Attenzione
Il 9 luglio 2021 il Garante della Privacy ha pubblicato in Gazzetta Ufficiale le nuove linee guida cookie e altri strumenti di tracciamento, prevedendo 6 mesi di tempo per l’adeguamento: i titolari di siti web dovranno eseguire eventuali aggiornamenti e modifiche ad informative e gestione dei consensi entro il 9 gennaio 2022.
Perchè ho deciso di pubblicare l’ennesimo post sul GDPR? Perchè ho dedicato ore a studiarlo, ho cercato di comprendere le diverse possibili interpretazioni e raccolto tutte le informazioni in un unico documento per spiegare in modo semplice il GDPR ai miei clienti. Con questo post condivido i miei appunti.
Cos’è il GDPR?
Il regolamento generale sulla protezione dei dati (RGPD, in inglese GDPR, General Data Protection Regulation- Regolamento UE 2016/679) è un regolamento con il quale la Commissione europea intende rafforzare e rendere più omogenea la protezione dei dati personali di cittadini dell’Unione europea e dei residenti nell’Unione europea, sia all’interno che all’esterno dei confini dell’Unione europea (UE). Il testo, adottato il 27 aprile 2016, è stato pubblicato sulla Gazzetta Ufficiale Europea il 4 maggio 2016 ed entrato in vigore il 25 maggio dello stesso anno, inizierà ad avere efficacia il 25 maggio 2018. – Fonte: Wikipedia
Quindi, in sintesi, il GDPR è un regolamento europeo che riguarda la protezione dei dati personali e che si rivolge tanto alla presenza online che a quella offline.
Attenzione quindi, non è sufficiente adeguare il tuo sito web al GDPR per essere in regola. Anche tutti gli aspetti offline del tuo business devono essere in regola con questa normativa.
Il regolamento coinvolge chiunque abbia a che fare con dati personali. Dove per dato personale si intende, secondo l’Art.4, “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)”.
Il GDPR sarà efficace a partire dal 25 maggio 2018. A partire da questa data potrebbero essere applicate pesanti sanzioni a chi non è in regola.
Un po’ di informazioni, in parole semplici
Qui trovi elencate un po’ di informazioni utili per metterti in regola con il GDPR.
Questo documento non ha la pretesa di essere esaustivo né di coprire ogni possibile ambito del regolamento, soprattutto NON È UNA CONSULENZA LEGALE. Ho però studiato ed approfondito, quindi sintetizzato, numerose fonti, in particolare il GDRP stesso e la Guida all’applicazione del Regolamento Europeo messa a disposizione dal Garante del trattamento dei dati personali.
Ogni sito è una realtà unica quindi se non sei convinto di avere tutto chiaro chiedi una consulenza ad un legale esperto in diritto del web.
IN GENERALE:
- Registro dei trattamenti
- Consenso
- Diritti degli interessati
- Data protection by default and by design
- Notifica delle violazioni
- Soggetti: Titolare del trattamento, responsabile e sub-responsabile
SUL WEB:
- Privacy Policy
- Newsletter ed email marketing
- Form di contatto sul sito
- Commenti al blog
- Facebook Pixel
- Google Analitycs
- Google Maps
- YouTube
- E-commerce e vendita online
IN GENERALE
Registro dei trattamenti
È un registro delle operazioni di trattamento dei dati personali che riguarda tanto la tua attività online che offline. Deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante.
Lo dobbiamo avere tutti? Sì, siamo tutti invitati ad averlo sebbene l’obbligo sia specifico per aziende con più di 250 dipendenti.
Cosa deve contenere
- Identità e dati di contatto del Titolare del trattamento (ed eventualmente del suo Rappresentante).
- Dati di contatto del Responsabile protezione dati (dove previsto).
- Finalità del trattamento.
- Descrizione delle categorie di interessati.
- Descrizione delle categorie di dati personali trattati.
- Destinatari o categorie di destinatari dei dati.
- Eventuale trasferimento dei dati all’estero (qui, per quanto riguarda il web, devi indicare per esempio Mailchimp, MailerLite, Google Analytics, Facebook, ecc…).
- Periodo di conservazione dei dati.
- Descrizione generale delle misure di sicurezza tecniche e organizzative adottate, che devono garantire un livello di sicurezza adeguato al rischio del trattamento.
Consenso
Con l’entrata in vigore del GDPR il consenso dovrà sempre essere esplicito (sia per dati sensibili che per la profilazione) e dimostrabile. Inoltre deve essere libero, specifico (non vale quindi chiedere un solo consenso per tutto, come abbiamo fatto fino ad oggi), informato e inquivocabile. Non è consentito il tacito o presunto consenso. Il consenso deve essere manifestato attraverso “dichiarazione o azione positiva inequivocabile”. Inoltre il consenso al trattamento del dati non può essere fornito da un soggetto con meno di 16 anni di età.
Il consenso raccolto prima del 25 maggio 2018 resta valido se ha tutte le caratteristiche elencate qui sopra.
Diritti degli interessati
È necessario rispondere ad un interessato che esercita i suoi diritti entro il termine di 1 mese. La risposta deve essere scritta, comprensibile, concisa, trasparente e facilmente accessibile. Deve usare un linguaggio chiaro e semplice.
Diritto di accesso: il diritto di ricevere una copia dei dati personali oggetto del trattamento
Diritto all’oblio: il diritto alla cancellazione dei propri dati personali in forma rafforzata. Se sono stati pubblicati, tutti i titolari del trattamento dovranno eliminarli.
Diritto alla portabilità dei dati: il titolare del trattamento deve essere in grado di trasferire i dati portabili ad un altro titolare indicato dall’interessato. Questo diritto non si applica agli archivi cartacei.
Data protection by default and by design
È necessario prevedere, a monte, le garanzie indispensabili a soddisfare i requisiti richiesti dal GDPR e a tutelare i diritti degli interessati. Sono pertanto necessari un’analisi preventiva ed un impegno applicativo.
Notifica delle violazioni
Eventuali violazioni dei dati personali, se comportano rischi, devono essere notificate all’Autorità di controllo entro 72 ore. Se il rischio è ritenuto elevato, devono essere informati anche gli interessati. Ogni violazione, anche se non notificata, deve essere registrata e documentata.
Soggetti: Titolare del trattamento, responsabile e sub-responsabile
Titolare del trattamento: colui che decide il motivo e le modalità del trattamento dei dati e ne è giuridicamente responsabile.
Responsabile del trattamento: colui che elabora i dati personali per conto del Titolare. Viene nominato dal Titolare con un contratto giuridicamente valido. Ha conoscenza specifica della materia e può attuale le misure idonee per soddisfare il GDPR. L’hosting che ospita il tuo sito è Titolare dei tuoi dati e Responsabile dei dati che raccogli dai tuoi clienti tramite il sito ospitato sui suoi server.
Sub-responsabile del trattamento: può essere nominato dal Responsabile solo se questo è stato autorizzato a farlo, con contratto scritto, dal Titolare. Risponde direttamente al Responsabile.
SUL WEB
Privacy Policy
È il primo compito e il più importante. Devi ricontrollare questa pagina, riscriverla e sistemarla in modo che sia più dettagliata possibile. Devi informare gli utenti su ogni cookie di profilazione o servizio terzo che utilizzi, devi informare su cosa fai con i dati degli utenti (newsletter, email marketing, Facebook Ads, Google Ads, ecc). Le persone devono sapere esattamente cosa fai coi loro dati e come possono richiedere la cancellazione.
Ti consiglio di scrivere questa pagina in modo molto chiaro, semplice e senza paroloni in legalese. La pagina Privacy Policy deve essere linkata in tutti i form presenti sul tuo sito (o landing page esterne) dove raccogli dati, anche solo l’indirizzo mail degli utenti.
Cosa non può mancare nella Privacy Policy
- Identità e dati di contatto del Titolare del trattamento dei dati (ed eventualmente del suo Rappresentante). Inserisci sempre l’indirizzo fisico della sede legale della tua attività o la tua residenza. Sconsiglio di lasciare solo nome e mail.
- Dati di contatto del Responsabile protezione dati (dove previsto).
- Finalità del trattamento.
- Destinatari o categorie di destinatari dei dati.
- Eventuale trasferimento dei dati all’estero (qui devi indicare per esempio Mailchimp, MailerLite, Google Analytics, Facebook, ecc…).
- Periodo di conservazione dei dati.
- Esplicitare il diritto degli interessati a richiedere la cancellazione dei dati e a presentare un reclamo all’Autorità di controllo.
- Indicare la presenza di eventuali attività di profilazione e i motivi del loro utilizzo (es. Facebook Pixel).
Come deve essere scritta la Privacy Policy?
Il Garante per la protezione dei dati personali ci informa che la Privacy Policy deve essere concisa, trasparente, intelligibile e facilmente accessibile. Inoltre deve essere scritta con un linguaggio chiaro e semplice, presentata in forma scritta, preferibilmente in formato elettronico e deve essere fornita prima di raccogliere i dati.
Newsletter e Email Marketing
Gran parte dell’ansia da GDPR ruota intorno alle newsletter ma se non hai mai acquistato o inserito manualmente indirizzi mail di persone che non hanno scelto in modo esplicito di essere iscritte, allora sei già quasi a posto.
Ti consiglio di fare una esportazione della tua lista di iscritti (qui MailChimp e MailerLite) e archiviarla insieme agli altri documenti relativi al GDPR. Si tratta di un file .csv che puoi aprire con Excel o Google Drive e in esso i campi più importanti sono quattro: orario e IP dell’opt-in e orario e IP della conferma di iscrizione (double opt-in).
Se invece utilizzi la lista di iscritti alla newsletter per fare pubblicità su FB, per esempio, questo deve essere dichiarato nella tua Privacy Policy e il consenso deve essere richiesto esplicitamente con l’invio di una nuova mail.
Form di contatto sul sito
In tutti i form di contatto deve sempre essere presente una checkbox, non pre-spuntata, che chieda di leggere e accettare la Privacy Policy. Senza questo consenso il form non deve inviare il messaggio. Questo consenso deve restare tracciato e devi poterlo dimostrare.
Come tracciarlo? Il modo più semplice è conservare la mail che ricevi e in cui deve risultare scritto che l’utente ha accettato la Privacy Policy. Il modo più avanzato è la creazione, attraverso un automatismo, di un database di tutti i contatti con data, ora e IP dell’invio del messaggio tramite form e accettazione dell’informativa privacy.
Commenti al blog
Deve sempre essere presente la check-box per accettare la Privacy Policy. Senza questo consenso l’utente non deve poter commentare. Questo consenso deve restare tracciato e devi poterlo dimostrare.
Facebook Pixel
Se sul tuo sito hai installato il Pixel di Facebook devi fare in modo che questo non tracci gli utenti fino a che non avranno esplicitamente acconsentito al tracciamento. Anche in questo caso devi poter mantenere traccia dei consensi ricevuti.
Google Analytics
Per prima cosa devi accertarti di aver anonimizzato gli IP in Google Analytics in modo da impedire la memorizzazione degli IP degli utenti che navigano sul tuo sito.
Quindi tratta Google Analytics come il Facebook Pixel: fai in modo che il comportamento degli utenti non venga tracciato fino a che non avranno esplicitamente dato il consenso. Anche in questo caso tieni traccia dei consensi ricevuti.
Google Maps
Google Maps Traccia e localizza gli utenti sul tuo sito. Bisogna fare in modo che le persone possano rifiutare questo tracciamento.
YouTube
Se copi e incolli nel tuo sito link di video provenienti da YouTube questo installa cookie e traccia il comportamento dei tuoi utenti. Bisogna fare in modo che le persone possano rifiutare questo tracciamento.
E-commerce e vendita online
Se hai un e-commerce o effettui vendita online di servizi, nella Privacy Policy devi indicare che registri i dati del checkout per l’invio dei prodotti/servizi e per concludere la transazione.
La realtà della vendita online è complessa e articolata e ti consiglio di chiedere una consulenza su misura ad un legale.
Indicativamente, quali informazioni dei clienti condividi con il corriere che utilizzi per la spedizione? I dati della carta di credito vengono passati a Paypal? In che modo? Informi i tuoi clienti del fatto che i loro dati saranno condivisi anche con il tuo commercialista?
Ottimo articolo, grazie!
Una domanda: nel caso di un sito web in cui l’utente, all’interno della sua area privata, ha la possibilità di inserire dati personali dei suoi clienti per la creazione di una sorta di rubrica, come ci si può tutelare? Questi dati vengono “presi a voce” dall’utente e da lui inseriti manualmente nel sistema. Come possiamo essere sicuri che il cliente finale ne abbia dato il consenso?
Ciao Diego. Le aree riservate sono un argomento complesso e solo un legale esperto in diritto del web può risponderti in modo preciso. Io chiederei sicuramente in parere ad un avvocato al posto tuo. Buona giornata.
ciao Ljuba, ho appena scoperto il tuo sito e ho già trovato mille info utili! Mi sono buttata su wordpress, e sto imparando pian piano a gestire un mio sito/blog. La “fortuna” ha voluto che lo facessi un mese prima che entrasse in vigore questo GDPR, e sto veramente facendo fatica a capire se mi devo adeguare o meno…uso il piano wordpress personale che anche volendo non mi lascia caricare alcun plugin offerto dalla rete (es:jubenda)…posso concludere che non mi riguarda? grazie infinite se troverai il tempo di darmi un feedback!Luisa
Ciao Luisa. Se il tuo è un blog personale in cui non presenti servizi professionali o prodotti e non monetizzi neanche attraverso le pubblicità allora rientri tra i soggetti privati che non sono tenuti ad adeguarsi al GDPR. Ma chiedi SEMPRE un parere ad un avvocato per sicurezza.
ciao, volevo chiedere riguardo la privacy del mio sito. Il mio problema è che vorrei evitare di mettere il mio indirizzo fisico nella privacy e volevo sapere se potevo toglierlo. Io sono un privato e sul sito pubblico solo alcune foto, la mia biografia e qualche articolo. Ho tolto tutti i form di registrazione, contatti ecc. Ho solo alcuni video condivisi dal mio canale youtube che possono essere visti in play direttamente dal mio sito.
Lei cosa ne pensa? Posso togliere l’indirizzo fisico dalla privacy? (Tra l’altro non vendo nulla tramite il sito, mi serve solo come una specie di vetrina dei miei lavori e per scrivere alcuni articoli.) In alternativa devo metterci l’indirizzo mail ed è sufficiente??
Grazie e Buona giornata!!!
Ciao Daniele. La normativa privacy indica chiaramente che deve essere esposta la sede legale dell’attività. Si parla di attività e pertanto non ci dovrebbero essere problemi a farne conoscere l’indirizzo fisico.
Ma se il tuo sito non ha alcuna finalità professionale (non è legato in alcun modo alla tua professione) e non monetizzi neanche tramite banner pubblicitari allora non sei tenuto ad adeguarti al GDPR. Se in vece è una “vetrina dei tuoi lavori” sei un soggetto tenuto ad adeguarsi alla normativa. L’indirizzo mail non è sufficiente. Il mio consiglio in questo caso è di sentire il parere di un buon avvocato specializzato in web che possa metterti a norma il sito. Non sottovalutare l’importanza di questo adeguamento, le multe sono salate.