ll GDPR (Regolamento generale sulla protezione dei dati) è una legge europea che protegge i dati personali degli utenti. Se il tuo sito web raccoglie, elabora o archivia dati personali di utenti europei, devi metterti in regola con questa normativa.
Attenzione però, spesso non sei consapevole dei dati che il tuo sito raccoglie, per esempio stai raccogliendo dati se:
- hai le statistiche attive
- hai dei banner pubblicitari
- hai un modulo per l’iscrizione alla newsletter
- alcune tecnologie del sito installano cookie
- hai il pixel di Facebook attivo
- …
In sostanza se ti stai chiedendo se il tuo sito web raccoglie dati, la risposta al 99,99% è SÌ.
Quindi ora che abbiamo chiarito che ti serve, vediamo quali sono i punti principali che ti interessano e come metterti a norma.
Premessa doverosa: la mia competenza è prettamente tecnica, non sono un legale e la mia conoscenza del GDPR di limita a ciò che concerne l’aspetto pratico e tecnico della sua applicazione per i siti web quindi se hai bisogno di una consulenza specifica ti invito a chiedere al tuo legale di riferimento.
I punti fondamentali del GDPR
Tra i concetti espressi nella normativa, che è ampia (se vuoi approfondire leggi la fonte ufficiale che è il sito del Garante della Privacy), ti riassumo i 4 che, per te che sei titolare di un sito web, sono fondamentali:
- Informativa sulla privacy: devi fornire ai tuoi utenti una chiara informativa sulla privacy che spieghi come vengono raccolti e utilizzati i loro dati personali. Questa informativa deve essere facilmente accessibile sul tuo sito web.
- Consenso: devi ottenere il consenso esplicito degli utenti prima di raccogliere, elaborare o archiviare i loro dati personali. Il consenso deve essere facilmente revocabile e deve essere fornito in modo chiaro e trasparente.
- Sicurezza dei dati: devi adottare misure di sicurezza appropriate per proteggere i dati personali degli utenti da accessi non autorizzati, perdite o furto.
- Diritto all\’oblio: gli utenti hanno il diritto di chiedere la cancellazione dei loro dati personali dal tuo sito web. Devono essere fornite procedure chiare per l\’esercizio di questo diritto.
Il consenso esplicito
Per prima cosa, approfondiamo il concetto di consenso esplicito e specifico. Negli anni di marketing selvaggio, bastava lasciare la mail o il numero di telefono ad un servizio clienti o sito web per subire poi qualsiasi tipo di attività a finalità commerciale.
Ecco perché il GDPR introduce questo tema, per esempio non basta più che l’utente ti chieda informazioni da un modulo di contatto perché tu possa inserirlo nella tua newsletter, deve proprio dare la sua specifica approvazione.
Non vale neanche inserire una checkbox già spuntata, la casella ci deve essere ma l’utente deve spuntarla dando appunto il suo consenso specifico per quella azione di marketing (per es. la ricezione della newsletter)
L’informativa sulla privacy
La pagina contenente tutte le informazioni su come raccogli e gestisci i dati personali, la cosiddetta privacy policy, è forse la cosa più semplice da comprendere e mettere in atto.
Crea una pagina sul sito, scrivi tutte le informazioni che riguardano il modo in cui raccogli, elabori e conservi i dati personali degli utenti e pubblicala.
L’importante è che il testo sia stato validato da un legale (esistono anche delle piattaforme specifiche di cui ti parlo nell\’ultimo paragrafo) e che il link alla pagina sia sempre visibile nel sito.
Di solito, infatti, è inserito nel footer, la parte in fondo al sito che è sempre uguale in tutte le pagine.
I cookies
Questa è la parte più complessa, partiamo dal fatto che, come dicevo all’inizio, il tuo sito quasi sicuramente installa cookie sul computer dell’utente.
I cookie sono “pezzi di codice” usati dal sito per ricordarsi l’utente, un po’ come se il sito attaccasse un\’etichetta ad alcuni passanti in cui scrive “ha visitato il mio sito alle h.14 del 31/01/2023”.
In questo modo, la prossima volta che quello stesso utente passa dal sito, viene riconosciuto e gli vengono fatte vedere, per esempio, delle pubblicità specifiche o un testo differente.
In alcuni casi su questa etichetta il sito scrive molte più cose: “il suo indirizzo IP è 201.234.555, ha visitato il mio sito venendo da Amazon, ha visualizzato due prodotti e li ha inseriti nel carrello, ecc.”
Ecco, prima di poter attaccare questa etichetta, devi fermare il tuo utente e dirgli:
“Hey, guarda che se sto per attaccarti un’etichetta con tutte queste informazioni e ti rimarrà appiccicata per tot giorni, sei d’accordo?”
Naturalmente potrebbe anche risponderti “Col cavolo!”
Ma, a quel punto, tu potresti giocare la tua carta migliore: “beh allora mi spiace ma non posso proprio lasciarti visitare il mio sito”
Ecco perché in molti siti trovi la definizione di cookie essenziali e non essenziali.
Il consenso ai cookie si chiede attraverso un banner che deve comparire come prima cosa all’accesso al sito e deve dare la possibilità all’utente di accettare o chiamarsene fuori.
Il tracciamento dei consensi
Per renderci la vita sempre più facile, il Garante negli ultimi anni ha anche emanato delle linee guida specifiche sui cookie introducendo un nuovo grattacapo per i webaster: non basta più solo chiedere il consenso ma si dovrà anche dimostrare di averlo ricevuto.
In pratica bisogna tracciare l’azione attraverso cui l’utente ci da il consenso per evitare che il famoso passante ad un certo punto se ne esca con “Ah nooo io non ho mica accettato questa cosa” (un po’ come mio figlio quando gli chiedo perché non ha fatto la lavatrice come aveva promesso, per dire…).
Però, con il tracciamento dei consensi, tirate fuori il registro, con tanto di indirizzo IP, giorno e ora e tanti saluti.
Le piattaforme che ti aiutano ad aderire alle norme GDPR
La prima piattaforma in assoluto che ha semplificato la gestione di tutta la faccenda Privacy è Iubenda.
Con Iubenda è possibile avere una Privacy e cookie policy validata da un team di legale, il cookie banner e il tracciamento dei consensi.
La configurazione di tutto non è proprio semplicissima ma è alla portata di qualsiasi webmaster e non richiede conoscenze legali.
Il costo dei primi due servizi è molto economico, purtroppo per il tracciamento dei consensi è necessario attivare il piano più costoso che supera le 200€/anno e che comprende 5 siti più la cookie slution fino a 50.000 page view.
Un’alternativa più economica e comunque affidabile, che io uso sui miei siti e consiglio alle mie clienti, è Legal Blink.
Questa piattaforma è italiana e si è fatta strada proprio per i suoi piani tariffari che comprendono tutto ciò di cui puoi avere bisogno, compreso il registro per il tracciamento dei consensi.
La configurazione è semplice poiché i documenti possono essere compilati attraverso un questionario che non richiede conoscenze tecniche, lasciando al webmaster il solo compito di installare il cookie banner.
Riepilogo di cosa ti serve per tenere il tuo sito a norma
Ecco un riepilogo schematico di cosa ti serve, come proprietario di un sito web, per essere a norma con il GDPR:
- la privacy e Cookie Policy: un testo pubblicato sul sito e linkato in tutte le pagine in cui descrivi nel dettaglio quali dati stai raccogliendo, in che modo e con quali finalità;
- il cookie banner: un avviso che segnala agli utenti il fatto che stai installando dei cookie in cui richiedi il consenso esplicito;
- il registro per il consenso ai cookie: in cui vengono registrati tutti i consensi che gli utenti danno al cookie banner.
In aggiunta a questo, se vendi qualcosa sul sito, devi anche redigere il documenti con i Termini e condizioni.
Come ho detto all\’inizio dell\’articolo, se hai dei dubbi rivolgiti ad un legale, anche Legal Blink, con una quotazione aggiuntiva, è disponibile per consulenze specifiche.
Se invece hai bisogno di mettere online il tuo sito e vuoi un aiuto, scrivimi!
