86-90 Paul Street, London, EC2A 4NE
+44 (0) 203 5293706
Avvocato 2.0: l'importanza del web marketing

COS’È IL GDPR?

Il General Data Protection Regulation ovvero GDPR (significato: regolamento generale sulla la protezione dei dati) a partire dal 25 maggio 2018 sarà applicabile in tutti gli Stati membri dell’Unione Europea. Il GDPR nasce dall’esigenza segnalata dalla Commissione dell’UE di avere certezza giuridica e semplicità nelle norme riguardanti il trasferimento di dati personali dei cittadini europei, in concomitanza con lo sviluppo e la diffusione di nuove tecnologie. Il GDPR interessa, infatti, tutti i siti web, siano essi europei o no, che prevedono comunque il loro utilizzo anche da parte di utenti provenienti dai paesi dell’UE.
Ecco i punti fondamentali di GDPR e privacy. Con la nuova normativa:

  • vengono introdotte regole più chiare sull’informativa ed il consenso alla privacy;
  • si definiscono i limiti del trattamento dei dati personali in forma automatizzata;
  • si pongono le basi per l’esercizio di nuovi diritti;
  • vengono definiti dei criteri rigorosi per il trasferimento dei dati personali fuori dall’Unione Europea;
  • vengono fissate norme rigorose per i casi di violazione dei dati (data breach).

GDPR: cosa cambia per i siti web

Alcuni aspetti della nuova normativa prevista dal GDPR influiscono in modo particolare sulla gestione dei siti web quando questi utilizzano strumenti di raccolta dei dati personali come ad esempio un form di contatto, un modulo per l’iscrizione alla newsletter ed i pulsanti di condivisione ai social network.
In tema di siti web, a norma del GDPR si qualificano come per “dati personali” tutte quelle informazioni che consentono di individuare una persona fisica, come ad esempio nome, foto, indirizzo di residenza, contatto e-mail, dati bancari, indirizzo IP. Per “elaborazione dei dati” si intende, invece, ogni operazione effettuata sui dati stessi. La memorizzazione dell’indirizzo IP tramite i cookie, ad esempio, rappresenta un trattamento dei dati personali degli utenti.

GDPR: cosa fare per essere in regola col proprio sito aziendale

Per valutare se un sito web è conforme alla nuova normativa prevista dal GDPR si dovrà:

  • verificare il rispetto della Privacy Policy nel proprio sito, secondo la nuova normativa;
  • chiedere sempre il consenso agli utenti per memorizzare i dati, con particolare attenzione al banner per il consenso sui cookie ;
  • attivare strumenti per permettere agli utenti di verificare i loro dati ed eventualmente aggiornarli o rimuoverli;
  • analizzare le modalità in cui vengono raccolti i dati degli utenti: moduli di registrazione, sezione commenti, form di contatto, strumenti di analisi, tools e plugin, e-mail marketing.

GDPR: PRIVACY POLICY E CONSENSO

Tutti i siti web sono obbligati, con l’entrata in vigore del GDPR, a mostrare una chiara Privacy Policy, indicandovi quali dati verranno raccolti e memorizzati, da chi e per quanto tempo. Il relativo consenso da parte dell’utente dovrà essere esplicito, quindi chi possiede un sito web è tenuto a permettere ai visitatori di modificare o negare in qualsiasi momento il consenso al trattamento dei dati. È bene chiarire che il consenso raccolto prima del 25 Maggio 2018 rimane valido in caso abbia già tutte le caratteristiche richieste dal nuovo regolamento, altrimenti va acquisito nuovamente. Se con il nuovo GDPR la Privacy Policy o la gestione del consenso fossero troppo difficili da riscrivere e strutturare secondo le regole, sarà opportuno rivolgersi ad un avvocato specializzato o all’agenzia che gestisce il sito web, se si avvale della consulenza di un legale interno.

GDPR E COOKIE: IL BANNER PER IL CONSENSO

L’utilizzo dei cosiddetti cookie è un punto fondamentale del GDPR. I cookie sono stringhe di testo di piccole dimensioni, salvate nel computer dal sito web durante la navigazione. Servono a memorizzare le preferenze dell’utente e migliorare le prestazioni del sito, per ottimizzare l’esperienza di navigazione. Nella maggior parte dei casi si tratta di servizi di terze parti presenti sul sito dell’azienda. Quando attraverso i cookie si elaborano dati personali, questi sono soggetti al GDPR. Il proprietario del sito è responsabile della protezione dei dati che sono stati raccolti tramite i cookie ed è tenuto a fornire agli interessati una chiara informazione sulle modalità con cui verranno utilizzati i loro dati. Rispetto al passato, il consenso dovrà avvenire attraverso una chiara azione affermativa da parte dell’utente. Il rifiuto da parte dell’utente dovrebbe comunque consentire la continuazione della navigazione del sito.

Come deve essere il banner per i cookie dopo il GDPR?

I banner che richiedono il consenso sui cookie possono considerarsi conformi al GDPR solo se garantiscono che il consenso sia:

  • informato e preventivo: l’utente deve essere informato in anticipo delle finalità dei cookie e deve essere possibile selezionare e deselezionare i vari tipi di cookie;
  • esplicito: l’accettazione da parte dell’utente deve essere inequivocabilmente un’azione affermativa e positiva;
  • registrato: è necessario avere la prova del consenso;
  • reversibile: gli utenti, in qualsiasi momento, devono poter ritirare il loro consenso nonché la possibilità di rifiutare i cookie e proseguire comunque la navigazione sul sito web.

Il banner, allo stesso tempo, non dovrà rallentare in modo significativo il caricamento delle pagine, per non far perdere visitatori al sito e potenziali clienti all’azienda.

GDPR: RACCOLTA, ELABORAZIONE E CONSERVAZIONE DEI DATI

Tre aspetti primari del GDPR riguardano la raccolta, l’elaborazione e la conservazione dei dati:

  • il diritto di accesso: ovvero la possibilità degli utenti di accedere ai propri dati personali. Si dovranno informare gli utenti del motivo per cui vengono raccolti i loro dati e su come vengono elaborati o conservati;
  • il diritto all’oblio: diritto degli utenti di chiedere la cancellazione dei loro dati;
  • la portabilità dei dati: ovvero la possibilità degli utenti di trasferire i propri dati personali da un sistema di elaborazione elettronico ad un altro.

La privacy e gli strumenti di raccolta dei dati

A seguito del GDPR cosa cambia per quanto riguarda form di contatto, modulo per l’iscrizione alla newsletter e pulsanti di condivisione ai social network? Per chi ha un sito aziendale sarà opportuno inserire un box di testo che contenga un’anteprima dell’informativa sulla privacy, indicando che i dati resteranno memorizzati presso l’archivio di posta elettronica e nel database del sito. L’utente dovrebbe spuntare una check box con una dicitura del tipo “Ho letto l’informativa privacy ed accetto il trattamento dei dati personali”. Occorre ricordare che il GDPR richiede di conservare traccia della manifestazione di consenso; a tal fine, è importante prevedere che nell’e-mail che informa l’azienda proprietaria del sito dell’avvenuta ricezione della richiesta da parte dell’utente, venga riportata la manifestazione affermativa di consenso.
Per l’iscrizione alla newsletter, in genere è presente nella home page una call-to-action con la richiesta di indirizzo e-mail dell’utente. Anche in questo caso, per essere compliant al GDPR, dopo che l’utente avrà cliccato sulla richiesta, dovrà aprirsi una finestra che chiederà di compilare i dati, riportando anche un’anteprima con l’informativa sulla privacy e la richiesta al consenso. Spesso il servizio di newsletter viene gestito da piattaforme che sono dei Data Processor : occorre indicare qual è la società che se ne occupa ed eventualmente riportare la relativa informativa sulla privacy.
Se si intende acquisire il consenso per più finalità, come ad esempio l’invio della newsletter e l’invio di materiale commerciale, il GDPR non consente più di cumulare le richieste di consenso in un’unica check box: ciascuna finalità deve essere specificata e approvata separatamente.

La privacy e gli strumenti di analisi del sito web

Quanto all’utilizzo di strumenti di analisi e profilazione, oggi quasi tutti i siti web utilizzano servizi come Google Analytics per sapere quante persone accedono al sito, quante pagine vengono aperte, le sorgenti del traffico, gli interessi dei visitatori. Tramite i cookie di Analytics presenti sul sito web si memorizza l’IP dei visitatori, elaborando in tal modo i loro dati personali. Per attenersi al GDPR sarà bene, innanzi tutto, impostare Analytics in modo che gli indirizzi IP vengano anonimizzati, ed avvisare gli utenti che le informazioni generate dal cookie di Google Analytics sul loro utilizzo del sito vengono trasmesse a Google e depositate presso i suoi server negli Stati Uniti, nonché fornire il link all’informativa sulla privacy di Google Analytics.

La privacy e i pulsanti che portano sui social network

Per quanto riguarda i pulsanti di condivisione di un contenuto presente sul sito web aziendale attraverso i social network più diffusi, con il GDPR diventa necessario fornire appropriate informazioni agli utenti. Tutte queste piattaforme (Facebook, Twitter, LinkedIn, Pinterest, Youtube e Instagram) usano i propri cookies per riconoscere gli utenti quando navigano dopo essersi collegati ai propri account. Se l’azienda proprietaria del sito web non ha accordi con le stesse e non può controllare come usano i dati, meglio rimandare alle relative Privacy Policy, magari aggiungendo i relativi link.

GDPR: COSA FARE PER LA SICUREZZA DEL SITO WEB

Se un sito web dovesse subire una violazione dei dati, in determinati casi le novità introdotte dal GDPR comporteranno che il proprietario lo comunichi all’autorità di controllo e agli utenti entro 72 ore. Per non incorrere in tali obblighi, è fondamentale rendere sicuro il proprio sito web. Le prime mosse per tutelarsi sono:

  • investire in un hosting web particolarmente sicuro;
  • munirsi di un firewall efficiente;
  • salvare i dati degli utenti in maniera crittografata in un database esterno.