Il General Data Protection Regulation (in seguito anche “GDPR” o “Rego- lamento”) è il Regolamento (UE) 2016/679 che sta modifcando e uniformando a livello europeo la normativa privacy.
Entrato in vigore il 24 maggio 2016, diventerà applicabile e vincolante in tutti i Paesi europei a decorrere dal 25 maggio 2018: il GDPR rappresenta un traguardo importantissimo per la tutela del dato personale, nel contesto di una rapida evoluzione tecnologica che pone il dato personale al centro del business delle imprese.
Stiamo lavorando per assicurare che tutti i siti web del nostro network siano a regola con le norme di legge relative alle policy privacy, al trattamento dei dati che transitano sul web, alla cookie law ed agli aggiornamenti che anche quest’anno verranno introdotti.
Hai un sito web? Possono bastare un form di contatto o l’uso di Google Analytics per rendere obbligatorio il rispetto di queste norme e le sanzioni possono essere elevate.
Già da tempo proponiamo delle soluzioni che aiutino nell’adeguare i propri siti web alle normative, ma con le novità del 2018 vale la pena fare un riassunto della situazione e di quanto la normativa prevede.
OBBLIGHI DI INFORMAZIONE
Già nel 2009 erano state date delle disposizioni relative all’obbligo di indicare nel proprio sito web determinati dati, in base alla tipologia aziendale, che vanno adeguatamente riportati anche nelle comunicazione online, come ad esempio le mail.
- inserimento dati aziendali nel sito web: denominazione e ragione sociale, sede legale, ufficio del registro delle imprese, numero di iscrizione al registro delle imprese, capitale sociale, ecc (le informazioni variano in base alla tipologia aziendale)
- inserimento dati aziendali nella firma delle email
PRIVACY POLICY
In ogni sito web deve essere presente una pagina che informi gli utenti di quali dati vengono raccolti, come vengono raccolti e come vengono usati i loro dati personali: l’informativa sulla privacy
- finalità e modalità del trattamento dei dati
- natura obbligatoria o facoltativa del conferimento dei dati
- soggetti ai quali i dati personali possono essere comunicati (ad esempio le terze parti di cui vengono usati strumenti nel sito)
- diritti dell’interessato
- estremi identificativi del titolare del trattamento dei dati (il proprietario del sito web)
Se nel sito sono presenti contenuti in più lingue, le policy vanno inserite per ogni lingua prevista.
COOKIE LAW
- cookie policy (che altro non è che un approfondimento della privacy policy dedicato ai cookie, in cui parlo del trattamento dei dati tramite cookie)
- cookie banner (un accorgimento di natura tecnica, un’informativa breve alla prima visita al sito da parte di un utente, che spiega che il sito sta facendo uso di cookie e che proseguendo o accettando verrà tracciato)
- blocco preventivo dei codici/cookie (perchè i cookie di profilazione, a differenza di quelli tecnici, vanno bloccati fino a quando l’utente non accetta tale profilazione dal banner informativo)
- raccolta del consenso (con il prosegumento della navigazione, tipo uno scroll, o con il clic sull’accettazione)
- salvataggio delle preferenze
Se nel sito sono presenti contenuti in più lingue, le policy vanno inserite per ogni lingua prevista.
CHECKBOX e RACCOLTA DEL CONSENSO
- vige il principio del consenso preventivo, opt-in (non possiamo trattare i dati dei nostri utenti se non dopo averne raccolto il consenso esplicito)
- il consenso deve essere informato
- il consenso deve essere specifico
- il consenso deve essere libero
- il consenso deve essere revocabile
- il consenso deve essere documentato
Vediamo un esempio: sfruttiamo un modulo di contatto sia per farci contattare dagli utenti, sia per iscriverli alla nostra newsletter.
In questo caso la best practice è l’uso delle checkbox: una per il consenso generico necessario alla nostra risposta (informato e specifico), una aggiuntiva per l’iscrizione ad una mailing-list (informato e specifico) per il principio della specificità e per il cambio di uso dei dati raccolti. Di queste checkbox solo la prima potrà essere resa obbligatoria, in quanto necessaria per poter rispondere alla richiesta di contatto (libero) e nel caso in cui l’utente si iscriva alla newsletter, in ogni comunicazione o in un’area dedicata gli dovrà essere consentita la disiscrizione (revocabile). Tutto ciò deve essere tracciato e dimostrabile, con registrazione sul CMS del sito, o via mail o su DB dedicato (documentato).
NOTIFICA AL GARANTE
- serve quando vengono fatte attività di profilazione sugli utenti con segmentazioni in base a caratteristiche socio demografiche o di abitudini, sfruttando poi queste caratteristiche per attività di marketing (serve compilare un modulo e pagare dei diritti di segreteria pari a 150,00 € direttamente al Garante)
- verrà abolita dal 25 maggio 2018 con GDPR
PRIVACY AZIENDALE
Oltre ad informare gli utenti, vanno inquadrati i soggetti che hanno a che fare con questi dati raccolti.
- ruolo del titolare (proprietario del sito web)
- nomina degli incaricati (solitamente soggetti interni all’azienda del proprietario del sito web)
- nomina dei responsabili (che per specifica competenza ricevono dal titolare l’incarico di trattare i dati, ad esempio l’agenzia web che gestisce parte delle attività di trattamento con le attività online)
TERMINI E CONDIZIONI
E’ in pratica il contratto che disciplina il rapporto tra il proprietario del sito e l’utente, che spiega all’utente cosa può o deve fare e cosa non può o non deve farenel sito o nell’app. Spesso non necessario in un sito vetrina, ma fondamentale in un e-commerce o market place.
- usi consentiti (clausole e note tecniche)
- limitazione della responsabilità (disclaimer)
- registrazione
TERMINI E CONDIZIONI specifiche per un contesto e-commerce
- diritti dell’acquirente (come funzionano recesso, garanzie, rimborsi, restituzione della merce ecc)
- procedura d’acquisto, durata di contratti o sottoscrizioni, rinnovi ed obblighi delle parti
- modalità di risoluzione delle controversie (è inoltre obbligatorio per gli ecommerce in Unione Europea indicare l’ODR della commissione europea per le controversie online)
- caratteristiche dei beni o dei servizi venduti
- visualizzazione del prezzo totale, prima della conferma d’ordine e del pagamento, comprensivo delle imposte e altre spese aggiutive (come le spese di spedizione)
- conferma della conclusione del contratto, con un link al contratto stesso, che può essere inviato anche tramite email
Se nel sito sono presenti contenuti in più lingue, termini e condizioni vanno inseriti per ogni lingua prevista.