Nel 2025 le nuove linee guida Agid sull’accessibilità digitale della Direttiva Europea: cosa cambierà per…
Siti web e GDPR, da ora i siti web devono rispettare le regole
La nuova normativa europea non vuole essere un elenco di fredde regole decise da qualche burocrate, da spuntare come un mero elenco. Bensì, vuole fare più chiarezza e imporre i diritti degli utenti a livello internazionale, per evitare che i vostri/nostri dati siano trattati in modo superficiale o peggio finire nelle mani di aziende sera scrupoli. In altre parole, questa normativa è una buona idea per regolamentare i siti web e sensibilizzare le aziende alla sicurezza informatica.
Il conto alla rovescia è già scattato: mancano pochi giorni ancora, poi ogni sito che intende ricevere visite da utenti dall’Unione Europea dovrà adeguarsi alla nuova legge in materia di privacy e trasparenza nel trattamento dei dati, la GDPR appunto. Questa norma, in pratica, modifica e perfeziona le due precedenti normative, ancora oggi in vigore.
Premetto che per adeguare il sito alla normativa GDPR dovrai contattare un bravo consulente giuridico e un programmatore informatico, non esistono software che fanno queste operazioni in modo automatico. Ci sono alcune associazioni di categoria molto preparate in materia che possono darvi tutte le informazioni giuridiche e aiutarvi nella messa a norma della vostra attività, vi segnalo la Confartigianato (non importa che siate associati oppure no).
Infatti la GDPR si compone di due parti:
-
una auto certificazione che dovrete avere in azienda,
-
mettere in regola gli impianti informatici (e quindi anche il sito web) affinché garantiscano la sicurezza informatica.
Non voglio stare qui a citare numeri di leggi e fare un resoconto delle leggi precedenti o delle sanzioni che si rischiano, perché ormai le conosciamo tutti. Ma se nel 2015 con la legge sui cooke ci fu una grossa confusione in merito, la GDPR ha generato un autentico panico.
La norma, in sé, è chiarissima. Spiega perfettamente quali sono i diritti dell’utente e cosa deve fare un webmaster per mettere in regola i suoi siti, ma a generare confusione è la parte tecnica: cosa bisogna fare, da questo punto di vista, per far sì che il proprio sito sia in regola? Mettersi in regola con la GDPR è difficile perché non si sa bene cosa sia tecnicamente legale e cosa no. Un po’ come la legge sui cookie, del resto: moltissimi siti sono convinti di essere nel giusto, ma non lo sono.
I punti chiave della GDPR
Sembra che la GDPR capiti di proposito dopo lo scandalo Cambridge Analytica, ma in realtà l’emanazione di questa legge europea risale al 2016, ed era previsto da tempo che l’effettiva entrata in vigore sarebbe avvenuta proprio il 25 maggio 2018. In ogni caso, la GDPR tocca alcuni punti che, anche alla luce dei recenti avvenimenti, sono di importanza fondamentale. Per capire come mettersi in regola con la GDPR, dunque, bisogna capire quali sono i capisaldi della legge:
- Ogni utente deve esprimere un consenso chiaro ed esplicito al trattamento dei dati e tale consenso deve essere dimostrabile;
- L’utente deve sapere, prima di dare il consenso, per quali fini verranno usati i suoi dati personali (inclusi i cookie);
- L’utente deve poter ricevere una copia di tutti i dati in possesso del titolare del trattamento dei dati e chi opera per lui;
- L’utente deve poter esercitare il suo diritto all’oblio, ovvero deve poter chiedere e ottenere l’eliminazione di tutti o alcuni dati che lo riguardano e che sono in possesso del titolare del trattamento dei dati;
- L’utente deve sapere per quanto tempo i dati resteranno a disposizione del titolare del trattamento;
- In caso di violazione o furto di dati, l’utente deve esserne informato entro 72 ore.
Detto questo, esistono alcuni casi particolari che impensieriscono i webmaster più di altri, e dopo aver studiato la legge assieme ai miei colleghi d’agenzia, vorrei provare a rispondere ad alcuni degli scenari più frequenti, ma prima, vediamo alcuni punti in comune a tutte le situazioni.
La tua privacy policy
La privacy policy va aggiornata e vanno elencati tutti i servizi, anche di terze parti, che raccolgono i dati dell’utente, inclusi i cookie. Devi indicare quali tipi di dati vengono raccolti e per quali scopi, inoltre devi indicare per quanto tempo avrai a disposizione quei dati, ma in questo caso, a quanto pare, va bene affermare che i dati verranno trattenuti finché saranno necessari al fine di erogare i servizi richiesti.
All’interno della privacy policy, va inoltre specificato un recapito valido del titolare del trattamento dei dati affinché gli utenti possano chiedere di ricevere un report sui dati personali conservati dal sito e la relativa cancellazione.
Come trasmettere i dati all’utente
Considerando che questo genere di richieste non sarà molto frequente, è un’operazione che può essere svolta manualmente, anche perché al momento non sembrano esserci soluzioni automatiche a questo problema. Ti consiglio di preparare un modello da conservare e da compilare qualora si manifesti tale necessità.
La buona notizia è che non sei obbligato a fornire tali dati immediatamente. Instagram, per esempio, si prende 48 ore di tempo. Per Facebook sono necessari circa 20 minuti.
Il metodo più semplice è quello di eseguire una query sul database del tuo sito chiedendo di ottenere tutti i dati associati all’ID dell’utente in questione.
Come eliminare i dati dell’utente
Allo stesso modo, non sei costretto a eseguire la richiesta immediatamente, anche se devi mantenerti entro tempi ragionevoli.
Anche in questo caso la soluzione è una query sul database in cui elimini tutti i dati associati all’ID utente associato alla persona che ne ha richiesto la cancellazione, dopodiché, dovrai cancellare fisicamente tutti i file presenti sul tuo spazio web relativi a quella persona.
Blog o sito web con WordPress
Con WordPress gli utenti possono registrarsi, effettuare il login e accedere a varie funzioni dal pannello. A meno che gli unici ad accedere a questa area riservata siano i gestori del sito, è necessario che l’utente conceda il suo consenso al trattamento dei dati che inserisce durante la registrazione. Inoltre, se tale processo genera cookie (e li genera), dovrai richiedere il consenso preventivo.
Se invece hai un blog che offre la possibilità di commentare gli articoli, sotto il form dovrà esserci la spunta relativa al consenso per il trattamento dei dati.
A tal proposito, è importante sottolineare che già da diverse settimane il team di Automattic ha diramato delle linee guida per gli sviluppatori di plugin, quindi a meno che non usi plugin che non vengono aggiornati da secoli (beh, cambiali!), riceverai gli aggiornamenti automatici.
Il plugin Cookie Notice, per esempio, adesso offre la possibilità di bloccare preventivamente un determinato codice JS fino all’approvazione esplicita dell’utente.
Form di contatto e email marketing
Se hai una pagina dedicata ai contatti sul tuo sito web, con uno di quei form a tre o quattro campi, devi metterti in regola con la GDPR. E naturalmente vale lo stesso se si tratta di un form di opt-in per una newsletter o qualsiasi altra forma di email marketing.
L’utente dovrà avere la possibilità di dare il suo consenso tramite la solita spunta alla consueta casella, fosse anche solo per inviarti una mail con richiesta di informazioni. E ricorda: ogni consenso deve essere registrato e dimostrabile.
Vale lo stesso per i form di opt-in: spunta in cui l’utente acconsente a ricevere comunicazioni di tipo commerciale, ma va anche specificato se queste sono relative o meno al servizio per il quale l’utente sta offrendo il suo consenso.
Inoltre, se hai intenzione di cedere i dati a terzi, pratica ampiamente comune nel campo del web marketing, questo consenso deve essere ottenuto separatamente con un’altra casella e una dicitura distinta.
Se ti muovi in ambito WordPress, saprai che è piuttosto semplice inserire le caselle di controllo con tutti i plugin di form di contatto più famosi, ma ecco un plugin che potrà tornarti utile: Flamingo, usato appositamente per registrare e conservare i messaggi ricevuti e quindi anche i consensi ottenuti.
Sito con Google Analytics, Hotjar e simili
Se nella tua privacy policy hai indicato il link di opt-out, sei già a buon punto. Google Analytics, così come altri sistemi di monitoraggio a fini statistici, vanno bloccati preventivamente fino al consenso dell’utente, che ancora una volta, deve essere registrato e dimostrabile, a meno che i dati non siano anonimi.
Se usi Hotjar, invece, non devi fare nulla. Già, pazzesco, ma è così: gli sviuppatori hanno infatti deciso di anonimizzare i dati catturati durante la navigazione, dunque puoi dormire sonni tranquilli.
In generale, qualsiasi sistema di monitoraggio va adeguato alla GDPR.
Facebook login, Facebook pixel e app di Facebook
Tutto ciò che riguarda Facebook o quasi raccoglie dati personali dell’utente, e anche se è una piattaforma esterna a farlo, sei tu ad accedervi e utilizzarli per i tuoi scopi, quindi ne sei responsabile. Tuttavia, per il login e per qualsiasi app di Facebook, è la piattaforma stessa a restituire all’utente una schermata di richiesta di consenso al trattamento dei dati, quindi non dovrai fare altro, se non segnalare la semplice presenza di questi servizi sul tuo sito nella tua privacy policy. Diversamente, invece, dal Facebook pixel, usato per la pubblicità: in quel caso l’utente deve saperlo e deve prestare il suo consenso.
AdSense, Amazon Affiliate e altri network di annunci
Se sul tuo sito compaiono banner pubblicitari, allora le cose si complicano: i dati personali raccolti da queste piattaforme sono tantissimi e per gli scopi più disparati, dal monitoraggio al behavioural retargeting. Quando c’è la pubblicità di mezzo, devi sempre informare l’utente e ottenere il suo esplicito consenso.
E-commerce e pagamenti online
Se hai un sito e-commerce userai i dati dell’utente per la fatturazione, per processare l’ordine, ricevere il pagamento ed effettuare la spedizione. L’utente deve saperlo tramite i termini e condizioni di utilizzo dell’e-commerce, documento diverso dalla privacy policy e la cui accettazione viene richiesta in fase di acquisto, assieme alla privacy policy o successivamente a essa, cosa che tecnicamente dovrebbe già avvenire da tempo immemore.
Dubbi sparsi
La GDPR è una normativa nuovissima e in alcuni punti non ancora del tutto chiara, quindi è molto probabile ci sarà un periodo di tolleranza in cui saranno le stesse autorità a indicare ai siti web come fare per mettersi in regola.
La legge, inoltre, vale per tutti i siti che interagiscono con utenti provenienti dall’UE, quindi dovranno rispettarla anche i siti britannici dopo la Brexit, i siti americani, cinesi e praticamente di tutto il mondo.
Come ho scritto in precedenza, in agenzia ci stiamo occupando di sistemare i siti che ancora non sono in linea con la GDPR, quindi se hai bisogno di una analisi per il tuo sito web e di un aggiornamento puoi contattarmi.
WordPress e GDPR
Meno dati memorizzi sul tuo sito web, meno saranno i problemi di cui ti dovrai preoccupare.
WordPress è un progetto open source nato negli Stati Uniti e come tale non ancora conforme al GDPR. Fortunatamente, di recente, si è fatto avanti un apposito gruppo GDPR per WordPress per cercare di fornire uno standard di conformità per tutti i plugin WordPress.
Date queste premesse, il miglior consiglio che posso darti è quello di raccogliere solo i dati che sono effettivamente necessari alle tue finalità.
- Elimina tutti quei dati che fino a questo momento hai raccolto senza il consenso degli interessati.
- Se hai un archivio di dati raccolti nel tempo, dovrai inviare una comunicazione ai contatti chiedendo di “confermare la loro adesione” e sperare che la maggiorate di loro confermerà l’iscrizione.
- Contatta un bravo Webdesigner e un Programmatore informatico, non esistono plugin o software che fanno queste operazioni in modo automatico.
Al momento tutti gli operatori del settore Web sono in fibrillazione, dal momento che non esistono vademecum chiari e precisi. Soprattuto non ci sono ancora siti web di esempio. Bisognerà attendere settimane o forse mesi affinché arrivino esami validi e certi per poter adeguare i siti web. Nel frattempo si invitano le aziende ad usare il buon senso e a cercare di adeguarsi il più possibile.