Il GDPR – acronimo di General Data Protection Regulation – è entrato in vigore il 25 maggio 2018 e mira a proteggere i diritti e le libertà fondamentali dei cittadini dell’Unione Europea in merito al trattamento dei loro dati personali da parte delle aziende e delle organizzazioni.
Se hai un’attività e gestisci un sito web che raccoglie e tratta dati personali, è importante che tu conosca il GDPR e i requisiti base che devi rispettare. In questo articolo ti spiegheremo cos’è il GDPR, a chi si applica e cosa devi fare per adeguare la tua attività aziendale a questo regolamento europeo.
GDPR: ecco la spiegazione
Prima di addentrarci nelle linee guida da seguire, cos’è il GDPR?
Il GDPR è il regolamento europeo in materia di protezione dei dati personali, che ha abrogato la Direttiva 95/46/CE,.
La normativa europea nasce dall’obiettivo di armonizzare le regole privacy degli stati membri, tutelando pienamente la persona e, più nello specifico, il trattamento del dati personali dei cittadini.
E per le aziende? Se da una parte il GDPR garantisce numerosi diritti ai cittadini (tra cui essere informati in modo trasparente e leale), dall’altra istituisce altrettanti obblighi alle imprese, le quali devono adempiere a doveri ben precisi per trattare e gestire i dati in conformità alla legge.
GDPR, a chi si applica?
Il GDPR si applica a organizzazioni, imprese, enti pubblici, società che hanno sede nell’Unione Europea o che utilizzano i dati personali degli individui che risiedono nell’UE.
Alla luce del GDPR, questi soggetti devono adeguare anche la propria presenza online (sito e app) e gestire i dati personali in maniera responsabile, presentando i documenti informativi obbligatori agli utenti.
Come adeguarsi?
Il GDPR istituisce una serie di obblighi per le aziende che trattano i dati degli utenti che risiedono nell’UE.
Secondo il principio di accountability, i titolari del trattamento devono adottare comportamenti proattivi e devono anche poter dimostrare di aver utilizzato le misure necessarie all’applicazione del GDPR, attraverso l’obbligo di rendicontazione (art. 24).
Oltre alla responsabilizzazione, ci sono altre novità introdotte dal regolamento EU 2016/679. Vediamo quali sono le linee guida per adeguare la propria presenza online alle prescrizioni del GDPR e non incorrere in sanzioni:
Crea una privacy policy
I proprietari di siti web sono obbligati a presentare un’informativa sulla privacy agli utenti che atterrano sulla pagina web (e a cui verranno quindi raccolti i dati).
Questo documento obbligatorio garantisce il rispetto del trattamento dei dati, secondo le regole del GDPR. Affinché il documento sia valido devono essere indicate informazioni specifiche, come quelle inerenti al titolare del trattamento e le finalità del trattamento stesso. Tra le indicazioni da inserire all’interno della privacy policy troviamo:
- Le finalità del trattamento cui sono destinati i dati personali, nonché la base giuridica del trattamento. Per esempio, nel caso delle finalità di profilazione: se il tuo sito web raccoglie i dati personali degli utenti allo scopo di profilare l’utente, devi dichiararlo nella privacy policy, indicando quale logica utilizzi per profilare gli utenti. Per esempio molti siti web utilizzano sistemi decisionali automatizzati che dividono gli utenti in categorie omogenee di criteri (come età, sesso o zona geografica), allo scopo di prevedere i futuri comportamenti di acquisto;
- Lo stesso discorso vale per le attività di marketing e le sue finalità, che devono essere dichiarate espressamente nella privacy policy. Per esempio, nel caso in cui fosse previsto l’invio di newsletter, la privacy policy deve predisporre una parte che l’utente può compilare per mostrare la sua volontà e aderire al servizio di newsletter;
- Attenzione: no caselle pre-selezionate, vietate dal regolamento europeo. Il consenso dell’utente deve essere esplicito e deve prevedere un’azione positiva, come spuntare una casella o cliccare su una checkbox.
In merito al periodo di conservazione dei consensi per finalità di marketing e profilazione, fino a qualche anno fa il tempo di conservazione dei dati degli utenti aveva una scadenza ben precisa, dopo la quale i dati dovevano essere cancellati (12 mesi per finalità di profilazione e 24 mesi per quelle di marketing). Ma dal 2020, il Garante Privacy italiano ha stabilito che il tempo di conservazione dei dati dev’essere deciso dal titolare del trattamento, secondo il principio della limitazione della conservazione (secondo cui puoi conservare i dati per un periodo non superiore rispetto alle finalità per le quali è stato effettuato il trattamento);
Per quanto riguarda invece la storicizzazione dei consensi, il titolare del trattamento ha l’obbligo di registrare i consensi prestati dall’utente in modo tale da poterlo dimostrare nel caso in cui fosse richiesto.
Se vuoi sapere tutte le informazioni che deve contenere l’informativa privacy, leggi il nostro articolo Informativa privacy: cosa deve contenere.
Mostra un cookie banner
Sempre per quanto riguarda la tutela dell’utente sul sito web aziendale, esiste un altro obbligo per le aziende, ovvero mostrare un cookie banner alla prima visita dell’utente e permettergli di dare il consenso.
A tal proposito, a giugno 2021 il Garante Privacy italiano ha pubblicato le nuove linee guida per l’uso dei cookie, secondo le quali il cookie banner deve:
- Essere ben visibile;
- Informare l’utente del sito web che l’azienda sta usando cookie tecnici ed eventuali cookie di profilazione, con le relative finalità;
- Fornire all’utente la possibilità di accettare solo alcuni cookie, come per esempio solo cookie tecnici o anche analitici: il consenso dei cookie deve essere granulare.
- Contenere un link alla cookie policy, che spiega nel dettaglio come funzionano i cookie, perché vengono utilizzati e quali sono i diritti dell’utente;
- Non contenere caselle pre-flaggate;
- Contenere un link a un’area dedicata, in cui l’utente può selezionare le funzionalità, le terze parti e le categorie di cookie da installare;
- Mostrare un comando chiaro ed esplicito per accettare tutti i cookie o altri strumenti di tracciamento e un comando per continuare la navigazione senza accettare i cookie.
Attenzione! Non finisce qui: per raccogliere il consenso degli utenti secondo la direttiva europea devi sapere che:
- I cookie di profilazione non devono essere installati fino a quando l’utente non acconsente, selezionando una casella «ACCETTO» (o testo analogo);
- Lo scrolling (spostamento in basso del cursore) sul sito web non può essere considerato come consenso implicito dell’utente, il quale deve compiere un’azione positiva per manifestare il suo consenso;
- Non usare il cookie wall, un meccanismo che permette all’utente di accedere alle informazioni del sito web solamente prestando il consenso a tutti i cookie, vincolando così la loro libertà di consenso. Per questo i cookie wall sono vietati dal GDPR poiché il consenso deve essere prestato liberamente, vedi il prossimo paragrafo per approfondimento.
Le informazioni appena elencate ti aiutano nella costruzione di un cookie banner in regola con la direttiva europea vigente. Oltre a mettere in pratica questi consigli, fai attenzione agli strumenti che utilizzi e accertati che questi rispettino la normativa in merito al trattamento dei dati. In caso contrario il Garante Privacy può emettere sanzioni o provvedimenti, come quello del 9 giugno 2022, mediante il quale l’autorità ha dichiarato l’illiceità del trattamento dei dati da parte di Google Analytics.
Google Analytics è lo strumento di web analytics fornito da Google ai gestori di siti internet, che consente la generazione di dettagliate statistiche sugli utenti. Secondo il provvedimento, il sito web che utilizza il servizio di Google Analytics senza le garanzie previste dal Regolamento UE, viola la normativa in merito di protezione dei dati, perché trasferisce i dati degli utenti negli Stati Uniti, paese privo di un adeguato livello di protezione. Inoltre, il provvedimento del Garante, che si riferiva a Universal Analytics, sollevava il tema dell’anonimizzazione dell’indirizzo IP dell’utente (che veniva oscurato).
Per questo, il Garante ricorda di verificare con periodicità che le modalità di utilizzo di cookie e degli altri strumenti di tracciamento utilizzati sui propri siti web siano conformi alla legge, con particolare attenzione a Google Analytics e ai servizi analoghi. In questo modo sarà possibile evitare sanzioni e garantire un utilizzo lecito dei dati personali.
Cookie wall e paywall
Come sappiamo, i cookie wall sono generalmente vietati dal Regolamento Europeo. Questo meccanismo permette all’utente di accedere alle informazioni del sito web solamente prestando il consenso a tutti i cookie, vincolando così l’individuo e la sua libertà di consenso.
Considerata l’illiceità di questa pratica, ultimamente molte testate giornalistiche online hanno optato per un’alternativa piuttosto vantaggiosa: i paywall. Questa pratica permette all’utente l’accesso ai contenuti della piattaforma mediante la sottoscrizione di un pagamento o un abbonamento oppure, in alternativa, prestando il proprio consenso all’installazione dei cookies. In questo modo l’utente è costretto a decidere se pagare un importo per accedere ai contenuti presenti sul sito oppure se “barattare” l’accesso a tali contenuti con la raccolta dei propri dati personali.
Tuttavia, in base alle loro caratteristiche, esistono differenti tipologie di paywall, tra cui:
- Soft paywall: questo permette all’utente di avere accesso ad alcuni contenuti presenti sul sito web prima di sottoscrivere l’abbonamento, così da poter valutare la qualità dei contenuti e il suo interesse nei confronti di questi. Raggiunto il numero massimo di contenuti disponibili, l’utente vedrà attivarsi il paywall.
- Dynamic paywall: questo tipo di paywall è personalizzato e consente di proporre offerte differenti ai visitatori, sulla base dei loro comportamenti e delle scelte precedenti;
- Hard paywall: è la forma più rigida di paywall. Questo vieta agli utenti della pagina di visualizzare qualsiasi tipo di contenuto in assenza di abbonamento o di previo consenso all’installazione di cookies.
Attualmente questa pratica può essere utilizzata senza incorrere in sanzioni, ma l’Autorità Garante sta esaminando i paywall adottati da alcuni Titolari del trattamento alla luce della normativa vigente, per valutare se sia necessaria l’adozione di eventuali provvedimenti futuri.
In conclusione
Sebbene l’articolo abbia fornito molte informazioni utili su come adeguare il proprio sito web al GDPR, è importante sottolineare che ogni azienda presenta esigenze specifiche che richiedono una consulenza personalizzata. Inoltre, la normativa vigente ha molti risvolti che solamente un esperto in materia può conoscere nel dettaglio.
Per questo molte aziende scelgono di rivolgersi a studi legali specializzati in privacy, che possano fornire consulenze personalizzate per rendere la tua azienda conforme al GDPR.