Il GDPR, Regolamento Privacy dell’Unione Europea, è entrato in vigore il 25 maggio 2018, interessando direttamente i siti web, inclusi i blog personali e gli store online.
Vediamo come il GDPR influisce sull'attività del sito web e cosa devi fare per rispettarlo e non incorrere in sanzioni.
Vediamo come il GDPR influisce sull'attività del sito web e cosa devi fare per rispettarlo e non incorrere in sanzioni.
1. GDPR SITO WEB COME FUNZIONA
Se possiedi un sito web avresti già dovuto adeguarlo alle nuove normative onde evitare sanzioni: se ancora non lo hai fatto ecco il modo in cui è cambiata la gestione dei dati personali online e gli interventi da effettuare per adeguare il sito al Regolamento GDPR.
Tra gli aspetti più importanti della nuova regolazione c’è sia la previsione di una serie di norme puntuali per il trattamento dei dati da parte degli enti pubblici e delle aziende, che la previsione di una serie di sanzioni, anche particolarmente salate, per tutti i privati che non adempiono ad una serie di obblighi in materia.
I principi fondamentali del nuovo regolamento attengono:
- al divieto (in assenza di autorizzazione da parte del relativo titolare) di elaborazione dei dati personali;
- alla limitazione delle finalità di trattamento, con la definizione specifica degli scopi per i quali i dati possono essere raccolti; alla previsione di limiti stringenti al trattamento cd. pubblicitario, cioè ponendo un limite all’uso per finalità promozionale dei dati acquisiti se non vi è uno specifico assenso a questo scopo.
Ma quali incidenza hanno le nuove regole GDPR per chi gestisce un sito web?
In effetti, una buona parte delle norme in questione prevedono l’istituzione di specifici controlli e protocolli che devono essere eseguiti ogni volta che si tratta di dati personali e inserendo una disciplina specifica per quanto riguarda i dati sanitari e altri considerati particolarmente sensibili.
2. GDPR SITO WEB COSA FARE PER METTERSI IN REGOLA
Cosa deve fare un sito web per mettersi in regola con il regolamento europeo?
Dobbiamo occuparci principalmente delle novità che questa disciplina ha comportato.
Infatti, le norme sui trattamenti dei dati personali sono valide anche per siti web e social media e prevedono una serie di interventi che devono essere effettuati in tutti i casi in cui avviene una raccolta (anche automatica) di dati relativi agli utenti: ad esempio, con l’utilizzo di cookie o altre misure di targetizzazione.
Per semplificare e offrirti subito una rapida risposta alla domanda che ci siamo fatti, riportiamo qui schematicamente i cambiamenti più importanti che sono stati introdotti dal regolamento.
E analizzeremo solo i più importanti.
In particolare, le novità concernenti il sito web sono:
- l’introduzione di un obbligo di documentazione rispetto ai dati che vengono acquisiti e conservati dal sito web;
- una revisione complessiva delle autorizzazioni con conseguente obbligo di fornire le informazioni relative alle modalità e agli scopi del trattamento (la cd. Privacy policy);
- la previsione dei diritti di accesso e dei diritti all’oblio rispetto alle informazioni concernenti i dati personali;
- la subordinazione del consenso specifico alla possibilità di applicare cookie o richiedere l’utilizzo per finalità promozionali dei dati personali;
- la previsione di multe nel caso di mancato adempimento a queste regole.
È bene capire in che modo è possibile adeguare il proprio sito web o crearne uno compatibile con il Regolamento Privacy.
Ciascun sito web che tratta dati, per adeguarsi al GDPR, dovrà dotarsi di un’informativa privacy, possibilmente con un collegamento accessibile da qualunque pagina del sito.
L’informativa privacy, chiamata anche “privacy policy sito web” è il documento con il quale si informano gli utenti del sito sulle modalità di trattamento dei dati e sulle finalità.
Due sono gli articolo fondamentali in materia: articolo 13 paragrafo 1 e l’articolo 14 paragrafo 1 del Regolamento Europeo sulla Privacy.
E’ dunque facile intuire, come l’informativa sia un documento personalizzato e non standardizzabile, che si basa sull’adeguamento al GDPR, del soggetto che tratta i dati e sugli specifici trattamenti e modalità che questo adotta.
L’errore più comune è dunque quello di pensare che basti un’informativa standard per essere a norma GDPR.
Inoltre, un sito web dovrà dotarsi di un documento che spieghi agli utenti il tipo di dati raccolti, chi e come li raccoglie, perché vengono raccolti, come e per quanto tempo vengono conservati e se e come verranno ceduti a terzi.
Importante!
Questa informativa è necessaria per ottenere il consenso al trattamento dei dati personali: a questo proposito è dunque necessario dotarsi di un’apposita sezione del sito o di un form da compilare per poter consentire all’utente di accedere all’informativa e di prestare il proprio consenso.
Per quanto concerne i moduli di contatto (solitamente i form HTML con cui avviene l’accesso al sito web da parte dell’utente): in questo caso l’inserimento dei dati da parte dell’utente integra appieno il significato di dotazione al titolare del server delle informazioni personali, così costringendo il titolare ad adeguare il modulo al GDPR.
A tal fine, il modulo deve essere integrato con il link all’informativa sulla privacy, mettendo l’utente in condizione di accettare il trattamento relativo mettendo la spunta sul checkbox relativo.
Ricorda!
Questo non consenso può essere utilizzato solo per le finalità di contatto e non anche per altre finalità, ovvero che non è possibile chiedere per queste finalità dati che non risultano indispensabili per lo scopo di contatto.
Altra cosa da ricordare è che bisogna correggere i moduli già presenti sul proprio sito, per consentire all’utente di prestare in modo espresso il proprio consenso: a tal fine i moduli di newsletter o, comunque, tutte le preferenze di contatto non potranno prevedere un consenso di default o caselle precompilate, ma una casella di spunta per consentire all’utente di prestare autonomamente il proprio consenso.
Inoltre, il titolare del sito web deve provvedere a registrare e conservare i dati, sia quelli relativi all’utente che quelli concernenti la prestazione del consenso al trattamento.
Per questo motivo, il sito web si deve dotare di un apposito database che faciliti l’accesso e la conservazione sicura dei dati ottenuti.
A questo fine, può essere utile implementare un registratore dei log, che certifica in modo adeguato data, ora e provenienza (= indirizzo IP) delle operazioni sul consenso.
Nel caso in cui sul sito siano presenti aree riservate o moduli di registrazione che prevedano l’inserimento di dati specifici dell’utente risulta essere necessario predisporre sia strumenti che permettono di monitorare gli accessi effettuati sia modificare le aree riservate agli utenti, integrandole di alcune funzionalità che permettano agli stessi:
- l’accesso ai propri dati;
- la modifica degli stessi;
- la modifica al consenso prestato in relazione al trattamento o ai trattamenti richiesti dal sito;
- la cancellazione della propria iscrizione e, conseguentemente, dei dati forniti.
In tutti i casi in cui utilizza un sistema di misurazione degli accessi (come Google Analytics) si effettua un trattamento di dati personali, dal momento che per ogni accesso viene registrato l’indirizzo IP dell’utente o le azioni compiute sul sito (pagine visitate, tempi online, referrers, e così via).
In questo caso è necessario indicare nell’informativa privacy che esistono queste modalità di tracciamento (e richiedere, quindi, che il consenso si estenda anche a questo tipo di trattamento).
Altro ambito particolarmente inciso dalla normativa GDPR riguarda la disciplina sull’uso dei cookie.
Infatti, i gestori dei siti web devono mostrare un’informativa (solitamente in forma breve, all’interno di un banner) in cui spiegare agli utenti che il sito utilizza dei cookie per le più diverse finalità e chiedendo uno specifico assenso per questa pratica.
In altri termini, il titolare di un sito web dovrà permettere agli utenti di scegliere se consentire l’utilizzo dei cookie o, in caso di diverse finalità, di selezionare quali autorizzare e quali no, senza poter vietare l’accesso al sito (come avveniva prima del GDPR) agli utenti che negano l’installazione dei cookie non indispensabili al funzionamento del sito.
Anche per la gestione dei consensi relativi ai cookie, peraltro, deve essere consentito all’utente di revocare il consenso a tutti o a specifici cookie.
In virtù di quanto finora affermato, il servizio WordPress ha inserito una serie di filtri che permettono di indicare il modo di gestione e archiviazione da parte dei plugin dei dati personali degli utenti: in questo caso, tutto quello che devi fare è aggiornare il programma alla sua più recente versione, che già include tutti i protocolli adeguati alla privacy policy e alla gestione dei dati.
Tra le novità più importanti segnaliamo:
- l’inserimento di un apposito form per consentire agli utenti il salvataggio dei propri dati tramite cookie ogni volta che si commenta un articolo (tramite l’opzione “Salva il mio nome, email e sito web per la prossima volta”);
- la previsione, per il proprietario del sito, di un’apposita pagina in cui inserire la Privacy Policy, che verrà visualizzata dagli utenti nelle pagine di accesso e di registrazione;
- l’implementazione di un sistema di esportazione dei dati personali degli utenti, da parte del gestore del sito, in un apposito file zip;
- l’implementazione di un sistema che permette al gestore di cancellare i dati personali raccolti, inclusi quelli trattati dai plugin.
3. SANZIONI GDPR PER SITO WEB NON CONFORME
Il quadro sanzionatorio del GDPR è piuttosto complesso ed articolato, con parti che ancora oggi lasciano dubbi interpretativi.
L’ autorità di controllo è il Garante della Privacy, che si avvarrà delle forze dell’ordine per le verifiche sulle segnalazioni giunte dai privati cittadini o rilevate dai siti internet.
È prevista una sanzione nei seguenti casi:
- violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell’informazione;
- trattamento illecito di dati personali che non richiede l’identificazione dell’interessato;
- mancata o errata notificazione e/o comunicazione di un data breach all’Autorità nazionale competente;
- violazione dell’obbligo di nomina del DPO;
- mancata applicazione di misure di sicurezza.
Nel caso di violazioni di maggiore gravità, per le quali sono previste sanzioni amministrative fino a 20 milioni di euro per le imprese o fino al 4% del fatturato mondiale dell’anno precedente, viene irrorata la sanzione nei seguenti casi:
- inosservanza di un ordine, di una limitazione provvisoria o definitiva concernente un trattamento, imposti da un’Autorità
- trasferimento illecito cross-border di dati personali ad un destinatario in un Paese terzo.
L’ importo delle sanzioni è stabilito dal Garante della Privacy che, in ottemperanza a quanto stabilito dall’ Art. 83 del GDPR, deve valutare, caso per caso ed irrorare sanzioni che siano effettive, proporzionate e dissuasive.
Una sanzione “indiretta” è poi rappresentata dal “danno di immagine”.
Infatti, una eventuale sanzione del Garante Privacy verrebbe pubblicata online.
In questo caso, il sito web che ha violato le norme contenute nel Regolamento Europeo subirebbe un evidente danno di immagine visto che sarebbe “additata” come una impresa che non rispetta i dati personali dei suoi utenti.
Come hai potuto vedere leggendo l’articolo, è fondamentale rispettare a pieno quanto disposto dal GDPR riguardo i siti web.
Per mettere a norma il tuo sito web ed evitare sanzioni, che possono essere anche molto pesanti, contattaci subito scrivendoci all’indirizzo info@abinnovationconsulting.com, oppure compilando il modulo che trovi di seguito.