Cosa è cambiato con il nuovo regolamento generale sulla protezione dei dati nel contesto web
Ogni sito web deve avere una privacy policy e una cookie policy adeguata e coerente alle direttive GDPR entrate in vigore a maggio di quest’anno.
Non c’è ancora molta chiarezza, soprattutto lato aziende, di come deve essere impostata una privacy o cookie policy e quali sono veramente i problemi che il non-adeguamento può comportare.
Occupandoci di Privacy Aziendale vogliamo fare un breve promemoria degli elementi obbligatori per non correre il rischio di essere sanzionati in caso di contestazione dal Garante della Privacy.
Vediamo in sintesi di cosa parliamo:
La Privacy Policy
La Privacy Policy è quel documento, linkabile da ogni pagina del sito, che descrive in via generale come e per quali finalità vengono trattati i dati personali degli utenti che navigano nel sito web.
Quali sono gli elementi principali trattati nella Privacy Policy per un sito web:
- Definizione e descrizione di ogni tipo di dato personale che viene trattato: nome, cognome, email, dati statistici, ecc.
- Le basi giuridiche del trattamento: la base giuridica è una novità del GDPR, è il fondamento che ci permette di effettuare il trattamento dei dati raccolti, tra cui spicca la gestione del consenso.
- Le finalità e modalità del trattamento dati e i soggetti terzi presenti nel sito, i quali possono raccogliere e trattare dati personali: ad esempio tutte le terze parti le cui tecnologie sono inserite nel sito o nell’app, come può essere il tracciamento di Google Analytics o il pixel di Facebook.
- Eventuale trasferimento dei dati all’estero.
- I diritti dell’interessato: vanno indicati anche i nuovi diritti introdotti dal GDPR, come la portabilità del dato e il diritto all’oblio.
- Gli estremi identificativi del titolare: i dati e i contatti dell’azienda che raccoglie e gestisce il trattamento dei dati.
La Cookie Law
Ogni utente che visita un sito web deve avere la possibilità di navigare senza interruzioni e senza subire i cookie. Per questo ogni sito ha l’obbligo di creare una Cookie Policy con l’elenco dei cookie presenti sul sito e le istruzioni per gestirli.
La Cookie Law è quel documento che raccoglie e definisce la direttiva privacy applicata ai siti web, cioè predispone e indica agli utenti, più nello specifico rispetto alla privacy policy, le diverse tipologie di cookies installati, anche da terze parti, e la modalità del trattamento.
Gli elementi della Cookie Law
- Cookie banner: il sito deve mostrare una cookie banner alla prima visita sul sito, con una informativa breve sull’utilizzo dei cookie e con la possibilità di approfondire, rimandando ad una informativa estesa.
- Il blocco preventivo dei cookie: tutti i cookie non esenti dal blocco preventivo, devono essere bloccati.
Per esempio quando si tratta di cookie di profilazione è necessario definire il momento in cui il consenso viene prestato perché si sblocchino e permettano il salvataggio delle preferenze dell’utente. - Le terze parti: i cookie di terze parti sono cookie presenti sul sito ma impostati da un sito diverso da quello in cui si sta navigando; un esempio è il tracciamento di Google Analytics. All’interno della cookie policy devono essere indicati tutti i riferimenti alle terze parti che, per il fatto di essere installate nel sito web, possono raccogliere e tracciare informazioni di profilazione degli utenti. In questo caso deve essere indicato per quali finalità si trovano nel sito, quali dati vengono raccolti e come ogni utente può gestirli per disattivarli.
Il consenso al trattamento
Il consenso è una delle basi giuridiche introdotte dal GDPR a cui fare particolare attenzione: cos’è, come raccoglierlo e come gestirlo.
Secondo la norma il consenso deve avere queste caratteristiche:
- Deve essere libero, specifico, informato, inequivocabile, sempre revocabile.
- Il titolare ha l’onere di dimostrare di aver ottenuto il consenso dell’interessato secondo i requisiti di legge.
Quando raccogliamo i dati dai nostri utenti da utilizzare per specifiche finalità, dobbiamo mettere in moto dei meccanismi, che rispettino questi principi, prima della raccolta.
Facciamo l’esempio del classico modulo di contatto, quando qualcuno lascia i propri dati perché è interessato ai prodotti o servizi trovati su un sito. Per poter essere ricontattato deve lasciare uno o più dati personali, per esempio una mail, ed è probabile che, una volta raccolto, questo dato venga inserito anche in una lista per l’invio di newsletter.
In questo caso ci sono due tipologie di raccolta diverse per il consenso:
- per adempiere al compito di contattare il potenziale cliente c’è la necessità di avere il dato di contatto e quindi è obbligatorio.
- per poterlo inserire in una mailing list ai fini commerciali è necessario che questa finalità sia esplicita e che la scelta dell’utente sia libera e non vincolante, questo significa che senza il consenso esplicito a questa finalità, non è possibile trattarlo per inviare mail commerciali.
Un’altra caratteristica del consenso è di essere sempre revocabile dall’utente e il titolare del trattamento dei dati ha l’onere, in caso di richiesta, di dimostrare con quali modalità ha ottenuto il consenso.
In realtà non è cambiato nulla rispetto alla direttiva dei cookies prima del GDPR, il consenso è valido anche con la semplice attività di scrollare sullo schermo, ma è prevista una revisione e un relativo adeguamento, per cui probabilmente questo metodo tra non molto, non sarà più sufficiente.
Quello che vogliamo far comprendere alle aziende è che anche il sito web deve essere a norma di GDPR e rispettare la privacy degli utenti. Ci rendiamo conto che la burocrazia da seguire sia molta, noi di Hospitality Team abbiamo scelto di supportare l’imprenditore offrendo anche il servizio di consulenza sull’iter per la privacy. Per maggiori informazioni sulla normativa vigente contattateci!