Ogni sito web che tratta dati personali, deve adeguarsi al GDPR sito web, informando gli utenti in merito alle attività di trattamento effettuate tramite privacy policy e cookie policy e raccogliendo il loro consenso, al fine di evitare ingenti sanzioni.
Quali sono i principali requisiti di legge per siti web?
L’adeguamento del sito al GDPR è uno step fondamentale che dovrebbe sempre essere tenuto in considerazione sia quando si realizza un nuovo sito web che in fase di restyling del sito web, questo sia per evitare di incorrere in ingenti sanzioni che al fine di mantenere una buona web reputation. Ci capita spesso, infatti, di essere contattati da clienti che non sanno cosa sia il GDPR per siti web e che ci richiedono il restyling grafico di un sito web realizzato da diversi anni e mai aggiornato, senza sapere di dover provvedere anche all’adeguamento del sito web al GDPR. In particolare, oltre al GDPR per siti web, entrato in vigore nel maggio del 2018, i siti web devono rispettare anche altri requisiti come la Cookie Law, entrata in vigore nell’ottobre del 2015, ed altre normative, come il CCPA a tutela degli utenti californiani.
Privacy & Cookie Policy
Ogni sito web che raccoglie dati personali è obbligato per legge ad informare gli utenti attraverso una privacy e cookie policy, che deve essere raggiungibile da ogni pagina del sito web.
Cookie Law
Ogni sito web, alla prima visita di ogni utente, deve mostrare un banner che informa gli utenti sull’uso dei cookie e raccogliere il consenso dell’utente prima di poter rilasciare i cookie non esenti.
Raccolta del Consenso
Secondo il GDPR per siti web, quando l’utente immette dati personali sul sito, ad es. compilando un form di contatto, è necessario raccogliere un consenso e registrarne una prova inequivocabile.
Termini e Condizioni
Il documento di Termini e Condizioni ti aiuta a proteggere la tua attività online da eventuali responsabilità ed è obbligatorio per i siti di e-commerce.
Come strutturare una Privacy e Cookie Policy conforme alle normative
La Privacy Policy, che deve essere raggiungibile da tutte le pagine del sito web, deve obbligatoriamente contenere alcune informazioni, tra cui gli estremi del titolare del trattamento, la tipologia dei dati personali trattatti, le finalità e le modalità del trattamento, ovvero il modo in cui questi dati vengono utilizzati, la base giuridica del trattamento, eventuali altri soggetti a cui questi dati possono essere comunicati, l’eventuale trasferimento dei dati personali al di fuori del territorio dell’unione Europea, i diritti dell’interessato.
Nella Cookie Policy, in particolare, devono essere indicate le diverse tipologie di cookie installati attraverso il sito, le eventuali terze parti cui questi cookie fanno riferimento e le finalità del trattamento.
E’ possibile utilizzare un documento generico?
No, in quanto l’informativa deve descrivere in maniera specifica il trattamento dei dati personali effettuato dal proprio sito web, elencando anche tutte le tecnologie di terze parti utilizzate, come ad esempio i pulsanti e i widget dei social network o le mappe di Google Maps.
Il mio sito non tratta dati personali. Cosa devo fare?
E’ molto improbabile che un sito web non tratti dati personali. Un sistema di monitoraggio del traffico, come ad esempio Google Analytics, o un semplice modulo di contatto sono sufficienti per far scattare l’obbligo di pubblicare un’informativa.
Siti web: GDPR e consenso
Quando un utente ha la possibilità di immettere i propri dati personali sul sito web, ad esempio attraverso la compilazione di un modulo di contatto oppure iscrivendosi ad una mailing list, ai sensi del GDPR è necessario che l’utenti presti un consenso libero, specifico ed informato, nonché registrare una prova inequivocabile del consenso espresso dall’utente.
Anche si sensi della LGPD brasiliana, analogamente al GDPR, il titolare del trattamento dovrà dimostrare di aver raccolto in maniera corretta il consenso dell’utente, attraverso l’archiviazione di una prova.
Cosa si intende per consenso libero, specifico ed informato?
In ottemperanza al GDPR per sito web, il consenso deve essere raccolto per ogni specifica finalità di trattamento dei dati personali forniti dall’utente. Se, ad esempio, prevediamo di inviare newsletter e di inviare materiale pubblicitario per conto di terzi, bisognerà raccogliere il consenso per ognuna di queste finalità, predisponendo delle check-box NON preselezionate, non obbligatorie ed accompagnate da un testo che spieghi chiaramente all’utente in quale modo verranno utilizzati i suoi dati.
Come si può dimostrare il consenso in modo inequivocabile?
Ogni volta che l’utente compila un modulo sul sito web inserendo i propri dati, è necessario raccogliereed archiviari alcune informazioni, ovvero un codice identificativo univoco, il contenuto della privacy policy accettata e una copia del modulo presentato all’utente.
La mail che ricevo dall’utente a seguito della compilazione del modulo, costituisce una prova del consenso?
Purtroppo no, non è una prova sufficiente in quanto mancano alcune informazioni necessarie per ricostruire le modalità di raccolta del consenso dell’utente, come ad esempio il modulo effettivamente compilato.
Se la mia organizzazione non ha sede in Brasile, devo comunque adeguarmi al LGPD?
L’LGPD si applica ogniqualvolta vengono raccolti dati personali di persone che in quel momento si trovano in Brasile, indipendentemente dalla loro nazionalità.
Applicazione del CCPA
Secondo quanto previsto dal CCPA (California Consumer Privacy Act), agli utenti californiani deve essere data
informazione del come e del perché i loro dati vengono utilizzati, i loro diritti in merito e
come possono esercitarli, incluso il diritto di esercitare l’opt-out. Se il sito web rientra nell’ambito di applicazione del CCPA, queste informazioni dovranno essere inserite sia nella privacy policy che in un avviso di raccolta dati mostrato all’utente alla sua prima visita sul sito web.
Per facilitare le richieste di opt-out da parte degli utenti californiani, è necessario inserire un link “Do Not Sell My Personal Information”(DNSMPI) sia all’interno dell’avviso di raccolta dati, che in un altro punto del sito facilmente
accessibile dall’utente, ad esempio nel footer del sito web.
Devo adeguarmi al CCPA anche se la mia organizzazione non ha sede in California?
Il CCPA deve essere applicato quando vengono trattati o potrebbero essere trattati dati personali di utenti Californiani, indipendentemente da dove si trova la sede dell’organizzazione. Poichè anche gli indirizzi IP sono da considerarsi dati personali, ogni sito web che riceve almeno 50 mila visite uniche dalla California in un anno potrebbe rientrare nell’ambito di applicazione del CCPA.
Cosa deve contenere il documento di Termini e Condizioni?
I Termini e Condizioni dovrebbero includere informazioni come i dati identificativi dell’attività, la descrizione del servizio offerto dal sito web, le informazioni su responsabilità e liberatorie, garanzie, diritto di recesso, informazioni sulla sicurezza, diritti d’uso, condizioni d’uso o di acquisto (come requisiti di età o restrizioni legate al paese), politiche di rimborso/sostituzione/sospensione del servizio, informazioni sui metodi di pagamento.
Il documento di T&C è obbligatorio?
Predisporre un documento di Terini e Condizioni è fortemente raccomandato per ogni tipologia di sito websoprattutto per gli e-commerce per i quali spesso si rende obbligatorio.
Posso copiare il documento di T&C di un altro sito web?
Copiare i Termini e Condizioni da un altro sito web potrebbe rendere il documento nullo o non valido. Il documento di T&C, infatti, costituisce un accordo giuridicamente vincolante e pertanto non solo è importante averne uno ma è anche fondamentale assicurarsi che sia conforme alla normativa vigente.
