Il Regolamento Generale sulla Protezione dei Dati regola il modo chiaro anche il trattamento delle informazioni ricevute tramite siti web
- GDPR per siti web: quali le aziende coinvolte
- Come creare una privacy policy in conformità al GDPR
- Le sanzioni in caso di mancato adeguamento
Il GDPR per siti web regola tutti gli adempimenti richiesti ai titolari di siti internet, indicando specificatamente le azioni e i comportamenti da tenere in caso di raccolta di dati e informazioni personali.
Entrato in vigore nel maggio del 2018, il Regolamento Generale sulla Protezione dei Dati ha modificato in modo sostanziale quella che era la legge italiana in materia privacy fino ad allora in vigore, introducendo due principi fondamentali:
- il controllo dei dati da parte delle aziende interessate;
- garanzia di sicurezza per gli utenti nella fase di trattamento dei dati da parte delle imprese.
Alla luce di questo, le aziende a livello europeo hanno dovuto necessariamente adeguarsi cercando di tutelare gli utenti (e sé stessi).
GDPR per siti web: quali le aziende coinvolte
Il GDPR riguarda tutte le aziende a livello europeo, ma non tutte le tipologie di siti web.
Sono regolamentati dalla nuova normativa privacy solo i siti web che raccolgono dati e informazioni, attraverso cookie di terze parti, form di contatto, Google Analytics, pixel di Facebook e così via dicendo.
Quindi, ipotizzando che la tua impresa abbia un sito web vetrina che non traccia in alcun modo il percorso dell’utente, non ha al suo interno un form di contatto o qualsiasi altra cosa utile a raccogliere informazioni personali, allora l’adeguamento al GDPR potrebbe non essere necessario.
Creare una privacy policy in conformità al GDPR
Prima dell’introduzione del GDPR, la creazione di una privacy policy era molto più semplice rispetto ad oggi.
Poiché non era necessario entrare troppo nello specifico in merito al trattamento e riutilizzo delle informazioni degli utenti, spesso era sufficiente utilizzare un fac-simile di informativa sulla privacy facilmente reperibile, anche gratuitamente, sul web.
Ad oggi non è più possibile, perché ciascun sito web ha il dovere di redigere la propria in base alle modalità di raccolta dei dati degli utenti e all’utilizzo degli stessi.
Quindi, possiamo dire che non esiste più un modello standard che le aziende possono usare se con il proprio sito tracciano, in qualsiasi modo, la customer journey.
Cosa fare nella pratica per adeguarsi alla GDPR
Nello specifico, i punti più importanti a cui prestare attenzione per adeguare i siti web al GDPR sono:
- l’informativa sulla privacy, la quale deve rendere noto agli utenti quali e quanti dati raccoglie il sito, le modalità di trattamento, le finalità di raccolta, le tempistiche di conservazione, come l’azienda protegge i dati e chi ha accesso alle informazioni, i dati del titolare e dei Responsabili della Protezione dei Dati;
- i cookie, distinti in cookie tecnici, cookie Analytics, cookie di profilazione e cookie di profilazione di terze parti. Per i primi due non è necessario richiedere consenso esplicito, mentre per la profilazione è necessario avvisare l’utente e dare la possibilità di esprimere la propria volontà al tracciamento;
- tutti i form inseriti all’interno del sito web e le pagine di checkout devono prevedere una casella di spunta che rimanda all’informativa sulla privacy e tante caselle quante sono le finalità di utilizzo dei dati (es. una per la profilazione, una per l’invio di materiale informativo e, se previsto, un’altra importantissima per il trasferimento dei dati ad altre aziende);
- effettuare un check di tutti i plugin utilizzati sul proprio sito affinché sia specificata la loro conformità al GDPR;
- controllare che anche il CMS utilizzato sia GPDR compliant;
- verificare che tutti i consensi raccolti in data antecedente al 25 maggio 2018 siano conformi al GDPR. In caso contrario è richiesto l’invio di una comunicazione alla mailing list richiedendo un nuovo consenso;
- fornire una formazione adeguata dei Responsabili della Protezione dei Dati.
Una checklist sicuramente ricca di attività, che però non può essere in alcun modo lasciata al caso.
Sanzioni in caso di mancato adeguamento
In caso di mancato adeguamento dei siti web al GDPR, le sanzioni possono essere piuttosto pesanti.
Secondo il Regolamento Generale sulla Protezione dei Dati, le aziende che non rispettano i punti richiesti possono incorrere in sanzioni fino ad un massimo di 20 milioni di euro, oppure fino al 4% del fatturato.
A questo poi va aggiunto anche il danno di immagine.
Tutte le eventuali sanzioni derivate dal mancato rispetto del GPDR vengono pubblicate online, con tutte le problematiche del caso in tema di awareness e sentiment da parte degli utenti. Un rischio assolutamente evitabile con l’adeguamento.