GDPR: il tuo sito è a norma?
Il prossimo 25 Maggio 2018 entrerà in vigore il GDPR n. 679/2016, ovvero il nuovo Regolamento Europeo in materia di protezione dei dati personali.
A tal riguardo, molte sono le domande a cui dobbiamo dare risposte immediate vista l’imminente scadenza.
Il tuo sito web è conforme alla nuova normativa europea?
Quali sono i passaggi fondamentali da seguire per adeguare un sito web al GDPR Europeo?
Quali sono le sanzioni in caso di mancato rispetto degli obblighi previsti dal nuovo regolamento europeo?
Cos’è il GDPR?
E’ una nuova legge sulla protezione dei dati personali che entrerà in vigore il prossimo 25 Maggio 2018.
Lo scopo di questa legge è duplice: da una parte, tutela i cittadini europei che prestano il loro consenso al trattamento dei dati personali e, dall’altra, regolamenta in maniera più uniforme l’aspetto della privacy nelle diverse città europee.
Con questa nuova normativa, il consenso fornito dagli utenti del tuo sito web deve essere essenzialmente informato ed esplicito.
Questo significa che, tutti i visitatori del tuo sito web devono confermare di voler prestare il proprio consento al trattamento dei loro dati personali e, nel contempo, tutti i siti web devono mostrare una chiara Privacy Policy indicando esattamente quali dati verranno raccolti e memorizzati, da chi e per quanto tempo.
In qualità di proprietario del sito web, devi dare la possibilità ai tuoi visitatori di negare o modificare in qualsiasi momento il consenso al trattamento dei dati personali (gli interessati devono poter cancellare i loro dati in qualsiasi momento).
Questa nuova legge sui dati personali degli utenti, interessa tutti i siti web situati nell’Unione Europea, e comunque i siti web che prevedono di avere interazioni da parte di utenti provenienti dai paesi dell’UE. (In pratica, interessa tutti i siti web del mondo!).
In questo nuovo contesto europeo, l’aspetto più importante per i siti web è il trattamento dei dati personali degli utenti.
Per “dati personali” si intende qualsiasi informazione riguardante una persona fisica, come ad esempio, il nome, la foto, l’indirizzo e-mail, l’indirizzo di residenza, il numero di telefono o l’indirizzo IP.
Per “elaborazione dei dati” si intende, invece, qualsiasi operazione avvenuta sui dati. Quindi anche la memorizzazione dell’IP (es. tramite cookie) costituisce una forma di trattamento dei dati personali degli utenti.
Il GDPR riguarda sia i dati personali sia i dati combinati in modo tale da identificare i singoli utenti. Pertanto, quando attraverso i cookie si elaborano dati personali (identificabili), questi cookie sono soggetti al nuovo del GDPR europeo.
In sintesi: quando attraverso i cookie è possibile identificare un individuo tramite il loro dispositivo, questi dati sono considerati dati personali. Quindi dati personali = GDPR.
Ti faccio un esempio parlando di uno dei servizi più utilizzati dalla maggior parte dei siti web: Google Analytics. Se usi Google Analytics significa che tramite i cookie di Analytics presenti sul tuo sito web stai memorizzando l’IP dei tuoi visitatori. In questo caso particolare stai elaborando dei dati personali dei tuoi utenti ed è qui che entra in gioco il GDPR e quindi il rispetto di tutti gli obblighi previsti dal nuovo regolamento europeo sulla protezione dei dati personali.
Tutti i cookie che raccolgono informazioni sulla persona e sono in grado di identificare un individuo, sono soggetti alla normativa europea sul trattamento dei dati personali. In pratica, ciò riguarda gran parte dei cookie (propri o di terze parti), compresi i cookie di analisi non anonimizzati, di pubblicità e di servizi come tool di sondaggio e di chat.
Tutti questi servizi non sono di tua proprietà ma sono esempi di terze parti presenti sul tuo sito web che rilasciano cookie sui browser dei tuoi visitatori mentre questi navigano all’interno del tuo sito web. In questi casi, ai sensi del nuovo GDPR europeo:
- sei responsabile della protezione dei dati che sono stati raccolti tramite questi cookie;
- sei tenuto a fornire agli interessati una chiara informazione sulle modalità con cui verranno utilizzati i loro dati.
Il GDPR richiede la documentazione di ciascun consenso, specificando anche quali saranno i dati utente condivisi con i servizi di terze parti presenti nel tuo sito web. Due sono gli aspetti principali su cui si focalizza il nuovo GDPR europeo.
- Aspetto relativo alla privacy: cosa viene registrato?
- Aspetto inerente alla trasparenza: chi ti sta monitorando? per quale scopo?
Abbiamo tempo fino al 25 Maggio 2018 per adeguare i nostri siti web al nuovo regolamento europeo.
La sanzione stabilita, in mancanza di adeguamento, può arrivare fino ad un massimo di 20 milioni di euro o al 4% del fatturato globale annuo (riferito all’esercizio precedente), se superiore.
GDPR e WordPress: il tuo sito è conforme alla nuova normativa Europea?
In questo momento, dobbiamo capire se il nostro sito web è in regola con il nuovo GDPR europeo, altrimenti dobbiamo adeguarci per tempo.
In pratica, all’interno del nostro sito web, dobbiamo analizzare questi aspetti:
Moduli di registrazione utenti;
Sezione Commenti;
Moduli di contatto;
Analisi dei log del traffico;
Plugin utilizzati;
Tools di email marketing.
Le cose che, nel tuo sito web, devi assolutamente rivedere sono:
il modo con il quale gestisci e memorizzi i dati sensibili;
i Cookie e, nello specifico, il banner per il consenso sui cookie. Il consenso deve rispettare i nuovi requisiti previsti dalla nuova legge sui dati personali;
Privacy Policy, che necessariamente deve essere aggiornata per renderla conforme alla nuova legge europea.
Non è necessario elencare i cookie nome per nome o fornire un sistema di opt-out integrato sul tuo sito
Chiariamo alcuni equivoci comuni
E’ opportuno chiarire alcuni dei malintesi più comuni relativi ai cookie e al GDPR. Purtroppo su questo argomento circolano online anche molte informazioni fuorvianti, e quindi ci è sembrato opportuno chiarire questo aspetto.
Quindi, in che modo il GDPR disciplina l’utilizzo dei cookie?
La risposta breve è che non lo fa – l’utilizzo dei cookie e i relativi obblighi non sono regolati dal GDPR, ma dalla Direttiva ePrivacy (o Cookie Law). In un certo senso, puoi immaginare la Direttiva ePrivacy come una normativa che “lavora insieme” con il GDPR, invece di essere abrogata da quest’ultimo. Detto ciò, la Direttiva ePrivacy sarà in effetti presto abrogata dal Regolamento ePrivacy, che opererà insieme con il GDPR per regolamentare i requisiti per l’uso dei cookie. In ogni caso, è molto probabile che il regolamento confermi disposizioni simili a quelle della direttiva, applicando gran parte delle stesse linee guida.
È necessario elencare i nomi dei singoli cookie (inclusi i cookie di terza parte) utilizzati dal mio sito web?
No, la Cookie Law non richiede che il gestore del sito elenchi i singoli cookie nome per nome. Tuttavia, il gestore del sito è tenuto ad indicare chiaramente le loro categorie e finalità. Questa decisione da parte del legislatore è probabilmente motivata dalla volontà di evitare che ogni gestore di siti web sia costretto a monitorare costantemente ogni singolo cookie di terza parte, alla ricerca di modifiche che sfuggono al suo controllo. Ciò sarebbe infatti irragionevole, nonché inutile per l’utente finale.
Devo fornire agli utenti un meccanismo per gestire le loro preferenze sui cookie (inclusa la revoca del consenso) direttamente dal mio sito web?
No, la Cookie Law non ti obbliga a fornire agli utenti i mezzi per attivare o disattivare le preferenze sui cookie direttamente dal tuo sito, ma solo a:
predisporre un meccanismo chiaro per ottenere un consenso informato e attivo; fornire un metodo per la revoca del consenso; garantire, tramite un blocco preventivo, che non venga effettuato alcun trattamento prima di aver raccolto il consenso.
Questo significa che il meccanismo di opt-out non deve essere ospitato direttamente dal tuo sito. Nella maggior parte dei casi, in base alla legislazione degli Stati Membri dell’Unione Europea, le impostazioni del browser sono considerate un metodo accettabile per gestire e revocare il consenso.
