GDPR e sito Web: come adeguarsi

Lo scorso anno ha puntato i riflettori sul tema tutela e gestione dei dati degli utenti,  rendendo la privacy uno degli argomenti più discussi di questo 2021.  Le novità introdotte dal Garante sono state diverse, ma oggi vogliamo dedicare questo articolo ad un tema che sta toccando da vicino molte aziende: l’adeguamento privacy del proprio sito Web.

Per garantire un maggiore controllo e tutela sui dati delle persone fisiche il Regolamento europeo ha previsto alcuni criteri che ogni sito web dovrebbe rispettare per essere compliant.

Occorre specificare che adeguare un sito web non è semplice perché dipende dalla tipologia di dati che il sito stesso raccoglie e le modalità con cui vengono utilizzati e conservati.

Ad esempio: un sito e-commerce raccoglie delle tipologie di dati, come numeri di carte di credito o indirizzi, che appartengono a particolari categorie di dati personali e per questo motivo richiedono una maggiore tutela; se un sito di questo tipo venisse “hackerato” con il fine di rubare questi dati sarebbe un grosso problema. Invece, un sito Web che funge da vetrina per un’azienda avrà installati cookie o un form contatti, raccoglierà dei dati differenti, pertanto richiederà un processo di adeguamento più semplice e veloce.

Abbiamo provato ad individuare delle macro aree per capire in una prima analisi se il proprio sito è conforme:

Informativa privacy

È il documento che ha il compito di informare in modo chiaro e trasparente l’utente sulla tipologia e la quantità di dati raccolti dal sito; sulla modalità del trattamento dati e la finalità per cui vendono raccolti; per quanto tempo vengono conservati; chi può vederli e a chi possono essere inviati. L’informativa ha anche il compito di dare informazioni in merito al titolare del trattamento, i responsabili e più in generale tutte quelle figure che se ne occuperanno.

Cookie policy

Tutti i siti Web raccolgono informazioni utilizzando cookie tecnici o di funzionamento, che permettono il regolare funzionamento del sito; tuttavia, vi sono tipologie di cookie come quelli analitici, di terze parti o di marketing per cui è necessario avere il consenso preventivo dell’utente, proprio perché, anche in questo caso, la tipologia di dati reperiti rientra in una particolare categoria.

Perciò se prima ci si limitava ad ignorare o accettare in toto il banner relativo all’utilizzo dei cookie, oggi è necessario che l’utente interagisca con questo strumento indicando non solo quali cookie desidera accettare ma avendo anche la possibilità di cambiare le sue preferenze in ogni momento.  

Avere una Cookie policy aggiornata non solo rende il proprio sito a norma, ma ne aumenta anche l’affidabilità, grazie alla cura che viene dimostrata nella gestione dei dati degli utenti. 

CMS (content management system)

Il CMS è un software che aiuta gli utenti a modificare e aggiornare il proprio sito web: WordPress, Magento, Shopify sono alcuni tra i più utilizzati. È importante assicurarsi che il proprio CMS sia aggiornato e conforme al GDPR; se il tuo sito è gestito da un’agenzia chiedi loro di controllare per esserne sicuro.

Form o modulo contatti

 Il form è lo strumento principale utilizzato dalle aziende per acquisire dati di contatto degli utenti, perché questo procedimento di acquisizione di dati avvenga nel rispetto delle direttive del GDPR è fondamentale che permetta agli utenti di spuntare due caselle: la prima relativa al consenso sulle modalità di trattamento inserite nell’informativa[1]; il secondo flag invece deve comunicare per quali tipologie di attività verranno utilizzati i dati, ad esempio per l’invio di comunicazioni marketing.

È molto importante che queste caselle non siano precompilate.

Plug-in website

Un plugin è un’applicazione che permette di aggiungere delle funzionalità al tuo sito web; i plug in che inserisci devono essere conformi al GDPR, qualora non lo fossero puoi optare per dei plug in sostitutivi.

Attività di newslettering

Ogni utente che si iscrive ad una newsletter per ricevere aggiornamenti o promozioni da un sito o da un brand deve avere la possibilità di disiscriversi in qualsiasi momento.

Queste sono a grandi linee le macro aree di intervento; tuttavia, come già precisato, ogni sito è unico e ha una funzione diversa, per questo è fondamentale fare un’analisi preliminare che permetta di individuare le criticità per poterlo adeguare. 


[1] È molto importante inserire anche il link all’informativa privacy, in modo che l’utente possa verificare prima di spuntare la casella.