fbpx

Qualche consiglio per mettersi in regola con la GDPR

Mettersi in regola con la GDPR

Il conto alla rovescia è già scattato: mancano pochi giorni ancora, poi ogni sito che intende ricevere visite da utenti dall’Unione Europea dovrà adeguarsi alla nuova legge in materia di privacy e trasparenza nel trattamento dei dati, la GDPR appunto. Questa norma, in pratica, modifica e perfeziona le due precedenti normative, ancora oggi in vigore.

Non voglio stare qui a citare numeri di leggi e fare un resoconto delle leggi precedenti o delle sanzioni che si rischiano, perché ormai le conosciamo tutti. Ma se nel 2015 con la legge sui cookie ci fu una grossa confusione in merito, la GDPR ha generato un autentico panico.

La norma, in sé, è chiarissima. Spiega perfettamente quali sono i diritti dell’utente e cosa deve fare un webmaster per mettere in regola i suoi siti, ma a generare confusione è la parte tecnica: cosa bisogna fare, da questo punto di vista, per far sì che il proprio sito sia in regola? Mettersi in regola con la GDPR è difficile perché non si sa bene cosa sia tecnicamente legale e cosa no. Un po’ come la legge sui cookie, del resto: moltissimi siti sono convinti di essere nel giusto, ma non lo sono.

I punti chiave della GDPR

Sembra che la GDPR capiti di proposito dopo lo scandalo Cambridge Analytica, ma in realtà l’emanazione di questa legge europea risale al 2016, ed era previsto da tempo che l’effettiva entrata in vigore sarebbe avvenuta proprio il 25 maggio 2018. In ogni caso, la GDPR tocca alcuni punti che, anche alla luce dei recenti avvenimenti, sono di importanza fondamentale. Per capire come mettersi in regola con la GDPR, dunque, bisogna capire quali sono i capisaldi della legge:

  • Ogni utente deve esprimere un consenso chiaro ed esplicito al trattamento dei dati e tale consenso deve essere dimostrabile;
  • L’utente deve sapere, prima di dare il consenso, per quali fini verranno usati i suoi dati personali (inclusi i cookie);
  • L’utente deve poter ricevere una copia di tutti i dati in possesso del titolare del trattamento dei dati e chi opera per lui;
  • L’utente deve poter esercitare il suo diritto all’oblio, ovvero deve poter chiedere e ottenere l’eliminazione di tutti o alcuni dati che lo riguardano e che sono in possesso del titolare del trattamento dei dati;
  • L’utente deve sapere per quanto tempo i dati resteranno a disposizione del titolare del trattamento;
  • In caso di violazione o furto di dati, l’utente deve esserne informato entro 72 ore.

Detto questo, esistono alcuni casi particolari che impensieriscono i webmaster più di altri, e dopo aver studiato la legge assieme ai miei colleghi d’agenzia, vorrei provare a rispondere ad alcuni degli scenari più frequenti, ma prima, vediamo alcuni punti in comune a tutte le situazioni.

La tua privacy policy

La privacy policy va aggiornata e vanno elencati tutti i servizi, anche di terze parti, che raccolgono i dati dell’utente, inclusi i cookie. Devi indicare quali tipi di dati vengono raccolti e per quali scopi, inoltre devi indicare per quanto tempo avrai a disposizione quei dati, ma in questo caso, a quanto pare, va bene affermare che i dati verranno trattenuti finché saranno necessari al fine di erogare i servizi richiesti.

All’interno della privacy policy, va inoltre specificato un recapito valido del titolare del trattamento dei dati affinché gli utenti possano chiedere di ricevere un report sui dati personali conservati dal sito e la relativa cancellazione.

Come trasmettere i dati all’utente

Considerando che questo genere di richieste non sarà molto frequente, è un’operazione che può essere svolta manualmente, anche perché al momento non sembrano esserci soluzioni automatiche a questo problema. Ti consiglio di preparare un modello da conservare e da compilare qualora si manifesti tale necessità.

La buona notizia è che non sei obbligato a fornire tali dati immediatamente. Instagram, per esempio, si prende 48 ore di tempo. Per Facebook, ne ho parlato un po’ di tempo fa in un video live su Facebook, sono necessari circa 20 minuti.

Il metodo più semplice è quello di eseguire una query sul database del tuo sito chiedendo di ottenere tutti i dati associati all’ID dell’utente in questione.

Come eliminare i dati dell’utente

Allo stesso modo, non sei costretto a eseguire la richiesta immediatamente, anche se devi mantenerti entro tempi ragionevoli.

Anche in questo caso la soluzione è una query sul database in cui elimini tutti i dati associati all’ID utente associato alla persona che ne ha richiesto la cancellazione, dopodiché, dovrai cancellare fisicamente tutti i file presenti sul tuo spazio web relativi a quella persona.

Blog o sito web con WordPress

Con WordPress gli utenti possono registrarsi, effettuare il login e accedere a varie funzioni dal pannello. A meno che gli unici ad accedere a questa area riservata siano i gestori del sito, è necessario che l’utente conceda il suo consenso al trattamento dei dati che inserisce durante la registrazione. Inoltre, se tale processo genera cookie (e li genera), dovrai richiedere il consenso preventivo.

Se invece hai un blog che offre la possibilità di commentare gli articoli, sotto il form dovrà esserci la spunta relativa al consenso per il trattamento dei dati.

A tal proposito, è importante sottolineare che già da diverse settimane il team di Automattic ha diramato delle linee guida per gli sviluppatori di plugin, quindi a meno che non usi plugin che non vengono aggiornati da secoli (beh, cambiali!), riceverai gli aggiornamenti automatici.

Il plugin Cookie Notice, per esempio, adesso offre la possibilità di bloccare preventivamente un determinato codice JS fino all’approvazione esplicita dell’utente. Inutili, invece, soluzioni come Cookiebot, che offrono la possibilità di lasciare all’utente le impostazioni sull’attivazione e disattivazione di ogni singola tipologia di cookie nel sito, poiché ciò non è richiesto da alcuna normativa. Sarebbero soldi sprecati, quindi.

Form di contatto e email marketing

Se hai una pagina dedicata ai contatti sul tuo sito web, con uno di quei form a tre o quattro campi, devi metterti in regola con la GDPR. E naturalmente vale lo stesso se si tratta di un form di opt-in per una newsletter o qualsiasi altra forma di email marketing.

L’utente dovrà avere la possibilità di dare il suo consenso tramite la solita spunta alla consueta casella, fosse anche solo per inviarti una mail con richiesta di informazioni. E ricorda: ogni consenso deve essere registrato e dimostrabile.

Vale lo stesso per i form di opt-in: spunta in cui l’utente acconsente a ricevere comunicazioni di tipo commerciale, ma va anche specificato se queste sono relative o meno al servizio per il quale l’utente sta offrendo il suo consenso.

Inoltre, se hai intenzione di cedere i dati a terzi, pratica ampiamente comune nel campo del web marketing, questo consenso deve essere ottenuto separatamente con un’altra casella e una dicitura distinta.

Se ti muovi in ambito WordPress, saprai che è piuttosto semplice inserire le caselle di controllo con tutti i plugin di form di contatto più famosi, ma ecco un plugin che potrà tornarti utile: Flamingo, usato appositamente per registrare e conservare i messaggi ricevuti e quindi anche i consensi ottenuti tramite Contact Form 7. Per Ninja Form, invece, c’è un’opzione apposita, senza alcun bisogno di scomodare plugin esterni.

Sito con Google Analytics, Hotjar e simili

Se nella tua privacy policy hai indicato il link di opt-out, sei già a buon punto. Google Analytics, così come altri sistemi di monitoraggio a fini statistici, vanno bloccati preventivamente fino al consenso dell’utente, che ancora una volta, deve essere registrato e dimostrabile, a meno che i dati non siano anonimi.

Se usi Hotjar, invece, non devi fare nulla. Già, pazzesco, ma è così: gli sviuppatori hanno infatti deciso di anonimizzare i dati catturati durante la navigazione, dunque puoi dormire sonni tranquilli.

In generale, qualsiasi sistema di monitoraggio va adeguato alla GDPR.

Facebook login, Facebook pixel e app di Facebook

Tutto ciò che riguarda Facebook o quasi raccoglie dati personali dell’utente, e anche se è una piattaforma esterna a farlo, sei tu ad accedervi e utilizzarli per i tuoi scopi, quindi ne sei responsabile. Tuttavia, per il login e per qualsiasi app di Facebook, è la piattaforma stessa a restituire all’utente una schermata di richiesta di consenso al trattamento dei dati, quindi non dovrai fare altro, se non segnalare la semplice presenza di questi servizi sul tuo sito nella tua privacy policy. Diversamente, invece, dal Facebook pixel, usato per la pubblicità: in quel caso l’utente deve saperlo e deve prestare il suo consenso.

AdSense, Amazon Affiliate e altri network di annunci

Se sul tuo sito compaiono banner pubblicitari, allora le cose si complicano: i dati personali raccolti da queste piattaforme sono tantissimi e per gli scopi più disparati, dal monitoraggio al behavioural retargeting. Quando c’è la pubblicità di mezzo, devi sempre informare l’utente e ottenere il suo esplicito consenso.

E-commerce e pagamenti online

Se hai un sito e-commerce userai i dati dell’utente per la fatturazione, per processare l’ordine, ricevere il pagamento ed effettuare la spedizione. L’utente deve saperlo tramite i termini e condizioni di utilizzo dell’e-commerce, documento diverso dalla privacy policy e la cui accettazione viene richiesta in fase di acquisto, assieme alla privacy policy o successivamente a essa, cosa che tecnicamente dovrebbe già avvenire da tempo immemore.

Dubbi sparsi

La GDPR è una normativa nuovissima e in alcuni punti non ancora del tutto chiara, quindi è molto probabile ci sarà un periodo di tolleranza in cui saranno le stesse autorità a indicare ai siti web come fare per mettersi in regola.

La legge, inoltre, vale per tutti i siti che interagiscono con utenti provenienti dall’UE, quindi dovranno rispettarla anche i siti britannici dopo la Brexit, i siti americani, cinesi e praticamente di tutto il mondo.

Come ho scritto in precedenza, in agenzia ci stiamo occupando di sistemare i siti che ancora non sono in linea con la GDPR, quindi se hai bisogno di un’analisi gratuita e senza impegno e magari di un successivo intervento, contattami e sarò felice di aiutarti.

Articoli correlati

5 risposte

  1. Articolo veramente ben fatto, molto utile e semplice da capire, complimenti. Posso approfittare per farti una domanda? Io ho un sito wordpress con piano gratuito che non mi da’ la possibilità di installare nessun plug in, di conseguenza non riesco a fare niente che mi permetta di provare a mettermi in regola con la nuova norma. Credi che l’unica soluzione sia passare ad piano a pagamento?
    Grazie

    1. Sarebbe illegale se WordPress ti facesse pagare per metterti in regola: non puoi offrire un piano, seppur gratuito, che non rispetti la legge. Credo che WordPress rilascerà un maxi aggiornamento tra qualche giorno, come tra l’altro gli stessi sviluppatori dichiararono non molto tempo fa, permettendoti di metterti in regola.
      A prescindere da questo, comunque, ti consiglierei di passare su un dominio di secondo livello, installare WordPress da zero e personalizzarlo come vuoi. Più responsabilità e più costi, ma anche più libertà. 😉

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

mario-messenger

Mi chiamo Mario Palmieri e sono un digital copywriter. Mi occupo di scrivere testi pubblicitari e gestire blog per conto di aziende e professionisti che vogliono farsi conoscere sul web.

Share This