Per chi non è un addetto ai lavori,
GDPR è sicuramente uno degli acronimi più oscuri della rete che, per di più, è circondato da molte informazioni incomplete, errate o fuorvianti. Vediamo, quindi, di che cosa si tratta esattamente, e scopriamo, poi, come agire nel migliore dei modi per
rendere un sito GDPR compliant, cioè conforme alle sue regole.
Che cos'è e perché è così importante
GDPR è l'acronimo di
General Data Protection Regulation, la normativa formulata dall'UE che regola le modalità di
conservazione e di utilizzo dei dati personali da parte delle imprese.
Nel caso di gravi violazioni, l’autorità di controllo può imporre
limitazioni o divieti al trattamento dei dati personali da parte dell’azienda coinvolta, con forti ripercussioni sulle attività di marketing e vendita, fino a comminare multe che possono arrivare fino a 20 milioni di euro o, al 4% del fatturato globale.
Senza contare come la pubblicità negativa associata al mancato rispetto delle norme sulla protezione dei dati possa
danneggiare in modo significativo la reputazione di un'azienda e indurre clienti e fornitori a non fidarsi più.
I controlli da parte del Garante sono effettuati in maniera periodica ed è, pertanto, fondamentale rispettare con attenzione le norme e adottare misure adeguate per garantire la protezione dei dati personali e della privacy.
Le regole di base della normativa GDPR
Le regole si applicano ai
"dati personali" che includono elementi ovvi come i
nomi, gli
indirizzi e i
dettagli di contatto, e comprendono anche un elenco di
indirizzi e-mail e IP attraverso i quali è possibile risalire al possessore.
Il
GDPR dice che non ci si può limitare a raccogliere, archiviare, utilizzare e trasferire questi dati personali (operazioni che rientrano nella definizione di "
trattamento") soltanto perché sono archiviati nel sistema aziendale. Per farlo, è necessario che vi sia uno dei seguenti motivi specificati dalla normativa:
- Utilizzare le informazioni per stipulare un contratto;
- Adempiere a un obbligo legale a cui l'azienda è soggetta;
- Quando l'individuo ha dato il proprio consenso (che deve essere specifico, informato e inequivocabile) a ciò che volete fare con le sue informazioni;
- Quando il trattamento che si vuole effettuare è necessario per il legittimo interesse dell'azienda, ma deve essere bilanciato con i diritti dell'interessato.
Esistono anche regole speciali per il trattamento dei dati che riguardano i minori, per i quali è necessario verificare il consenso dei genitori, per informazioni sulle condanne penali, e per quelle che la legge chiama "
categorie speciali", che comprendono informazioni su:
- Salute;
- Etnia;
- Orientamento sessuale;
- Convinzioni politiche;
- Religione;
- Iscrizione ai sindacati;
- Dati genetici e biometrici.
Inoltre, tutti i siti web devono dichiarare esplicitamente che stanno
raccogliendo dati personali, indicando le motivazioni della raccolta e le modalità di archiviazione ed elaborazione,
nominare un responsabile della protezione dei dati e segnalare gravi violazioni
entro 72 ore.
Come rendere il sito conforme al GDPR
Vista la complessità delle
richieste del GDPR e la gravità della sanzioni previste, per
adeguare il sito web al GDPR è necessario avvalersi di soluzioni professionali gestite da provider esperti del settore.
Nei piani proposti, solitamente, è inclusa tutta una serie di servizi, tra i quali vale la pena citare il generatore di
Privacy e di Cookie Policy, nonché di
Cookie Banner, cioè la documentazione informativa che contiene tutto ciò che l’utente deve sapere in merito alle modalità di trattamento dei suoi dati.
Per esser valida deve essere chiara, completa, aggiornata, priva di ambiguità, facilmente accessibile e rispettare tutta una serie di parametri e di informazioni specifiche per restituire una panoramica completa sulla gestione dei dati e sul loro trattamento.
I siti che fanno uso di Cookie devono predisporre una
Cookie Policy, cioè un documento che spiega agli utenti
quali pacchetti di dati sono attivi sul sito, a che cosa servono e che cosa tracciano. Se la risorsa web prevede i
cookie di profilazione è necessario che venga predisposto anche un Cookie Banner cioè un avviso di consenso ai cookie mostrato alla prima visita di un utente sul sito.
Gestiscono, inoltre, i
Termini e le Condizioni (chiamati anche Termini di Servizio, Termini d’Uso, Termini di Utilizzo, Condizioni Generali o Note Legali,
ndr), che definiscono l’utilizzo del sito e del servizio in maniera giuridicamente vincolante, aiutando a proteggere il titolare dell’attività da potenziali responsabilità.
Per essere conforme, questo documento deve essere
sempre aggiornato rispetto alle normative applicabili, accurato, visibile e comprensibile, in modo tale che gli utenti possano facilmente consultarlo e accettarlo.
Secondo il GDPR, inoltre, per raccogliere ed elaborare le informazioni personali dei visitatori occorre
ottenere il loro consenso esplicito che deve essere libero, specifico, informato e revocabile. Si tratta di un aspetto fondamentale per l’utilizzo dei dati raccolti a fini di comunicazioni commerciali. Il GDPR impone anche di mantenere e conservare una
prova conforme dei consensi raccolti, senza la quale non possono considerarsi validi.