Come avere un sito web che rispetta privacy e trattamento dati?

Avere un sito web sicuro e che rispetta la protezione dei dati dei navigatori web non solo è importante per tutelare gli utenti ma anche per tutelare l’azienda o il professionista titolare del sito. Il rischio altrimenti? Salate multe. Il “Regolamento generale sulla protezione dei dati”, detto GDPR (General Data Protection Regulation) è infatti il regolamento della Commissione Europea (Regolamento UE 2016/679) che interviene in materia di dati personali per garantire tutela dei diritti dei cittadini e dei residenti dell’Unione Europea.

Il mancato adeguamento agli obblighi del GDPR comporta sanzioni pesanti che possono arrivare a un massimo di 20 milioni di euro o al 4% del fatturato del precedente anno e questo regolamento colpisce anche i siti web, i blog come gli e-commerce.

Nel 2019 sono state commissionate circa 410 milioni di euro di sanzioni dopo 190 procedimenti condotti dalle autorità europee di controllo. Lo riferisce lo studio dell’Osservatorio di Federprivacy che ha analizzato le attività istituzionali sulla privacy nei 30 paesi dello spazio economico europeo. L’Italia ha raggiunto un triste primato, è infatti al primo posto con 30 provvedimenti per un totale di 4.341.990 euro di multa.

Le infrazioni più sanzionate sono state sul trattamento illecito di dati (44%), seguono le infrazioni  insufficienti misure di sicurezza (18%), mancato rispetto dei diritti degli interessati (13%), omessa o inidonea informativa (9%), incidenti informatici e “data breach”  (9%).

Sottovalutare questa normativa non è per niente consigliabile, quindi ecco una breve guida per non cadere in errore.

Chi gestisce un sito web inevitabilmente tratta sempre dati personali. Può essere una mail fornita dagli utenti quando compilano un modulo o form, ma riguarda anche tutti quei dati raccolti dal server come l’indirizzo IP, i dati di navigazione e quelli raccolti da Google Analytics. Diventa quindi necessario per qualsiasi sito web proteggersi e rispettare la normativa di trattamento dati e privacy.

Come fare quindi?

Ogni sito web deve fornire a tutti i visitatori le informazioni sui dati raccolti dal sito e sulle finalità della raccolta: anche detta informativa sulla privacy. L’informativa contiene le indicazioni dalla normativa in vigore e deve essere facilmente accessibile. Di solito si riporta un link alla pagina dell’informativa sulla privacy nella home del sito web.

Per raccogliere i dati personali serve il consenso dell’utente ma ci sono anche altre condizioni che legittimano il trattamento. Un sito e-commerce, per esempio rispetta già la normativa in base all’obbligo contrattuale di compravendita. Tuttavia i dati raccolti devono essere solo quelli essenziali per erogare il servizio. Se invece voglio utilizzare la mail del mio cliente per proporgli, magari con una newsletter, promozioni future, devo per forza ricevere un consenso specifico che sarà spiegato nell’informativa sulla privacy.

Il consenso può essere separato se ci sono vari form o diverse finalità per cui si raccoglie i dati. Se il sito ha un form per l’iscrizione al sito stesso, se i dati vengono utilizzati per l’invio di una newsletter, per la profilazione degli utenti ai fini di una strategia di marketing, per l’invio di pubblicità commerciale: in tutti questi casi occorrono tre consensi separati per ogni finalità. L’importante è che il  check box in cui il visitatore dà il consenso non deve essere pre-selezionato. Obbligare inoltre gli utenti ad accettare il trattamento per finalità di marketing non è ammesso.

Quasi tutti i siti web utilizzano i cookie spesso veicolati da servizi terzi che vengono inglobati, come per esempio il like su Facebook direttamente sul sito. Sarebbe opportuno permettere la raccolta dei dati solo quando l’utente utilizza effettivamente il servizio e quindi faccia click. In presenza di cookie il sito deve far apparire l’apposito banner con una breve informativa breve e il link all’informativa completa.

Google Analytics è utilizzabile senza bisogno di informativa nel caso si operi con l’anonimizzazione: in questo caso non occorre il consenso dell’utente, ma solo l’indicazione nell’informativa. Se invece vogliamo arrivare a una metrica utenti, rapporti su dati demografici al fine del remarketing abbiamo bisogno di un consenso specifico.

Esistono diversi strumenti per rispettare la normativa e tutelare gli utenti dei tuo sito web. Per i servizi social esiste per esempio ‘shariff plugin’ valido sia per WordPress che Joomla o Drupal. Questo plugin permette di non attivare la raccolta dei dati fino a quando l’utente non clicca sui pulsanti del servizio.

Per la gestione dei cookie esistono GDPR per Joomla e WordPress: sono due plugin a pagamento che bloccano selettivamente i cookie fino al consenso dell’utente ma hanno anche altre funzionalità utili come esportare e cancellare i profili utente, la gestione della notifica di un data breach.

Hai dei dubbi su come procedere per il sito web o non sei sicuro che il tuo sito sia aggiornato per tutte le direttive della normativa? Chiedici un consulto gratuito!