Sito web e GDPR: istruzioni per l’ uso

Alla luce dell'evoluzione normativa introdotta dal GDPR spesso si ignora cosa bisogna fare per avere un sito web a norma. Ce lo spiega Edoardo Facchini, consulente privacy.

Un sito web a norma tratta solo i dati forniti dall'utente?

Tabella dei contenuti

Un sito web a norma tratta solo i dati forniti dall’utente?

Il sito web è la “casa digitale” dell’azienda. In essa:

  • si fa conoscere dal cliente
  • mostra le sue soluzioni
  • raccoglie le manifestazioni di interesse e le richieste di informazioni dei navigatori del sito

È dunque fondamentale averne uno.

L’aggiornamento della normativa sul trattamento dei dati personali, però, richiede che esso sia anche fatto in modo da dare alcune garanzie a coloro che interagiscono con lui:

  • tratti il minor numero di dati possibili (principio di minimizzazione)
  • illustri i trattamenti dei suoi dati che il sito svolge per conto dell’azienda o di terzi (principio di trasparenza)
  • tenga traccia di ogni consenso dato o rifiutato a uno o più dei trattamenti illustrati (accountability del proprietario del sito)

Come riuscire a soddisfare queste richieste senza snaturare la propria “casa digitale”? Analizzando le fonti di dati personali e gestendole secondo la norma.

Trattamento fatto da un sito web a norma

Prendiamo in considerazione alcuni elementi di un sito web tipico.

Form dei contatti

È il più noto raccoglitore di informazioni sui navigatori ma è anche il punto di contatto con l’azienda.

Serve al visitatore a richiedere maggiori informazioni sui prodotti e servizi dell’azienda o assistenza su un problema. Se non inserito, per alcuni esperti, si rende più difficile (e dunque meno probabile), che chi visita il sito vada oltre la navigazione ed entri in contatto con noi.

Quali norme bisogna seguire?

  • Principio di minimizzazione: non richiedere più dati di quelli necessari a gestire la richiesta. Esempio: non inserire nel form mail e telefono (visto che sono entrambe modalità di contatto) o data di nascita
  • Principio di trasparenza (accountability):prima di richiedere i dati bisogna:
    • mostrare un’informativa che informi il navigatore su:
      • nostra identità e recapiti
      • identità del responsabile della protezione dei dati (DPO) qualora presente
      • quali dati richiediamo
      • perché li richiediamo (finalità del trattamento)
      • come li tratteremo
      • tempo che tratterremo questi dati (in valore assoluto o fornendone i criteri per calcolarlo)
      • se li cederemo a terzi, e in questo caso a chi (almeno soggetto UE o extra UE), perché e quali garanzie di sicurezza forniamo e adottiamo per questi dati
      • diritti del navigatore sui dati che fornisce
    • mostrare un modulo di consenso in cui:
      • per ogni finalità richiedo il consenso. Dovrò lasciare la scelta al navigatore  senza inserire nel modulo già il flag su una delle possibilità date.
      • registro la scelta del navigatore e sono in grado di mostrarla
      • sono in grado di permettere e documentare eventuali cambi della scelta fatta

Pulsanti social

Servono a rendere virali i contenuti creati dall’azienda, i suoi prodotti e servizi.

Anch’essi trattano dati personali per cui, per avere un sito web a norma si dovrà:

  • indicare nella privacy policy che vengono ceduti dati ai proprietari dei vari Facebook, Linkedin, Instagram (che sono soggetti extra UE)
  • inserire in essa il link alla privacy policy dei diversi soggetti proprietari dei social

Cookie

Sono alcuni componenti che non sono visti da chi visita la nostra “casa digitale” ma che servono tra l’altro a:

  • far funzionare il sito bene
  • registrare come un utente si muove al suo interno: cosa vede, quanto tempo si sofferma sulle diverse pagine, ecc
  • registrare eventuali scelte
  • tenere traccia di tutte le azioni compiute durante la navigazione

Più in particolare distinguiamo:

  • cookie tecnici: sono quei “programmini” che servono per il funzionamento stesso del sito. Sono dunque indispensabili e la loro accettazione è necessaria.
  • cookie di profilazione: servono a monitorare gli utenti durante la navigazione. Registrano il comportamento della persona che naviga (cosa clicca, cosa guarda). Raccolgono dunque informazioni per poter poi creare dei profili, delle offerte personalizzate di prodotti e servizi. Non sono necessari alla navigazione

Altre distinzioni da fare riguardano:

  • la loro durata per cui abbiamo:
    • cookie persistenti: sono quelli che rimangono attivi e non si interrompono al termine della navigazione dell’utente
    • cookie di sessione: sono quelli che “muoiono” quando l’utente chiude la navigazione
  • la proprietà:
    • cookie di “prime parti”: quelli appartenenti al proprietario del sito
    • cookie di terze parti: quelli che sono di realtà diverse dal proprietario del sito (ad esempio quelle dei social, di Google Analytics)

Hanno dunque una notevole importanza per chi possiede il sito ma, come si è visto, fanno anche un largo uso di dati personali. Per comprenderlo basta vedere la definizione che ne dà il GDPR all’articolo 4.

“Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..”

Dunque lo sono anche:

  • l’indirizzo IP, come ribadito dal Garante qui.
  • il browser che usiamo inclusi la sua lingua, la versione, la compatibilità
  • il sito web da cui proviene la richiesta di collegamento
  • data e ora della richiesta
  • codice di stato HTTP
  • quantità di dati trasferiti

Il loro trattamento inizia ben prima che appaia la nostra pagina. Più precisamente quando digitiamo sulla parte alta del browser l’URL (es: www.nomesito.it) o clicchiamo sul link in una pagina di ricerca.

Per questo motivo, un sito web a norma, prevede che:

  • per i cookie, e in particolare per quelli di profilazione: appena appare la pagina vi sia un banner che informi della loro presenza
  • della finalità per la quale sono usati
  • un link a un’informativa estesa che descriva quali cookie sono usati, per quale motivo e quali dati raccolgono
  • una richiesta di esplicito consenso (a valle della lettura dell’informativa) che venga espresso in modo consapevole, registrabile e attivo.
  • per i dati personali non trattati dai cookie vi sia l’informativa privacy (privacy policy) già illustrata precedentemente (accountability)

A proposito di cookie vanno inoltre registrati due elementi molto importanti:

1. l’orientamento delle autorità si è modificato in senso restrittivo. Per quanto riguarda l’accettazione dei cookie di profilazione:

  • prima proseguendo nella navigazione l’utente accettava implicitamente la presenza e l’uso dei cookie di profilazione. Questa conseguenza andava però dichiarata in modo che il consenso fosse consapevole
  • adesso si richiede di aspettare un’azione esplicita (l’inserimento o meno della spunta di accettazione alla voce relativa) per considerare quegli elementi accettati

2. il trattamento dei dati avviene – come specificato prima – immediatamente. La conseguenza è che bisogna:

  • bloccare i cookie
  • far apparire il banner che informa della presenza e richiede il consenso
  • attivare i cookie non tecnici solo se chi sta navigando acconsente

Se tolgo il form dei contatti posso evitare di inserire l’informativa privacy?

A questo punto la domanda è legittima e la risposta è: ASSOLUTAMENTE NO. Come si è visto il trattamento di dati personali non avviene solo nel form dei contatti ma in tutta la navigazione.

Conseguentemente la rimozione di tale elemento costituisce solo l’eliminazione di uno dei trattamenti (e di una delle fonti) e non ci consente di eliminare l’informazione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Pensa al tuo business
perché al tuo sito ci pensiamo noi !

WP-OK è il servizio di gestione siti WordPress e WooCommerce. Un team di esperti che si prende cura del tuo sito.

Qual è l'abbonamento giusto per te?

Compila il questionario per scoprire il piano giusto per le tue esigenze! Ci vogliono solo 2 minuti, parola di WP-OK.