Come costruire un sito web a prova di GDPR
Tutte le aziende vogliono un sito web che le rappresenti, ma nessuna pensa mai a come costruire un sito web a prova di GDPR. Ecco come fare!
Ogni attività di business, sia essa prettamente fisica o digitale, ormai non può prescindere dall’utilizzo di un sito per pubblicizzare e/o vendere i propri prodotti e servizi; non tutti però sanno come costruire un sito web a prova di GDPR, tenendo conto di Cookie, Privacy Policy e User Experience Design.
La costruzione di un sito, infatti, presenta delle insidie legali che dovrebbero essere tenute in considerazione sin dalla fase di progettazione.
Si pensi a tutte le previsioni normative a tutela dell’utente, tra cui si ricorda l’ormai noto Regolamento UE 679/2016 che disciplina il trattamento dei dati personali: il cosiddetto GDPR, per l’appunto.
Ecco allora per te una checklist degli elementi da verificare (e della documentazione da fornire agli utenti) per rendere un sito compliant alla suddetta normativa.
Come costruire un sito web a prova di GDPR: Privacy Policy
Ogni sito, per funzionare, acquisisce alcuni dati personali riferibili agli utenti che interagiscono con esso, la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet (per esempio, gli indirizzi IP o i parametri relativi al sistema operativo e all’ambiente informatico dell’utente).
Vi sono poi altri dati che potrebbero essere forniti volontariamente dall’utente quando usufruisce delle funzioni messe a diposizione sul sito, o in occasione della fruizione dei servizi ivi offerti.
Si pensi, ad esempio, ai form di contatto (tramite i quali gli utenti forniscono quantomeno il loro indirizzo di posta elettronica per essere ricontattati) o a tutte le informazioni raccolte da un e-commerce per dare seguito alla richiesta dell’utente di acquistare un determinato servizio o prodotto (indirizzo di spedizione, dati relativi al metodo di pagamento prescelto, ecc.).
In tale contesto, il proprietario del sito è tenuto a rendere disponibile sullo stesso un’informativa ai sensi dell’Art. 13 del GDPR (anche nota come Privacy Policy), che contenga le modalità di gestione del sito Internet con riferimento al trattamento dei dati personali degli utenti.
È importante, quindi, redigere una policy coerente con il sito, evitando di utilizzare modelli generici e non persnalizzati.
Ai sensi del GDPR, l’informativa deve essere concisa, trasparente, intelligibile e facilmente accessibile e redatta in un linguaggio semplice e chiaro, escludendo il ricorso a strutture sintattiche e lessicali complesse, termini astratti e ambivalenti o formulazioni eccessivamente tecniche.
Inoltre, la privacy policy deve contenere tutte le informazioni elencate dall’art. 13 del Regolamento, ossia:
- l’identità e i dati di contatto del titolare del trattamento (di norma, il proprietario del sito) e del Data Protection Officer (se nominato);
- le finalità del trattamento cui sono destinati i dati personali e la relativa base giuridica;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali (si pensi ai provider di cui il proprietario del sito si avvale);
- le informazioni su eventuali trasferimenti di dati al di fuori dell’UE;
- il periodo di conservazione dei dati personali;
- i diritti riconosciuti dal GDPR all’interessato/utente;
- l’obbligo o meno di fornire i dati personali e le possibili conseguenze della mancata comunicazione di tali dati (si pensi, per esempio, al caso in cui i dati personali siano necessari per usufruire dei servizi resi tramite il sito);
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione dell’utente.
È appena il caso di sottolineare che la privacy policy dovrebbe essere resa accessibile all’utente (tramite hyperlink) in tutti quei passaggi che implicano un conferimento dei dati: per esempio, prima di inoltrare una richiesta tramite il modulo di contatto presente sul sito o prima di effettuare definitamente l’ordine di un prodotto.
In ogni caso, inoltre, la policy dovrebbe essere sempre facilmente accessibile sul sito, per esempio inserendo un link ben visibile nel footer.
Come costruire un sito web a prova di GDPR: Cookie
A far data dal 10 gennaio 2022, sono divenute operative le nuove “Linee guida sui cookie e gli altri strumenti di tracciamento” adottate il 10 giugno 2021 dall’Autorità garante per la protezione dei dati personali.
Le principali novità normative riguardano le modalità di acquisizione del consenso dell’utente alla raccolta dei cookie (per esempio, il consenso dell’utente non può essere dedotto dalla semplice navigazione) e l’implementazione del cosiddetto “cookie banner”.
Con particolare riferimento a quest’ultimo, le citate Linee guida si soffermano diffusamente sui requisiti che i banner dovrebbero riscontrare, tra cui la presenza, all’interno del banner, delle informazioni minime sul trattamento dei cookie utilizzati dal gestore del sito, nonché del link alla cookie policy estesa.
Anche la cookie policy, così come la privacy policy, deve essere “tagliata” sulle specificità del sito, descrivendo cosa sono i cookie, quali sono i cookie utilizzati dal sito e come disabilitare gli stessi.
Inoltre, un altro elemento da valutare caso per caso è la user experience, che deve essere pensata per agevolare l’utente nella lettura delle informazioni che devono fornite dalla legge e, soprattutto, nell’espressione delle scelte sull’utilizzo dei suoi dati.
In tal senso, degli errori comuni, ad esempio, sono l’utilizzo di banner in cui è riportata la dicitura “Usando il nostro sito web, acconsenti all’utilizzo di cookie”, l’utilizzo di banner poco visibili o, ancora, di tasti “accetta” riferiti tutte le attività di trattamento di cookie effettuate.
Come costruire un sito web a prova di GDPR: Il consenso dell’utente
È necessario, quindi, richiedere il consenso dell’utente per trattare i suoi dati? La risposta – come spesso accade quando si pone un quesito a un avvocato – è “dipende”.
Sicuramente, se si parla di cookie, il consenso dell’interessato va richiesto con riferimento a tutti quei cookie che non siano necessari per il funzionamento del sito o che non siano raccolti in forma anonima e aggregata.
Quanto agli altri dati, il consenso dell’interessato potrebbe rendersi necessario laddove il proprietario del sito/titolare dei dati voglia inviare ai propri utenti/clienti comunicazioni commerciali o, ancora, qualora intenda trasmettere i dati degli interessati a terzi o effettuare attività di profilazione degli utenti.
In tutti i casi in cui si renda necessario richiedere un consenso all’utente (e questo non può prescindere da un’attenta valutazione, da effettuarsi caso per caso), è importante inoltre ponderare con attenzione le modalità con cui lo stesso viene richiesto, avendo cura di tenere traccia di ogni consenso prestato da ogni singolo utente.
Come costruire un sito web a prova di GDPR