Come adeguare il proprio sito web al GDPR

Come adeguare il proprio sito web al GDPR
Il GDPR (General Data Protection Regulation), è una normativa europea entrata in vigore il 25 maggio 2018, che disciplina la raccolta, il trattamento e la protezione dei dati personali delle persone fisiche all'interno dell'Unione Europea. Adeguarsi al GDPR non è solo una questione di conformità legale, ma un'opportunità per migliorare la fiducia degli utenti, la reputazione del proprio sito e la sicurezza dei dati in proprio possesso.

L’importanza di essere compliance al GDPR per chi possiede un sito web ed un e-commerce

Il regolamento GDPR (General Data Protection Regulation) è il regolamento europeo n. 2016/679 in vigore dal 25 maggio 2018,  sulla protezione dei dati personali che ha introdotto importanti cambiamenti nel modo in cui le aziende devono gestire i dati dei propri utenti, sia in maniera cartacea che informatizzata.

Se si è in possesso di un sito web, o di un e-commerce, è fondamentale assicurarti che sia conforme al GDPR per evitare sanzioni e tutelare la privacy dei tuoi visitatori.

 

A Chi si applica il GDPR?

Il GDPR si applica a tutte le aziende che trattano dati personali di cittadini dell’Unione Europea.

Per “dati personali” si intendono le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica (nomi, numeri di telefono, indirizzi IP di computer, indirizzo, foto, email, ecc) e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, il suo stato di salute, la sua situazione economica, ecc.

Per “trattamento” si intende qualsiasi operazione, compiuta con o senza l’ausilio di processi automatizzati e applicate a dati personali, come ad esempio: la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione (art. 4, punto 2, del Regolamento 2016/679).

 

Quali conseguenze comporta non essere compliance con il GDPR?

Il mancato rispetto delle regole del GDPR comporta sanzioni pecuniarie severissime che, in alcuni casi, arrivano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente.

 

Quali sono gli obblighi del GDPR per adeguare il proprio sito web ed il proprio ecommerce?

La conformità al GDPR per un sito web e per un e-commerce è fondamentale per evitare sanzioni e proteggere i dati dei propri clienti. Ecco gli aspetti chiave da valutare:

1. Privacy policy

L’informativa per la privacy è un documento necessario per chiunque effettua un trattamento dei dati e la sua funzione principale è quella di informare il cliente sul trattamento dei dati personali.

Come previsto dall’art. 13 del Regolamento 2016/679, i contenuti fondamentali dell’informativa sono:

– i dati del titolare del trattamento ed eventuale responsabile del trattamento, quando presente;

– le finalità del trattamento dei dati;

– le basi giuridiche del trattamento;

– le tipologie di dati che vengono raccolti;

– eventuale presenza di destinatari a cui vengono comunicati i dati;

– il nome del responsabile della protezione dei dati personali (DPO) quando nominato;

– i tempi di conservazione dei dati: vengono decisi dal proprietario del sito, ma devono essere proporzionali alle finalità del trattamento.

È fondamentale che l’informativa sia:

  • chiara e concisa: occorre spiegare in modo semplice e diretto tutti i contenuti sopra riportati.
  • facilmente accessibile: dovrà essere sempre disponibile agli utenti ad esempio inserendo un link ben visibile in tutte le pagine del sito (ad esempio nel footer).

Nel caso di gestione di un sito e-commerce l’informativa deve includere informazioni sul trattamento dei dati per finalità specifiche, quali ad esempio: la gestione degli ordini, i pagamenti, il marketing, l’eventuale analisi del comportamento degli utenti (profilazione), ecc.

 

2. Consenso

Perché sia lecito, il trattamento di dati personali dovrebbe fondarsi sul consenso dell’interessato o su altra base legittima prevista per legge.

Il consenso alla privacy policy non è l’unica base giuridica che legittima il trattamento dei dati ma è il presupposto per poter fare quasi tutte le attività di marketing e profilazione presenti per la gestione di siti web ed e-commerce.

Il consenso è obbligatorio quando:

  • non sussiste altra base giuridica valida: se il trattamento non può essere giustificato da un obbligo contrattuale, un obbligo di legge, un interesse pubblico o la tutela di interessi vitali, allora è necessario ottenere il consenso dell’interessato;
  • si tratta di dati particolari: si intendono origine razziale, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici, dati biometrici, dati relativi alla salute, ecc.;
  • si effettua marketing diretto: ad esempio invio di newsletter, email promozionali, SMS pubblicitari;
  • si utilizzano cookie non essenziali: ad esempio cookie di profilazione, cookie di terze parti per il tracciamento.

Tramite l’informativa al trattamento, quindi, il cliente deve essere debitamente informato sulle finalità di trattamento ma, la cosa importante per avere un sito e-commerce a norma, è che venga rilasciato un esplicito consenso dall’utente per manifestare l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano nelle casistiche sopra indicate.

È importante ricordare che:

    • l’utente deve dare il consenso in modo esplicito (ad esempio, spuntando una casella in un sito web) per ogni finalità di trattamento dei dati che riguarda attività di marketing, profilazione, ecc. Considerando la navigazione in un sito web, il solo scrolling non può essere reputato come un’azione esplicita.
    • Si deve essere in grado di dimostrare di aver ottenuto il consenso dell’utente, pertanto, bisogna conservare la prova dell’esplicita accettazione.
    • Occorre offrire agli utenti la possibilità di revocare il consenso in qualsiasi momento.

I cookie consentono di memorizzare le proprie preferenze di navigazione sui siti web e vengono utilizzati per diverse finalità, quali ad esempio una migliore esperienza di navigazione, personalizzazione dei contenuti, la memorizzazione dell’autenticazione degli utenti, ecc.
In base alla funzione e alla finalità di utilizzo, i cookie possono suddividersi in cookie tecnici, cookie di profilazione, cookie analitici, cookie di prima parte e cookie di terze parti.

Banner Cookie
Figura 1 – Banner Cookie

Per il rispetto del GDPR per un sito web che utilizza i cookie occorre ricordare che:

  • Informativa sui cookie: il sito deve contenere un’apposita informativa sui cookie, in cui viene spiegato il sito quali cookie utilizza, a cosa servono e come gli utenti possono gestirli.
  • Banner cookie: deve essere presente un apposito campo per informare gli utenti sull’uso dei cookie e richiedere il loro consenso prima di installarli.

Per l’utilizzo dei cookie tecnici e cookie analitici l’unica accortezza è quella di indicare la loro presenza nella Cookie Policy mentre, per quanto riguarda i cookie di profilazione, possono essere installati solo previo consenso da parte dell’utente tramite il cookie banner.

Il cookie banner deve indicare da chi verranno trattati i dati (cookie di prima parte o di terze parti) e se il sito utilizza cookie di profilazione. Inoltre deve contenere un link alla Cookie Policy e dare la possibilità di acconsentire o negare il consenso.

4. Registri delle attività di trattamento:

Per tutti i trattamenti dati è opportuno redigere un apposito Registro dei trattamenti che rappresenta in modo dettagliato come vengono gestiti i dati, indicando nel dettaglio le finalità del trattamento, le categorie di dati, i destinatari dei dati e le misure di sicurezza utilizzate.

Il registro dei trattamenti risulta un documento fondamentale perché consente di analizzare tutti gli aspetti che dovranno poi confluire nell’informativa del trattamento da fornire ai propri utenti e da cui far partire le apposite considerazioni in merito alle più opportune misure di sicurezza da adottare.

Se nel dettaglio dell’attività di trattamento sono state indicate le finalità per cui è previsto il consenso, in maniera del tutto automatica, nell’informativa saranno riportati i relativi check per la gestione della preferenza da parte dell’interessato.

Quale strumento è possibile utilizzare per raggiungere la conformità al GDPR?

Blumatica GDPR: Semplifica la tua conformità alla privacy

Schermata Blumatica GDPR
Figura 2 – Schermata Blumatica GDPR

Blumatica GDPR è il software che semplifica l’adeguamento al GDPR per qualsiasi organizzazione. Con Blumatica è possibile:

  • gestire le nomine: Responsabile del trattamento, Responsabile della Protezione dei Dati (DPO) e altre figure chiave;
  • compilare i registri delle attività documentando tutte le attività di trattamento dati in modo organizzato;
  • effettuare l’analisi dei rischi e, se necessario, la Valutazione d’Impatto sulla Protezione dei Dati (DPIA).
  • Creare informative generando automaticamente moduli per il consenso per dipendenti, clienti e fornitori.

Collaborazione semplificata

Blumatica GDPR offre aree di Workspace dedicate per la collaborazione con i propri clienti:

  • checklist interattive per raccogliere le informazioni necessarie;
  • creazione automatica delle aziende: i dati raccolti dalle checklist vengono utilizzati per creare automaticamente il profilo dell’azienda in Blumatica GDPR;

Logo agenzia per la cyber sicurezza

 

Blumatica GDPR possiede la certificazione ACN (Agenzia per la Cybersicurezza Nazionale).

 

Loghi DPIA

È il primo ed unico software certificato conforme al regolamento UE 2016/679 e con metodologia DPIA proprietaria riconosciuta e validata (alla data di rilascio dei certificati di accreditamento).

Scopri i dettagli visitando la pagina dedicata a Blumatica GDPR.

Cristina Feola

Responsabile Tecnico


Lascia un commento

La tua email non verrà pubblicata. I campi obbligatori sono contrassegnati *