GDPR siti web: 4 punti su cui prestare la massima attenzione

GDPR siti web
INDICE:

La gestione del GDPR per i siti web dovrebbe essere presa in considerazione fin dal primo momento dello sviluppo di un progetto aziendale online: che si tratti di siti vetrina di poche pagine oppure di siti dinamici per l’e-commerce su larga scala.

La profondità e la complessità dei punti da coprire possono variare di molto a seconda del tipo di progetto, del settore di attività e del pubblico di riferimento.

Non sempre però gli aspetti di compliance sono in cima alla lista delle cose di cui occuparsi per l’apertura di un nuovo sito web, che molto spesso viene messo online senza alcun accorgimento relativo alla normativa sulla protezione dei dati personali.

Questo avviene principalmente perché non sono chiari gli aspetti principali su cui focalizzarsi.

Dunque, su cosa occorre concentrare l’attenzione?

In ottica di accountability, discutiamo di seguito quattro dei principali punti da verificare per capire se i propri siti web sono allineati con le più recenti norme e best practice sulla protezione dei dati personali.

Occorre tenere ben presente che gli spazi web aziendali sono costantemente esposti al pubblico, nonché fonte di numerosi e rilevanti rischi per i diritti e le libertà degli interessati.

1. Gestione dei cookie sui siti web: sono rispettate le indicazioni delle nuove linee guida del Garante?

Di pari passo con l’evoluzione tecnologica, anche le attività di marketing si evolvono.

La normativa privacy non manca di tenere il passo con i tempi e di aggiornarsi per intervenire sui punti più rischiosi per la privacy degli utenti della rete.

Il 10 giugno 2021, il Garante per la Protezione dei dati personali, ha emanato le “Linee guida cookie e altri strumenti di tracciamento”, per aggiornare il suo precedente provvedimento del 2014, anche alla luce della rivoluzione normativa portata dal GDPR.

Qualora vengano utilizzati cookie e/o tecnologie similari, il sito web aziendale va impostato in modo tale da fornire una soluzione di acquisizione del consenso che impedisca l’impostazione o l’attivazione di cookie sul dispositivo prima dell’espressione di volontà in merito da parte dell’utente.

Discorso diverso per i cookie tecnici per il funzionamento del sito, che non richiedono il consenso preventivo per la loro installazione. Rispetto ai cookie analitici, invece, il documento chiarisce i criteri secondo cui tali cookie possono essere considerati alla stregua di quelli tecnici.

Tra le implicazioni pratiche del provvedimento, è rilevante la gestione corretta del banner cookie da mostrare all’utente all’accesso al sito in caso di impiego di cookie non tecnici.

Ad esempio, tale banner dovrà riportare:

  1. l’indicazione in merito all’uso di cookie tecnici e, previo consenso, di altri cookie (come quelli di profilazione);
  2. una informativa breve che indichi le finalità, un rimando, tramite link, all’informativa completa;
  3. un comando per l’accettazione di tutti i cookie o altre tecniche di tracciamento
  4. un rimando, tramite link, ad un’area dove poter scegliere analiticamente in merito a funzionalità, terze parti e cookie
  5. un comando di chiusura del banner stesso (ad esempio con un classico pulsante X in alto a destra) per proseguire la navigazione mantenendo le impostazioni di default.

Il provvedimento non consente di richiedere il consenso in maniera reiterata, a meno che vi siano mutamenti in una o più delle condizioni alle quali è stato raccolto, oppure quando non risulti possibile sapere se un cookie sia stato già memorizzato nel dispositivo.

Ai sensi del provvedimento, per fugare ogni dubbio, è necessario dire che lo scrolling della pagina o il proseguimento della navigazione non sono considerate valide modalità di espressione del consenso.

Non è inoltre possibile fare affidamento al legittimo interesse del titolare per l’installazione di cookie non tecnici, bensì solo sul consenso dell’interessato.

2. Privacy policy nei siti: informare correttamente i propri visitatori

Insieme alla cookie policy (citata al punto precedente), è necessario rendere disponibile un collegamento alla privacy policy: un documento che si compone come una vera e propria informativa indirizzata agli utenti che fruiscono dei servizi del sito.

In tale documento dovranno essere comprese tutte le informazioni obbligatorie ai sensi dell’art. 13 del GDPR.

Una buona prassi per chi gestisce un sito web aziendale, anche in termini di trasparenza verso gli interessati, è quella di inserire nel footer anche un link ad una pagina contenente la documentazione privacy aziendale più comune, in particolare le diverse informative rivolte a clienti, fornitori o candidati.

In generale può essere utile raggruppare le diverse informative presenti sul sito in questa pagina, in modo che l’utente possa visualizzarle separatamente e, se del caso, scaricarle.

3. Le sezioni “contattaci”: un ottimo punto per conoscere nuovi clienti e… per commettere errori di compliance GDPR

Un sito web aziendale è un ottimo strumento per raccogliere le richieste di contatto da parte dei propri potenziali clienti, ad esempio richieste di preventivo o informazioni sui prodotti messi in vendita.

La raccolta di tali dati, però, va normata separatamente rendendo disponibile all’utente (ad esempio tramite un box a scorrimento o tramite link) un’informativa dedicata, che illustri con chiarezza cosa l’azienda ha intenzione di fare con i dati inseriti nel form, non essendo sufficiente un generico rimando ad una lunga e complessa “Privacy Policy” o peggio ai “Termini e condizioni del sito web”.

Per tali form, la parola chiave deve essere “minimizzazione“.

Non è raro, infatti, imbattersi in form di contatto che richiedono di inserire decine di dati inutili per una semplice richiesta di informazioni su un prodotto o servizio.

Nell’ottica di una gestione GDPR siti web ottimale, è necessario verificare quali dati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Per venire incontro al meglio a tale principio, è consigliabile non raccogliere dati non necessari piuttosto di raccoglierli segnalandoli semplicemente come facoltativi (ad esempio non contrassegnandoli con l’asterisco).

Sebbene, in linea generale, tale trattamento non si basa sul consenso, in quanto rientrante tra le misure precontrattuali adottate su richiesta dell’interessato, se l’azienda ha intenzione di utilizzare i dati del form di contatto per una finalità diversa e non compatibile con quella della risposta alla richiesta di informazioni, come l’invio di comunicazioni promozionali, la base giuridica dovrà essere differente, ad esempio identificata nel consenso dell’interessato.

In questo caso il form rimane lo stesso, ma sarà necessario aggiornare l’informativa ed inserire una richiesta di consenso separata da ogni altra richiesta.

Un paio di indicazioni per evitare gli errori più comuni in tali casi:

  • il consenso dovrà essere facoltativo, non sarà quindi possibile impedire l’invio della richiesta tramite il form poiché manca il flag sulla richiesta di consenso;
  • la casella relativa al consenso non deve essere “preselezionata”;

4. Registrazione ai siti, creazione di profili personali e GDPR

Rendere disponibili aree riservate ai propri clienti è un ottimo modo per fidelizzarli, mettendo a disposizione una vasta gamma di servizi all’interno di tale area, come la whishlist, oppure fornendo contenuti esclusivi riservati agli iscritti.

In questo caso, un visitatore di passaggio diventa qualcosa di più, e con la conoscenza del cliente – o potenziale tale – aumenta il flusso dei dati raccolti e conservati dall’azienda.

Nella gestione del processo di creazione di un account utente ci sono diversi aspetti da considerare, anche in relazione alla sicurezza informatica e alla c.d. privacy by design e by default.

Informativa privacy dedicata

In corrispondenza del form di registrazione dovrà essere messa a disposizione una informativa dedicata al trattamento, facendo attenzione a riportare anche le informazioni sulle eventuali tecnologie impiegate per l’autenticazione (come le funzionalità di social login).

La password dell’area personale

Un punto delicato è il momento di creazione di una password da utilizzare per l’accesso.

A seconda della composizione di una password in termini di lunghezza e di caratteri utilizzati, infatti, aumentano o diminuiscono le possibilità per un attore malintenzionato di forzarla ed accedere fraudolentemente all’area riservata ed ai dati in essa contenuti.

Al fine di permettere agli utenti di allinearsi ai suggerimenti del Garante per impostare password sicure è consigliabile impostare delle regole obbligatorie per l’impostazione delle password da parte degli utenti.

Ad esempio, l’autorità di controllo italiana suggerisce agli utenti di utilizzare almeno 8 caratteri, consigliando di impostare una password di circa 15 caratteri al fine di irrobustirla ulteriormente, indicando l’uso di almeno quattro diverse tipologie di caratteri: lettere maiuscole, minuscole, numeri, caratteri speciali (come, trattino meno “-” o underscore “_”).

Sebbene esistano tali indicazioni del Garante indirizzate agli utenti, la sicurezza della password non è da lasciare sulle spalle dei singoli.

Non è assolutamente consigliabile lasciare una impostazione minima di password di lunghezza inferiore agli 8 caratteri.

Una soluzione ottimale a questo problema è quella di impostare un set di criteri di sicurezza comune per tutti gli utenti.

Anche l’interno dell’area riservata non è esente dalla presente analisi.

Chi progetta tali funzionalità su un sito web, infatti, dovrà assicurarsi di ottemperare all’articolo 25 del GDPR in merito alla protezione dei dati fin dalla progettazione.

Un esempio classico è legato alla possibilità di fornire all’utente registrato una dashboard all’interno dell’area riservata che permetta di modificare/integrare i propri dati, cambiare la password, modificare lo stato dei propri consensi marketing e/o di profilazione e, infine, eliminare il proprio account.

GDPR siti web cosa fare e come muoversi?

I punti su cui concentrarsi per la gestione del GDPR nei siti web sono diversi e tutti rilevanti: la tecnologia non ha limiti e non esiste un progetto online uguale ad un altro.

Il consiglio è quello di rivolgersi comunque al proprio DPO oppure ad un team di esperti perché svolga una analisi dello stato di compliance dei siti aziendali e che intervenga prima della messa online di un nuovo progetto, per fornire consulenza personalizzata sul progetto.

Abbiamo visto cosa fare per rendere i siti web in linea rispetto al GDPR. Se gestisci uno o più siti internet, contattaci per conoscere le nostre soluzioni di compliance privacy.

Torna in alto