GDPR: cos’è e come adeguare il sito web

GDPR significa General Data Protection Regulation, ovvero il Regolamento Generale sulla Protezione dei Dati, entrato in vigore in Europa nel 2018. L’intento del GDPR è quello di tutelare i dati personali e di garantire che vengano trattati e conservati da aziende e società con la massima correttezza e riservatezza.
La tutela della privacy è un obbligo anche online, soprattutto per i siti web che acquisiscono e trattano i dati personali dei propri utenti, basti pensare agli e-commerce, ad esempio, o ai siti che offrono servizi di informazione e consulenza.
In ambito web, la privacy è molto importante, non solo per avere un sito perfettamente conforme alla normativa, ma anche per proteggere i propri utenti. Adeguarsi alla normativa per la tutela dei dati personali significa avere un sito che corrisponde perfettamente ai requisiti imposti dal GDPR, ma anche ottenere fiducia e credibilità da utenti e clienti, in un’epoca in cui la privacy ha un notevole valore.
La privacy policy di un sito
La privacy policy di un sito web è necessaria per adeguarsi alla normativa e per proteggere e gestire i dati raccolti online. Nella privacy policy sono incluse informazioni fondamentali sul titolare del trattamento dei dati personali, sul periodo di conservazione di tali dati e sull’uso di cookies e di altre informazioni utili a creare un profilo utente.
Ovviamente, tutti gli utenti di un sito, anche se si limitano a visitarlo, devono essere informati con la massima precisione sia sulle modalità di trattamento e conservazione dei propri dati personali, sia su quali siano i loro diritti in riferimento al GDPR.
L’informativa sulla privacy presente in un sito web è necessaria per adeguare il sito stesso al GDPR e deve contenere una serie di elementi fondamentali, dall’identità del titolare del trattamento dei dati ai diritti di cui godono gli utenti.
È bene tenere conto dell’importanza di una privacy policy corretta e in linea con il GDPR, poiché il mancato rispetto della normativa relativa al trattamento dei dati personali può essere causa di sanzioni considerevoli.
Il GDPR per un sito web
In pratica, il GDPR riguarda due elementi fondamentali: la sicurezza nel trattamento dei dati sensibili e la possibilità di controllo da parte di chi rilascia tali dati. Si potrebbe pensare che l’adeguamento alla normativa riguardi solo i siti che, in qualche modo, raccolgono ed elaborano i dati degli utenti, quali possono essere gli e-commerce, ma in realtà non è proprio così: anche un semplice sito-vetrina che abbia installati i cookies o che disponga di un form utilizzabile per la richiesta di informazioni acquisisce dati personali, e deve di conseguenza adeguarsi alle disposizioni per la tutela della privacy.
Proprio per questo motivo, non esiste uno standard predefinito per la tutela della privacy di un sito web: ognuno deve adeguarsi al GDPR in base al modo in cui usa i dati degli utenti, tenendo conto che la tutela è valida in tutte le fasi del trattamento dei dati personali, dall’acquisizione alla cancellazione. Ciò significa che un sito deve garantire agli utenti tutti i diritti previsti dal GDPR: un processo per niente semplice, che richiede la profonda conoscenza della normativa.
Gli elementi principali dell’informativa per la privacy di un sito
L’informativa per la privacy, visibile a tutti gli utenti di un sito, è fondamentale, poiché definisce con precisione la conformità alle norme stabilite dal GDPR. Per tale ragione, è importante che sia realizzata specificamente per ogni singolo sito, in base al tema trattato, ai contenuti e al target di utenti.
Prima di procedere, è importante effettuare un’analisi approfondita per verificare quali dati vengono raccolti e per quale motivo, oltre ad identificare quali siano le terze parti che a loro volta possono accedere ai dati acquisiti.
Alcune informazioni che devono comparire obbligatoriamente nell’informativa sono le seguenti:
- Descrizione sintetica dell’azienda e dei contenuti pubblicati sul sito;
- Informazioni riguardo al titolare del trattamento dei dati personali;
- Informazioni riguardo alle modalità di trattamento dei dati, dall’acquisizione, all’elaborazione e conservazione, alla cancellazione;
- Informazioni relative ai dati acquisiti tramite form online e newsletter;
- Link ad eventuali sistemi di tracciamento, ad esempio Google Analytics o altro;
- Link ad ulteriori applicazioni e plug-in presenti nel sito che tracciano i dati degli utenti;
- Diritti degli utenti per la richiesta di accesso, modifica, aggiornamento o cancellazione dei propri dati;
- Informazioni relative al server e ai sistemi di sicurezza utilizzati;
- Informazioni relative all’uso di cookies, ai software di terze parti che processano i dati, ad esempio i sistemi di pagamento per l’e-commerce e le piattaforme usate per creare le mailing list;
- Descrizione dei provvedimenti che vengono messi in atto in caso di violazione dei dati acquisiti.
Molti siti chiedono l’accettazione dell’informativa, ma in realtà è necessario che sia resa disponibile agli utenti in maniera tale che possano facilmente prenderne visione.