicazioni precedentemente descritte. Nelle pagine di checkout dell’ordine è bene richiedere soltanto i dati strettamente necessari, inserire il link all’informativa privacy ed eventuali consensi nel caso in cui si vogliano utilizzare i dati per altre finalità. Inoltre gli e-commerce devono dare la possibilità all’utente di poter cancellare i propri dati dai loro database in qualsiasi momento - diritto all’oblio.
È importante anche scegliere i plugin giusti per il proprio sito web, e cioè quelli GDPR compliant. Per verificare che lo siano basterà controllare sul sito del plugin o nella privacy policy del produttore; nel caso in cui il plugin non sia conforme sarebbe opportuno trovarne uno sostitutivo.
L’ultima cosa da fare per mettere al sicuro non soltanto il proprio sito web ma anche tutti i dati raccolti è quella di implementare un sistema di backup periodico sia per i contenuti del sito che per i database contenenti i dati degli utenti.
Pubblicato: | Aggiornamento: