GDPR: adeguare il sito web alla normativa sulla privacy europea

Nel maggio 2018 in Italia è entrato in vigore il nuovo Regolamento Privacy dell’Unione Europea, chiamato GDPR (General Data Protection Regulation), che ha sostituito la normativa italiana in materia di trattamento dei dati personali e privacy fino a quel momento vigente.

Le nuove norme prevedono una serie di adempimenti per le aziende sia offline che online. Tra gli adempimenti online c’è sicuramente l’adeguamento del sito web aziendale, sia che questo sia un sito vetrina oppure un blog oppure un sito e-commerce. Potrebbe parere strano che ne parliamo a distanza di anni dall'entrata in vigore del Regolamento, ma non lo è perché sono moltissime le aziende che non si sono ancora allineate.

Adeguare il sito web al GDPR non è una cosa banale e richiede la massima attenzione in termini di adeguamento delle informative e di trattamento e protezione dei dati personali sia dal punto di vista legale/informativo sia dal punto di vista tecnico.

Essendo questa una procedura abbastanza complessa, che richiede diverse competenze, per quanto riguarda la parte legale noi abbiamo deciso di affidarci a consulenti, nostri partner, specializzati in materia o, in alternativa, al consulente privacy dell’azienda nostra cliente che richiede l’adeguamento del sito.

Il nostro compito, pertanto, prevede l'implementazione tecnica nel sito web del nostro cliente di tutti gli adeguamenti che il consulente ci segnala.

Le indicazioni che ci vengono fornite non sono standard, ma variano in funzione del sito webdi quali dati personali degli utenti vengono raccolti, di come sono raccolti e di come poi sono trattati dall'azienda.

L'attuale normativa privacy, infatti, riguarda esclusivamente i siti web che raccolgono dati personali degli utenti con finalità di profilazione (cosa che, al giorno d’oggi, comprende quasi tutti i siti, anche se l’utente non se ne accorge mentre vi naviga sopra)

Per un sito vetrina fine a se stesso, ovvero senza interazioni, dove c'è, ad esempio, una pagina di presentazione dell’azienda e un’altra dedicata a dare informazioni sui contatti dell’azienda, l’adeguamento potrebbe essere superfluo.

Ma se nel sito sono installati cookie (non tecnici), oppure è presente un form di richiesta contatto o informazione, o un social widget o Google Analytics, allora il sito web deve essere adeguato alla normativa europea perché raccoglie e tratta i dati personali degli utenti con finalità specifiche.

Sono appunto questi gli aspetti tecnici da analizzare per adeguare il sito web al GDPR e per i quali poi il consulente fornirà tutte le indicazioni necessarie all’adeguamento. Facciamo un esempio pratico.

Richiesta e obiettivo

Siamo stati contattati da un'azienda italiana che produce e commercializza box doccia, per adeguare il loro attuale sito web alle normative GDPR in modo tale da non incorrere in sanzioni. Per evitarle, infatti, il cliente aveva deciso di disabilitare alcune funzionalità del sito (ad esempio la newsletter), ma era intenzionato a riattivarle dopo l'adeguamento.

Non essendo stato sviluppato da noi l'attuale sito web, e quindi non sapendo tecnicamente cosa “c’è dietro”, abbiamo iniziato facendo un'analisi per individuare la piattaforma utilizzata, identificare eventuali form all’interno delle varie sezioni e stabilirne le finalità (contatto, assistenza, newsletter ecc.), trovare eventuali cookie installati ecc.

Eseguita l’analisi tecnica abbiamo informato il cliente, il quale con le informazioni da noi fornite si è rivolto al suo consulente GDPR per completare la sua parte, utile poi a stendere le informative e le indicazioni da fornirci per adeguare il sito web.

L'adeguamento del sito web

Per questo sito l’adeguamento ha preso in considerazione i seguenti punti:

  1. Informativa privacy;
  2. Cookie;
  3. Form di contatto.

Informativa privacy

L’informativa privacy è il documento più importante e per questo motivo deve essere preparato ad hoc e con attenzione dal consulente con le informazioni recepite sia dal cliente sia dal webmaster (in questo caso noi).

Al suo interno sono presenti i riferimenti del Titolare del sito (e di conseguenza dei dati che vengono raccolti) e viene descritto, in modo chiaro e trasparente, come i dati degli utenti verranno trattati e utilizzati dal titolare stesso.

Sul sito il documento della privacy era presente, ma non era aggiornato con tutte le informazioni richieste dal nuovo regolamento; era inoltre mescolato all’informativa dei cookie.

Il GDPR vuole che questi due aspetti (normativa privacy e normativa cookie) siano distinti tra loro.

Per adeguare il sito a questo punto le disposizioni del consulente sono state quelle di creare una nuova sezione dedicata esclusivamente all’informativa sulla privacy in cui inserire il testo che ci ha fornito.

Nel testo dell’informativa viene reso noto all’utente del sito:

  • quali dati vengono raccolti dal sito;
  • in quali modalità vengono trattati i dati;
  • per quali finalità vengono raccolti i dati;
  • per quanto tempo vengono conservati i dati;
  • come vengono protetti i dati;
  • chi ha accesso ai dati;
  • a chi possono venire comunicati e trasferiti i dati;
  • i riferimenti del Titolare e del Responsabile dei dati.

Oltre a ciò, il consulente ci ha informato che questa pagina deve essere accessibile da ogni pagina del sito e da ogni form; abbiamo pertanto creato un collegamento diretto nel footer del sito e in tutti i moduli di contatto all’interno di una specifica dicitura da lui fornita.

Cookie

I cookie sono dei piccoli file di informazioni che i siti web memorizzano sul computer dell'utente durante la navigazione con lo scopo di identificarlo per facilitare/semplificare alcune procedure.

I cookie hanno una scadenza e una tipologia in funzione del loro utilizzo. Ci sono cookie tecnici, di profilazione e di terze parti.

I cookie tecnici sono quelli utilizzati dal sito per facilitare la navigazione dell’utente e alcune funzionalità presenti nel sito stesso.

I cookie di profilazione sono quelli che permettono di creare un profilo personale dell’utente sulla base dei suoi comportamenti e permettono di capire, ad esempio, quali pagine visita e quali sono i suoi interessi. Uno dei tanti utilizzi di questi cookie è quello di visualizzare pubblicità mirate anche su altri siti.

I cookie di terze parti sono quelli integrati nel sito, ma forniti da piattaforme esterne, ad esempio Google Analytics o il pixel di Facebook; su di essi il titolare del sito non ha il controllo diretto e hanno lo scopo anch'essi di identificare l’utente.

Il GDPR prevede che l’utente del sito sia informato - in forma breve attraverso un banner e in forma più approfondita con una sezione specifica - sulla presenza dei cookie che vengono utilizzati e sulla loro durata; stabilisce inoltre che possa scegliere la loro attivazione o disattivazione.

Il GDPR ritiene che solo per i cookie tecnici la richiesta del consenso all’attivazione non è necessaria

Sul sito abbiamo individuato sia cookie tecnici che cookie di terze parti; pertanto è stato necessario eseguire alcune attività di adeguamento.

La normativa approfondita per informare l’utente sulla presenza dei cookie era mescolata al testo vecchio della privacy policy e il banner informativo non era adeguato a informare l'utente, in quanto non prevedeva la possibilità di accettare o non accettare i cookie.

Le disposizioni del consulente per correggere e adeguare il sito sono state quelle di:

  1. creare una pagina dedicata con il testo fornito (da lui preparato ad hoc con le nostre indicazioni tecniche su quali cookie erano presenti e come venivano utilizzati);
  2. adeguare il banner informativo prevedendo la possibilità di scelta da parte dell’utente;
  3. inserire il collegamento alla sezione dell’informativa dei cookie in tutte le pagine.

Form di contatto

I moduli presenti all'interno del sito devono avere caratteristiche specifiche per essere conformi alla nuova normativa:

  1. richiedere solo i dati strettamente necessari al raggiungimento della finalità;
  2. prevedere una casella di spunta, con un link all’informativa privacy, in cui l'utente dà il consenso alla raccolta dei propri dati;
  3. prevedere una casella di spunta per la richiesta di consenso per ogni specifica finalità di utilizzo dei dati personali (ad esempio: una per l’invio di comunicazioni marketing/newsletter, un’altra per il consenso alla profilazione);
  4. tutte le caselle di spunta NON devono essere inizialmente spuntate.

Sul sito sono presenti un form di contatto e un form di assistenza. Anche in questo caso il consulente ci ha fornito tutte le indicazioni di adeguamento di questi form. L'adeguamento principale è stato sulle caselle di spunta da prevedere e sui testi da inserire in corrispondenza di ciascuna di queste.

Conclusioni

Le operazioni descritte sono quelle eseguito sul sito di questo cliente, ma ogni sito deve essere conforme al GDPR e necessita di differenti procedure di adeguamento in funzione della sua tipologia e di come raccoglie e utilizza i dati degli utenti. 

Anche tu hai bisogno di adeguare il tuo sito web alla normativa GDPR? Contattaci!