Uniquely digital Blog

Quali sono gli adempimenti privacy-GDPR per i siti web?

Novembre 4, 2020

Un sito web è uno strumento di marketing avanzato, indispensabile oramai, ad ogni attività professionale ed imprenditoriale. Attraverso ogni sito web è dunque possibile sviluppare strategie di marketing digitale che, inevitabilmente, comportano attività di trattamento di dati personali.

Per questo motivo è importante assicurarsi che il proprio sito web sia conforme alla normativa privacy nazionale ed al GDPR.

In questo post vi illustriamo quali sono le basi dell’adeguamento privacy dei siti web.

Chi è tenuto ad adeguare il sito web al GDPR?

La normativa privacy disciplina le modalità con le quali deve avvenire il trattamento dei dati personali degli utenti (cd. “interessati”) da parte dei Titolari del trattamento, ovvero la persona fisica o giuridica che decide di iniziare un trattamento di dati.

Ad esempio, nel caso del sito web il Titolare del Trattamento è quella persona, fisica o giuridica, proprietaria del sito web, gli interessati sono gli utenti che navigano il sito web ed i Responsabili del Trattamento dei dati sono tutti quei soggetti a cui il Titolare delega parte delle attività relative al sito. Esempi di Responsabili sono gli sviluppatori di siti web, il fornitore del servizio di hosting, chat bot, eventuali piattaforme per l’invio di email marketing ecc.

Quali sono gli adempimenti privacy-GDPR principali che deve realizzare chi decide di fare un sito web?

Per prima cosa il Titolare dovrà tenere conto degli obblighi di protezione dei dati personali già in fase di progettazione del sito stesso, secondo gli obblighi privacy by design e privacy by default contenuti nel GDPR. Nella pratica ciò si traduce, ad esempio, nel cercare di minimizzare i dati trattati, ovvero richiedendo agli utenti, ad esempio all’interno dei moduli, il numero minimo di dati per raggiungere la finalità, oppure evitando di utilizzare cookie di tracciamento e profilazione troppo invasivi.

Altro aspetto da considerare in fasi di progettazione è la scelta dell’hosting. Il Titolare è tenuto ad affidarsi a fornitori di servizi (Responsabili) che presentino elevate garanzie nel trattamento dei dati, quindi sarà utile richiedere le misure di sicurezza garantite dal fornitore, fare una ricerca online per verificare eventuali precedenti violazioni della normativa privacy da parte di questi, su sito del Garante Privacy i provvedimenti sanzionatori sono pubblici, e verificare che il fornitore di servizi sia, preferibilmente localizzato in Europa. Difatti, utilizzare provider di servizi con sedi extra UE comporta il trasferimento dei dati verso quei paesi, trasferimento che è soggetto ad una serie di complesse regole, che analizzeremo nello specifico in un prossimo articolo.

Il Titolare è tenuto a sottoscrivere un accordo sul trattamento dei dati o Nomina a Responsabile Esterno con tutti i fornitori di servizi che trattano dati per suo conto. Ricordiamo che non sottoscrivere questo tipo di accordo/nomina comporta la possibilità di incorrere in sanzioni sia per il Titolare del sito web (il quale senza nomina trasferisce i dati ad un terzo senza una base di legittimità) e sia per il fornitore del servizio (il quale a sua volta tratta i dati in maniera illegittima).

Oltre ai soggetti esterni, se nella sua organizzazione il Titolare ha dipendenti o collaboratori che operano sotto la sua diretta autorità dovrà nominare, per non incorrere anche in questo caso in sanzioni, ciascuno di loro quale persona autorizzata al trattamento dei dati e provvedere alla formazione privacy.

Una volta progettato il sito secondo i principi della protezione dei dati, formalizzati i rapporti privacy con i fornitori esterni e con i dipendenti, il Titolare dovrà redigere la documentazione privacy da mettere sul sito web.

Quali sono gli elementi principali dell’informativa privacy?

L’informativa privacy è, certamente, il documento principe della compliance privacy di un sito web. Attraverso l’informativa il Titolare si rendere noto ed informa gli utenti, in particolare è obbligatorio fornire le seguenti informazioni:

quali dati sono raccolti attraverso il sito web;
con quali modalità sono trattati i dati;
per quali finalità sono raccolti i dati e quali sono le basi giuridiche che legittimano il trattamento stesso;
per quanto tempo sono conservati i dati;
se vi sono trasferimenti di dati verso paesi extra UE e quale base di legittimità è utilizzata (ad es. inserire WhatsApp web comporta un trasferimento di dati personali verso i server Whatsapp in USA);
quali categorie di soggetti possono avere ai dati;
i dati del Titolare e del Data Protection Officer, se nominato.

È molto importante anche inserire le famose caselle per richiedere il consenso per le finalità di trattamento che si basano su tale base giuridica, come ad esempio l’invio di newsletter. Attenzione a non richiedere il consenso se questa non è la corretta base giuridica, potrebbe, difatti, sembrare una sicurezza maggiore richiedere sempre il consenso, ma in realtà quando il trattamento trova legittimità in un’altra base giuridica, la richiesta del consenso può comportare una sanzione da parte dell’Autorità.

Le richieste di consenso devono essere tante quanti i trattamenti che lo richiedono e sarà necessario conservare il log, la prova, del consenso manifestato dall’utente.

Quali altri documenti privacy-GDPR devono essere pubblicati sul sito web?

Altro documento da pubblicare sul sito web è la Cookie Policy, ovvero quel documento con il quale l’utente viene informato dei cookie presenti sul sito web, delle finalità, delle basi giuridiche, dei tempi di conservazione. Attenzione a non sottovalutare l’utilizzo dei cookie, sono già state sanzionate diverse aziende per non aver fornito una adeguata cookie policy e per aver utilizzato il cd. Cookie wall, ovvero un banner cookie con il quale si chiede un consenso unico per tutti i diversi cookie installati.

Difatti, il cookie banner è uno strumento imprescindibile per qualsiasi sito web che utilizzi cookie. Il cookie banner deve rispettare specifiche disposizioni del GDPR e della Cookie Law (la Direttiva e-Privacy), ad esempio deve essere comprensibile da subito all’utente la presenza di cookie, delle loro diverse tipologie, deve essere data la possibilità all’utente di scegliere in autonomia quali cookie permettere e quali no e deve essere fornita, appunto, una dettagliata cookie policy e devono essere stabilite modalità per registrare il consenso dato dall’utente.

A chi rivolgersi per adeguare un sito web alla normativa privacy-GDPR?

Come è facile evincere da questo breve excursus, gli adempimenti privacy per chi decide di realizzare un sito web sono numerosi, a questi poi si aggiungono quelli più generali legati alla attività stessa del Titolare (a titolo esemplificativo il Registro delle attività di trattamento dei dati personali, procedure per la gestione delle richieste di esercizio dei diritti privacy da parte degli interessati..), e richiedono una specifica conoscenza della normativa privacy.

Il team di Uniquely Digital è specializzato nel fornire consulenza specialistica nell’adeguamento privacy dei siti web, dalla redazione della documentazione all’implementazione del cookie banner in linea con il GDPR.

Contattateci ora per una prima consulenza gratuita sull’adeguamento privacy del vostro sito web!

Cookie	Durata	Descrizione
cookielawinfo-checbox-analytics	11 mesi	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checbox-functional	11 mesi	Il cookie è impostato dal consenso cookie GDPR per registrare il consenso dell'utente per i cookie nella categoria "Funzionali".
cookielawinfo-checbox-others	11 mesi	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 anno	Il cookie è impostato dal consenso cookie GDPR per registrare il consenso dell'utente per i cookie nella categoria "Pubblicitari".
cookielawinfo-checkbox-necessary	11 mesi	Questo cookie è impostato dal plug-in GDPR Cookie Consent. I cookie vengono utilizzati per memorizzare il consenso dell'utente per i cookie nella categoria "Necessari".
cookielawinfo-checkbox-performance	11 mesi	Questo cookie è impostato dal plug-in GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie nella categoria "Prestazioni".
elementor	Senza scadenza	Questo cookie è utilizzato dal tema WordPress del sito web. Consente al proprietario del sito Web di implementare o modificare il contenuto del sito Web in tempo reale.
MATOMO_SESSID	Sessione	Questo cookie è impostato da Matomo analytics. Viene generato quando viene utilizzata la funzione di opt-out di Matomo. Questo è un cookie temporaneo, è anche chiamato nonce e aiuta a prevenire problemi di sicurezza CSRF.
viewed_cookie_policy	11 mesi	Il cookie è impostato dal plug-in GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.

Cookie	Durata	Descrizione
AnalyticsSyncHistory	1 mese	Questo cookie è impostato da linkedin e viene utilizzato per memorizzare informazioni sull'ora in cui è avvenuta una sincronizzazione con il cookie lms_analytics per gli utenti nei Paesi designati
bcookie	2 anni	Questo cookie è impostato da linkedIn ed è un cookie identificatore del browser per identificare in modo univoco i dispositivi che accedono a LinkedIn per rilevare abusi sulla piattaforma
bscookie	2 anni	Questo cookie è impostato da Linkedin e viene utilizzato per ricordare che un utente che ha effettuato l'accesso è verificato da un'autenticazione a due fattori.
fr	3 mesi	Il cookie è impostato da Facebook per mostrare annunci pubblicitari pertinenti agli utenti e misurare e migliorare gli annunci. Il cookie tiene traccia anche del comportamento dell'utente sul Web su siti che dispongono di pixel di Facebook o plug-in social di Facebook.
IDE	1 anno 24 giorni	Utilizzato da Google DoubleClick e memorizza informazioni su come l'utente utilizza il sito Web e qualsiasi altro annuncio pubblicitario prima di visitare il sito Web. Questo viene utilizzato per presentare agli utenti annunci pertinenti per loro in base al profilo utente.
lang	Sessione	Questo cookie è impostato da linkedin e viene utilizzato per ricordare l'impostazione della lingua di un utente per garantire che LinkedIn.com venga visualizzato nella lingua selezionata dall'utente nelle sue impostazioni.
li_gc	2 anni	Questo cookie è impostato da linkedin e viene utilizzato per memorizzare il consenso degli ospiti all'uso dei cookie per trattamenti non essenziali
lidc	1 giorno	Questo cookie è impostato da LinkedIn e utilizzato per il routing.
test_cookie	15 minuti	Questo cookie è impostato da doubleclick.net. Lo scopo del cookie è determinare se il browser dell'utente supporta i cookie.
UserMatchHistory	1 mese	Questo cookie è impostato da linkedin e viene utilizzato per tracciare i visitatori su più siti Web, al fine di presentare annunci pubblicitari pertinenti in base alle preferenze del visitatore.

Cookie	Durata	Descrizione
_gcl_au	3 mesi	Questo cookie viene utilizzato da Google Analytics per comprendere l'interazione dell'utente con il sito web.
_pk_id.2.5eeb	1 anno 27 giorni	Questo cookie è generato da Matomo analytics e viene utilizzato per memorizzare alcuni dettagli sull'utente come l'ID univoco del visitatore
_pk_ses.2.5eeb	30 minuti	Questo cookie è generato da Matomo analytics ed è un cookie di breve durata utilizzato per memorizzare temporaneamente dati relativi alla visita

Cookie	Durata	Descrizione
bcookie	2 anni	Questo cookie è impostato da linkedIn ed è un cookie identificatore del browser per identificare in modo univoco i dispositivi che accedono a LinkedIn per rilevare abusi sulla piattaforma
lang	Sessione	Questo cookie è impostato da linkedin e viene utilizzato per ricordare l'impostazione della lingua di un utente per garantire che LinkedIn.com venga visualizzato nella lingua selezionata dall'utente nelle sue impostazioni.
lidc	1 giorno	Questo cookie è impostato da LinkedIn e utilizzato per il routing.

Quali sono gli adempimenti privacy-GDPR per i siti web?

Chi è tenuto ad adeguare il sito web al GDPR?

Quali sono gli adempimenti privacy-GDPR principali che deve realizzare chi decide di fare un sito web?

Quali sono gli elementi principali dell’informativa privacy?

Quali altri documenti privacy-GDPR devono essere pubblicati sul sito web?

A chi rivolgersi per adeguare un sito web alla normativa privacy-GDPR?

Contattaci

I nostri orari

Note Legali