Il GDPR, General Data Protection Regulation, Regolamento Generale sulla Protezione dei Dati, è il Regolamento Europeo 2016/679 che stabilisce le modalità per la raccolta, utilizzo, protezione e condivisione dei dati personali in rete, attraverso ad esempio un sito web o una app.
Siti web ed app devono pertanto dal 2016, anno di entrata in vigore del GDPR, rispettare gli obblighi imposti dalla legge. Il mancato rispetto delle norme, infatti, comporta il rischio di ingenti sanzioni che possono arrivare in alcuni casi a decine di milioni di euro.
Quali sono i principali requisiti di legge per i proprietari di siti web e app?
Qui di seguito vengono elencati i requisiti obbligatori per legge, in funzione della tipologia di sito/app pubblicato in rete.
Privacy e Cookie Policy
La legge obbliga ogni sito/app che raccoglie dati ad informare gli utenti attraverso una privacy e cookie policy pubblicata su una o più pagine del sito.
La privacy policy deve contenere alcuni elementi fondamentali, tra cui:
La cookie policy che descrive in particolare le diverse tipologie di cookie installati attraverso il sito, le eventuali terze parti cui questi cookie fanno riferimento – incluso un link ai rispettivi documenti e moduli di opt-out – e le finalità del trattamento.
L'utilizzo di documenti generici (spesso copiati/incollati da altri siti o redatti da studi legali) non sono ammessi in quanto l’informativa deve descrivere in dettaglio il trattamento dati effettuato dal proprio sito/app, elencando anche tutte le tecnologie di terza parte utilizzate (es. pulsanti Like di facebook o mappe di Google Maps) e deve essere sempre tenuta aggiornata qualora si aggiungano o si modifichino funzioni all'interno del sito/app stesso.
Inoltre è molto improbabile che un sito web non tratti nessun tipo di dato personale perchè bastano infatti un semplice modulo di contatto o un sistema di analisi del traffico come Google Analytics o la mappa di Google per far scattare l’obbligo di predisporre e mostrare un’informativa.
Cookie Law e Cookie Banner
Oltre a predisporre una cookie policy, per adeguare un sito web alla cookie law è necessario e obbligatorio mostrare anche un cookie banner alla prima visita di ogni utente e acquisire il consenso all’installazione dei cookie. Alcuni tipi di cookie, come quelli rilasciati da strumenti quali i pulsanti di condivisione sui social, vanno infatti rilasciati solo dopo aver ottenuto un valido consenso da parte dell’utente.
Cos’è un cookie?
I cookie servono a memorizzare alcune informazioni sul browser dell’utente durante la sua navigazione sul sito. I cookie sono ormai indispensabili per consentire il corretto funzionamento di un sito. In più, molte tecnologie di terza parte che siamo soliti integrare nei nostri siti, come anche un semplice widget video di YouTube, si avvalgono a loro volta di cookie.
Registro del Consenso ai sensi del GDPR e della LGPD
Ai sensi del GDPR, se l’utente ha la possibilità di immettere direttamente dati personali sul sito/app, ad esempio compilando un form di contatto, di registrazione al servizio o di iscrizione alla newsletter, è necessario e obbligatorio raccogliere un consenso libero, specifico ed informato, nonché registrare una prova inequivocabile del consenso.
Cosa si intende per consenso libero, specifico ed informato?
È necessario raccogliere un consenso per ogni specifica finalità di trattamento – ad esempio, un consenso per inviare newsletter e un altro consenso per inviare materiale promozionale per conto di terzi. I consensi possono essere richiesti predisponendo una o più checkbox non pre-selezionate, non obbligatorie ed accompagnate da dei testi informativi che facciano capire chiaramente all’utente come saranno utilizzati i suoi dati.
Ad esempio un form di richiesta contatti che preveda, oltre alla compilazione dei dati personali (nome, cognome, email, telefono e messaggio) anche una checkbox di spunta per l'iscrizione alla newsletter periodica dell'azienda (che NON deve essere pre-spuntata!), bisognerà prevedere due consensi, uno per i dati personali e uno per l'iscrizione. Questi consensi dati dall'utente devono poter essere modificati liberamente e in qualsiasi momento dall'utente stesso, attraverso un banner accessibile dal sito che ne permetta la personalizzazione.
Come è possibile dimostrare il consenso in modo inequivocabile?
È necessario raccogliere digitalmente una serie di informazioni ogniqualvolta un utente compila un modulo presente sul proprio sito/app. Tali informazioni includono un codice identificativo univoco dell’utente, il contenuto della privacy policy accettata e una copia del modulo presentato all’utente.
Le email di risposta che vengono generate a seguito della compilazione del modulo non sono una prova sufficiente del consenso, in quanto mancano le informazioni necessarie a ricostruire l’idoneità della procedura di raccolta del consenso, come la copia del modulo effettivamente compilato dall’utente.
L'adeguamento alla LGPD è obbligatorio anche se l'organizzazione non ha sede in Brasile?
Analogamente al GDPR, anche per la LGPD brasiliana (che è la versione brasiliana del GDPR) il titolare del trattamento deve dimostrare, attraverso l’archiviazione di una prova, di aver raccolto correttamente il consenso dell’utente.
Si rientra nell’ambito di applicazione della LGPD se si trattano dati di persone che si trovano all’interno del territorio brasiliano, indipendentemente dalla nazionalità (anche se queste si trovavano in Brasile solo al momento della raccolta dei dati, e da allora si sono spostate).
Registro del Consenso ai sensi del CCPA
Il CCPA (California Consumer Privacy Act) impone che agli utenti californiani venga data informazione del come e del perché i loro dati vengono utilizzati, i loro diritti in merito e come possono esercitarli, incluso il diritto di esercitare l’opt-out. Se si ricade nell’ambito di applicazione del CCPA, sarà necessario fornire queste informazioni sia nella privacy policy che in un avviso di raccolta dati mostrato alla prima visita dell’utente come il Cookie Banner (dove necessario).
Per facilitare le richieste di opt-out da parte degli utenti californiani, è necessario inserire un link “Do Not Sell My Personal Information”(DNSMPI) sia all’interno dell’avviso di raccolta dati mostrato alla prima visita dell’utente, che in un altro punto del sito facilmente accessibile dall’utente (una best practice è quella di includere il link nel footer del sito).
L'organizzazione non ha sede in California, è comunque necessario adeguarsi al CCPA?
Il CCPA può applicarsi a qualunque organizzazione che tratta o che potrebbe potenzialmente trattare informazioni personali di utenti californiani, indipendentemente dal fatto che l’organizzazione si trovi o meno in California. Poiché gli indirizzi IP sono considerati informazioni personali, è probabile che qualsiasi sito web che riceva almeno 50 mila visite uniche all’anno dalla California rientri nell’ambito di applicazione del CCPA.
Termini e Condizioni
In alcuni casi può essere opportuno proteggere la propria attività online (e-commerce) da eventuali responsabilità predisponendo un documento di Termini e Condizioni. I Termini e Condizioni di solito prevedono clausole relative all’uso dei contenuti (copyright), limitazione di responsabilità, condizioni di vendita, permettono di elencare le condizioni obbligatorie previste dalla disciplina sulla tutela del consumatore e molto altro.
Quando è obbligatorio predisporre un documento di Termini e Condizioni?
I Termini e Condizioni possono rendersi utili in qualunque scenario, dall’e-commerce al marketplace, dal SaaS all’app mobile e al blog. Nel caso dell’e-commerce, non solo è consigliabile, ma è spesso obbligatorio predisporre questo documento.
E' possibile copiare e utilizzare un documento di Termini e Condizioni da un altro sito?
Il documento di Termini e Condizioni è essenzialmente un accordo giuridicamente vincolante, e pertanto non solo è importante averne uno, ma è anche necessario assicurarsi che sia conforme ai requisiti di legge, che descriva correttamente i processi aziendali ed il modello di business, e che rimanga aggiornato rispetto alle normative di riferimento. Copiare i Termini e Condizioni da altri siti è molto rischioso in quanto potrebbe rendere il documento nullo o non valido.
Transparency and Consent Framework di IAB
Se un sito pubblica annunci pubblicitari di terza parte e/o utilizza i cookie o altri strumenti di tracciamento per finalità quali behavioral advertising, statistiche, remarketing e personalizzazione dei contenuti, è obbligatorio ottenere il consenso prima di mostrare annunci personalizzati e anche in questo caso sarà necessario adeguare la privacy policy, la cookie policy e il cookie banner per informare gli utenti.
Versioni del sito multilingua
Qualora il sito web sia stato progettato per proporre i propri contenuti in più lingue (è abbastanza comune imbattersi in siti che abbiamo l'italiano come prima lingua e poi l'inglese il francese o altre lingue) è fondamentale che tutti i requisiti di legge (quindi privacy policy, cookie policy, cookie banner, registro dei consensi, ecc...) siano parimenti tradotti nelle suddette lingue.
Qundi se un sito ha 4 lingue, sarà necessario moltiplicare tutto per quattro!
In conclusione come è possibile gestire i requisiti di legge in modo appropriato e aggiornato?
Una soluzione per venire incontro alla complessità che il GDPR impone a qualsiasi proprietario di sito/app, è quella di affidarsi ad una CMP, Consent Management Platform (piattaforma di gestione del consenso) o, meno comune, Consent Management Provider (fornitore di servizi per la gestione del consenso), attraverso la quale è possibile raccogliere, archiviare e utilizzare le preferenze degli utenti per trattare le loro informazioni personali per finalità specifiche (ad esempio, statistiche, pubblicità e strategie di retargeting), fornendo agli utenti più trasparenza riguardo l’accesso e l’archiviazione delle loro informazioni personali (attraverso i cookie e altri strumenti di tracciamento), in conformità con le principali leggi sulla privacy come il GDPR, la direttiva ePrivacy, il CCPA e altro.