Ma anche voi, come me, avete la casella email invasa di newsletter di aggiornamenti/corsi/formazione/chi-più-ne-ha-più-ne-metta riguardanti la privacy policy? E questo benedetto GDPR (per tanti GPDR o DGPR, a fantasia insomma) che sembra essere diventato un vero e proprio incubo? Diciamo che il pubblico del web si divide in due parti: quelli troppo spaventati, che chiedono consensi firmati anche poter guardare negli occhi il cliente... e quelli troppo poco preoccupati, un po' incoscienti anche delle salate multe previste. Insomma, facciamo un po' di chiarezza, mettiamo in ordine le informazioni riguardo questo spinoso argomento.
Che cosa è la privacy policy?
E' un documento che descrive nella maniera più dettagliata e chiara possibile le modalità di gestione e trattamento dei dati personali degli utenti e dei visitatori del sito internet da parte dell'azienda. Per dati personali non si intende solo nome, cognome o indirizzo email ma anche Cookie impiegati da Google Analytics, quindi per il tracciamento del comportamento dell'utente sul sito internet.
Il documento si divide in più paragrafi, nei quali vengono indicati: il TITOLARE del trattamento dei dati, i DIRITTI degli utenti, il LUOGO e la FINALITA' del trattamento, la TIPOLOGIA dei dati trattati, i COOKIES che vengono rilasciati dal sito internet, la CONSERVAZIONE dei dati, i LINK a contenuti esterni ed anche le modalità per modificare le impostazioni.
Il documento si divide in più paragrafi, nei quali vengono indicati: il TITOLARE del trattamento dei dati, i DIRITTI degli utenti, il LUOGO e la FINALITA' del trattamento, la TIPOLOGIA dei dati trattati, i COOKIES che vengono rilasciati dal sito internet, la CONSERVAZIONE dei dati, i LINK a contenuti esterni ed anche le modalità per modificare le impostazioni.
Privacy Policy: multe e sanzioni
É obbligatoria per legge, un sito internet sprovvisto potrebbe incappare in sanzioni e multe anche molto pesanti, partono da un minimo di Euro 3.000 ad un massimo di Euro 50.000. E chi controlla? Il Garante della Privacy. Come? Può agire per segnalazione da parte di un utente, quindi se un simpatico vostro “amico” decide di segnalare il vostro sito internet attualmente sprovvisto innesca un meccanismo di controlli (e di sanzioni) immediato; oppure per controlli di altra natura come quelli eseguiti dalla Guardia di Finanza.
Secondo voi, vale la pena rischiare? Mmmh, secondo noi no!
Secondo voi, vale la pena rischiare? Mmmh, secondo noi no!
Chi scrive il documento della Privacy Policy?
Ai nostri clienti consigliamo due strade possibili. La prima, più dispendiosa ma sicuramente più attenta e precisa (magari utile anche per mettere in ordine tutte le nomine dei responsabili del trattamento dei dati interne all'azienda, non solo per quanto riguarda il sito internet), è quella di contattare un avvocato esperto nel settore e farla scrivere direttamente da lui. L'altra, più economica, è quella di rivolgersi a siti internet dedicati (ad esempio Iubenda.com) che generano il documento in base alle informazioni date, dopo ovviamente aver contattato il tecnico di riferimento del sito per comprenderne al 100% il comportamento.
Nota Bene: le Privacy Policy non sono testi standard, devono essere redatti esaminando l'effettiva modalità di trattamento dei dati all'interno dell'azienda. Quindi il “copia-incolla” (di cui fanno uso tantissimi siti internet) è spesso controproducente se effettivamente non corrisponde al 100% con la vostra realtà aziendale.
Nota Bene: le Privacy Policy non sono testi standard, devono essere redatti esaminando l'effettiva modalità di trattamento dei dati all'interno dell'azienda. Quindi il “copia-incolla” (di cui fanno uso tantissimi siti internet) è spesso controproducente se effettivamente non corrisponde al 100% con la vostra realtà aziendale.
E questo nuovo GDPR che cosa è?
GDPR è l'acronimo di General Data Protection Regulation, ovvero il regolamento europeo riguardante proprio la Privacy, operativo dal 25 maggio 2018. Si tratta di un testo che prova ad armonizzare tutte le leggi europee sul trattamento dei dati personali e, quindi, sul controllo delle nostre informazioni. Ma è davvero una rivoluzione rispetto alle regole precedenti? Sì, assolutamente sì. Anche sulle piccole aziende ha avuto un grande impatto. Tra i principali obblighi del GDPR ci sono:
* richiesta di consenso in forma chiara ed esplicita
* istituzione di un registro delle attività
* notifica delle violazioni entro 72 ore
Ma veniamo alla parte interessante, le multe (così possiamo ulteriormente preoccupare i catastrofici e forse solleticare invece i pacifici): a seconda della gravità scatta la sanzione, primo scaglione fino ad un massimo di 10 milioni di euro (o 2% del fatturato se superiore), secondo scaglione fino ad un massimo di 20 milioni (o 4% del fatturato se superiore).
Un motivo in più per non sottovalutare l'argomento ve l'abbiamo fornito, questo è sicuro! Per ulteriori informazioni o chiarimenti, non esitate a contattarci siamo a vostra disposizione.
Dal 25 maggio 2018, quindi, è divenuto pienamente applicabile in Italia il GDPR (General Data Protection Regulation), che ricordiamo è relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali, non solo in ambito web, ma anche nella normale gestione dei dati all’interno di un azienda. Ad oggi però ancora molte aziende non hanno implementato le misure minime necessarie a garantire la protezione dei dati personali e di conseguenza anche moltissimi siti web risultano ancora non conformi al regolamento.
Bisogna sempre ricordare che il GDPR si applica a tutte le imprese piccole o grandi anche quelle situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, devono quindi rispettare le regole, indipendentemente dalla loro posizione geografica pena il rischio di pesanti sanzioni da parte degli organi competenti nella vigilanza (per l’Italia il Garante per la Protezione dei dati personali GPDP).
Parlando nello specifico dell’adeguamento di un sito web, premesso che non si tratta di semplici modifiche o “copia-incolla” di testi da altri siti (che anzi potrebbe rivelarsi una cosa controproducente), è sempre bene affidarsi ad esperti che sappiano come effettuare le modifiche in modo conforme al Regolamento Ue 2016/679 e sappiano identificare gli strumenti corretti da utilizzare per rispettare gli obblighi imposti dalla legge (come ad esempio iubenda.com che offre il servizio di generazione privacy e cookie policy oltre ad altri servizi per il trattamento dei dati personali).
* richiesta di consenso in forma chiara ed esplicita
* istituzione di un registro delle attività
* notifica delle violazioni entro 72 ore
Ma veniamo alla parte interessante, le multe (così possiamo ulteriormente preoccupare i catastrofici e forse solleticare invece i pacifici): a seconda della gravità scatta la sanzione, primo scaglione fino ad un massimo di 10 milioni di euro (o 2% del fatturato se superiore), secondo scaglione fino ad un massimo di 20 milioni (o 4% del fatturato se superiore).
Un motivo in più per non sottovalutare l'argomento ve l'abbiamo fornito, questo è sicuro! Per ulteriori informazioni o chiarimenti, non esitate a contattarci siamo a vostra disposizione.
Dal 25 maggio 2018, quindi, è divenuto pienamente applicabile in Italia il GDPR (General Data Protection Regulation), che ricordiamo è relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali, non solo in ambito web, ma anche nella normale gestione dei dati all’interno di un azienda. Ad oggi però ancora molte aziende non hanno implementato le misure minime necessarie a garantire la protezione dei dati personali e di conseguenza anche moltissimi siti web risultano ancora non conformi al regolamento.
Bisogna sempre ricordare che il GDPR si applica a tutte le imprese piccole o grandi anche quelle situate fuori dall’Unione europea che offrono servizi o prodotti all’interno del mercato Ue. Tutte le aziende, devono quindi rispettare le regole, indipendentemente dalla loro posizione geografica pena il rischio di pesanti sanzioni da parte degli organi competenti nella vigilanza (per l’Italia il Garante per la Protezione dei dati personali GPDP).
Parlando nello specifico dell’adeguamento di un sito web, premesso che non si tratta di semplici modifiche o “copia-incolla” di testi da altri siti (che anzi potrebbe rivelarsi una cosa controproducente), è sempre bene affidarsi ad esperti che sappiano come effettuare le modifiche in modo conforme al Regolamento Ue 2016/679 e sappiano identificare gli strumenti corretti da utilizzare per rispettare gli obblighi imposti dalla legge (come ad esempio iubenda.com che offre il servizio di generazione privacy e cookie policy oltre ad altri servizi per il trattamento dei dati personali).
Ma quali sono le azioni necessarie per avere un sito web conforme al GDPR?
1) Avere una privacy policy conforme
La prima regola è avere il documento della privacy policy completo e conforme al Regolamento Ue 2016/679.
La privacy policy deve contenere le seguenti informazioni:
● il titolare del trattamento dati e, se nominato, il responsabile della protezione dei dati;
● i dati personali oggetto di trattamento;
● le finalità del trattamento;
● la base giuridica del trattamento;
● chi sono i destinatari;
● eventuali trasferimenti dei dati;
● le modalità e il periodo di conservazione dei dati;
● tutti i diritti dell’interessato.
La privacy policy dovrà poi essere disponibile a tutti gli utenti del sito e raggiungibile da qualsiasi pagina.
2) Avere una cookie policy conforme
Come per la privacy policy anche avere una cookie policy è fondamentale per rispettare il Regolamento. Questo documento deve contenere le seguenti informazioni:
● fornire agli utenti un’informativa chiara sull’utilizzo dei cookies;
● specificare le tipologie di cookie utilizzate (tecnici, analytics, profilazione, ecc)
● elencare eventuali altri soggetti destinatari dei dati personali
● i tempi e le modalità di conservazione delle informazioni
● la possibilità e le modalità per gli utenti di esercitare i propri diritti in materia di protezione dei dati personali.
3) Avere un banner aggiornato e conforme
Dopo aver redatto la cookie policy, di conseguenza ne deriva il banner informativo e necessario per acquisire il consenso dell’utente all’installazione dei cookie. E’ necessario assicurarsi che:
● la richiesta di installazione dei cookie sia differenziata tra cookie tecnici, di profilazione e analitici e non siano accorpate diverse tipologie (consenso granulare);
● lo scroll della pagina non sia considerato come azione positiva di consenso;
● assicurarti che in assenza di consenso vengano attivati solo i cookies tecnici;
● la revoca dell’accettazione dei cookie deve essere facile tanto quanto l’accettazione;
● il consenso deve essere sempre dimostrabile tenendo un registro certificato.
4) Aggiornare i form di contatto
La regola di base resta sempre la trasparenza, quindi per utilizzare i dati forniti dall’utente è necessario che quest’ultimo fornisca un consenso esplicito all’uso e che le finalità del trattamento siano chiare.
Con 2 esempi si possono chiarire entrambi i punti cardine.
● il consenso esplicito si risolve evitando checkbox preselezionate, in questo modo l’utente facendo l’azione di accettare il trattamento dei dati fornisce un consenso informato ed esplicito
● per quanto riguarda le finalità del trattamento esplicitate in modo chiaro, facendo l’esempio di un form di contatto in cui si vuole anche utilizzare l’indirizzo email raccolto per inviare newsletter e comunicazioni commerciali, sarà necessario predisporre due diverse checkbox una relativa al trattamento dei dati per rispondere alla richiesta di contatto (che sarà ovviamente obbligatorio) ed una seconda checkbox in cui sarà esplicitata la finalità del trattamento per l’invio di newsletter che non potrà essere obbligatoria e resterà a scelta dell’utente
Ricordiamo, che come per la cookie policy, anche per i form di contatto, il consenso dopo esser stato raccolto deve essere archiviato in apposito registro che può essere in formato cartaceo o digitale e che conterrà le seguenti informazioni:
- chi ha fornito il consenso,
- quando è stato fornito,
- quali sono le condizioni che l’utente ha esplicitamente accettato,
- chi ha accesso ai dati.
Quelle fornite in precedenza non possono essere considerate come le istruzioni da seguire per rendere un qualsiasi sito web conforme al GDPR in quanto ogni sito web o applicazione ha una propria storia e delle proprie caratteristiche, è quindi necessario, prima di procedere con le implementazioni effettuare un'analisi per capire quali dati personali vengono raccolti, come vengono trattati e che tipologie di cookie sono utilizzate. Solo in questo modo si potrà poi intervenire per avere il proprio sito web conforme al Regolamento Ue 2016/679.
La prima regola è avere il documento della privacy policy completo e conforme al Regolamento Ue 2016/679.
La privacy policy deve contenere le seguenti informazioni:
● il titolare del trattamento dati e, se nominato, il responsabile della protezione dei dati;
● i dati personali oggetto di trattamento;
● le finalità del trattamento;
● la base giuridica del trattamento;
● chi sono i destinatari;
● eventuali trasferimenti dei dati;
● le modalità e il periodo di conservazione dei dati;
● tutti i diritti dell’interessato.
La privacy policy dovrà poi essere disponibile a tutti gli utenti del sito e raggiungibile da qualsiasi pagina.
2) Avere una cookie policy conforme
Come per la privacy policy anche avere una cookie policy è fondamentale per rispettare il Regolamento. Questo documento deve contenere le seguenti informazioni:
● fornire agli utenti un’informativa chiara sull’utilizzo dei cookies;
● specificare le tipologie di cookie utilizzate (tecnici, analytics, profilazione, ecc)
● elencare eventuali altri soggetti destinatari dei dati personali
● i tempi e le modalità di conservazione delle informazioni
● la possibilità e le modalità per gli utenti di esercitare i propri diritti in materia di protezione dei dati personali.
3) Avere un banner aggiornato e conforme
Dopo aver redatto la cookie policy, di conseguenza ne deriva il banner informativo e necessario per acquisire il consenso dell’utente all’installazione dei cookie. E’ necessario assicurarsi che:
● la richiesta di installazione dei cookie sia differenziata tra cookie tecnici, di profilazione e analitici e non siano accorpate diverse tipologie (consenso granulare);
● lo scroll della pagina non sia considerato come azione positiva di consenso;
● assicurarti che in assenza di consenso vengano attivati solo i cookies tecnici;
● la revoca dell’accettazione dei cookie deve essere facile tanto quanto l’accettazione;
● il consenso deve essere sempre dimostrabile tenendo un registro certificato.
4) Aggiornare i form di contatto
La regola di base resta sempre la trasparenza, quindi per utilizzare i dati forniti dall’utente è necessario che quest’ultimo fornisca un consenso esplicito all’uso e che le finalità del trattamento siano chiare.
Con 2 esempi si possono chiarire entrambi i punti cardine.
● il consenso esplicito si risolve evitando checkbox preselezionate, in questo modo l’utente facendo l’azione di accettare il trattamento dei dati fornisce un consenso informato ed esplicito
● per quanto riguarda le finalità del trattamento esplicitate in modo chiaro, facendo l’esempio di un form di contatto in cui si vuole anche utilizzare l’indirizzo email raccolto per inviare newsletter e comunicazioni commerciali, sarà necessario predisporre due diverse checkbox una relativa al trattamento dei dati per rispondere alla richiesta di contatto (che sarà ovviamente obbligatorio) ed una seconda checkbox in cui sarà esplicitata la finalità del trattamento per l’invio di newsletter che non potrà essere obbligatoria e resterà a scelta dell’utente
Ricordiamo, che come per la cookie policy, anche per i form di contatto, il consenso dopo esser stato raccolto deve essere archiviato in apposito registro che può essere in formato cartaceo o digitale e che conterrà le seguenti informazioni:
- chi ha fornito il consenso,
- quando è stato fornito,
- quali sono le condizioni che l’utente ha esplicitamente accettato,
- chi ha accesso ai dati.
Quelle fornite in precedenza non possono essere considerate come le istruzioni da seguire per rendere un qualsiasi sito web conforme al GDPR in quanto ogni sito web o applicazione ha una propria storia e delle proprie caratteristiche, è quindi necessario, prima di procedere con le implementazioni effettuare un'analisi per capire quali dati personali vengono raccolti, come vengono trattati e che tipologie di cookie sono utilizzate. Solo in questo modo si potrà poi intervenire per avere il proprio sito web conforme al Regolamento Ue 2016/679.
