Uniquely digital Blog
Adeguamento privacy sito web - Marketing Digitale

Quali sono gli adempimenti privacy-GDPR per i siti web?

Un sito web è uno strumento di marketing avanzato, indispensabile oramai, ad ogni attività professionale ed imprenditoriale.  Attraverso ogni sito web è dunque possibile sviluppare strategie di marketing digitale che, inevitabilmente, comportano attività di trattamento di dati personali.

Per questo motivo è importante assicurarsi che il proprio sito web sia conforme alla normativa privacy nazionale ed al GDPR.

In questo post vi illustriamo quali sono le basi dell’adeguamento privacy dei siti web.


Chi è tenuto ad adeguare il sito web al GDPR?

La normativa privacy disciplina le modalità con le quali deve avvenire il trattamento dei dati personali degli utenti (cd. “interessati”) da parte dei Titolari del trattamento, ovvero la persona fisica o giuridica che decide di iniziare un trattamento di dati.

Ad esempio, nel caso del sito web il Titolare del Trattamento è quella persona, fisica o giuridica, proprietaria del sito web, gli interessati sono gli utenti che navigano il sito web ed i Responsabili del Trattamento dei dati sono tutti quei soggetti a cui il Titolare delega parte delle attività relative al sito. Esempi di Responsabili sono gli sviluppatori di siti web, il fornitore del servizio di hosting, chat bot, eventuali piattaforme per l’invio di email marketing ecc.


Quali sono gli adempimenti privacy-GDPR principali che deve realizzare chi decide di fare un sito web?

Per prima cosa il Titolare dovrà tenere conto degli obblighi di protezione dei dati personali già in fase di progettazione del sito stesso, secondo gli obblighi privacy by design e privacy by default contenuti nel GDPR. Nella pratica ciò si traduce, ad esempio, nel cercare di minimizzare i dati trattati, ovvero richiedendo agli utenti, ad esempio all’interno dei moduli, il numero minimo di dati per raggiungere la finalità, oppure evitando di utilizzare cookie di tracciamento e profilazione troppo invasivi.

Altro aspetto da considerare in fasi di progettazione è la scelta dell’hosting. Il Titolare è tenuto ad affidarsi a fornitori di servizi (Responsabili) che presentino elevate garanzie nel trattamento dei dati, quindi sarà utile richiedere le misure di sicurezza garantite dal fornitore, fare una ricerca online per verificare eventuali precedenti violazioni della normativa privacy da parte di questi, su sito del Garante Privacy i provvedimenti sanzionatori sono pubblici, e verificare che il fornitore di servizi sia, preferibilmente localizzato in Europa. Difatti, utilizzare provider di servizi con sedi extra UE comporta il trasferimento dei dati verso quei paesi, trasferimento che è soggetto ad una serie di complesse regole, che analizzeremo nello specifico in un prossimo articolo.

Il Titolare è tenuto a sottoscrivere un accordo sul trattamento dei dati o Nomina a Responsabile Esterno con tutti i fornitori di servizi che trattano dati per suo conto. Ricordiamo che non sottoscrivere questo tipo di accordo/nomina comporta la possibilità di incorrere in sanzioni sia per il Titolare del sito web (il quale senza nomina trasferisce i dati ad un terzo senza una base di legittimità) e sia per il fornitore del servizio (il quale a sua volta tratta i dati in maniera illegittima).

Oltre ai soggetti esterni, se nella sua organizzazione il Titolare ha dipendenti o collaboratori che operano sotto la sua diretta autorità dovrà nominare, per non incorrere anche in questo caso in sanzioni, ciascuno di loro quale persona autorizzata al trattamento dei dati e provvedere alla formazione privacy.

Una volta progettato il sito secondo i principi della protezione dei dati, formalizzati i rapporti privacy con i fornitori esterni e con i dipendenti, il Titolare dovrà redigere la documentazione privacy da mettere sul sito web.


Quali sono gli elementi principali dell’informativa privacy?

L’informativa privacy è, certamente, il documento principe della compliance privacy di un sito web. Attraverso l’informativa il Titolare si rendere noto ed informa gli utenti, in particolare è obbligatorio fornire le seguenti informazioni:

  1. quali dati sono raccolti attraverso il sito web;
  2. con quali modalità sono trattati i dati;
  3. per quali finalità sono raccolti i dati e quali sono le basi giuridiche che legittimano il trattamento stesso;
  4. per quanto tempo sono conservati i dati;
  5. se vi sono trasferimenti di dati verso paesi extra UE e quale base di legittimità è utilizzata (ad es. inserire WhatsApp web comporta un trasferimento di dati personali verso i server Whatsapp in USA);
  6. quali categorie di soggetti possono avere ai dati;
  7. i dati del Titolare e del Data Protection Officer, se nominato.

È molto importante anche inserire le famose caselle per richiedere il consenso per le finalità di trattamento che si basano su tale base giuridica, come ad esempio l’invio di newsletter. Attenzione a non richiedere il consenso se questa non è la corretta base giuridica, potrebbe, difatti, sembrare una sicurezza maggiore richiedere sempre il consenso, ma in realtà quando il trattamento trova legittimità in un’altra base giuridica, la richiesta del consenso può comportare una sanzione da parte dell’Autorità.

Le richieste di consenso devono essere tante quanti i trattamenti che lo richiedono e sarà necessario conservare il log, la prova, del consenso manifestato dall’utente.


Quali altri documenti privacy-GDPR devono essere pubblicati sul sito web?

Altro documento da pubblicare sul sito web è la Cookie Policy, ovvero quel documento con il quale l’utente viene informato dei cookie presenti sul sito web, delle finalità, delle basi giuridiche, dei tempi di conservazione. Attenzione a non sottovalutare l’utilizzo dei cookie, sono già state sanzionate diverse aziende per non aver fornito una adeguata cookie policy e per aver utilizzato il cd. Cookie wall, ovvero un banner cookie con il quale si chiede un consenso unico per tutti i diversi cookie installati.

Difatti, il cookie banner è uno strumento imprescindibile per qualsiasi sito web che utilizzi cookie. Il cookie banner deve rispettare specifiche disposizioni del GDPR e della Cookie Law (la Direttiva e-Privacy), ad esempio deve essere comprensibile da subito all’utente la presenza di cookie, delle loro diverse tipologie, deve essere data la possibilità all’utente di scegliere in autonomia quali cookie permettere e quali no e deve essere fornita, appunto, una dettagliata cookie policy e devono essere stabilite modalità per registrare il consenso dato dall’utente.


A chi rivolgersi per adeguare un sito web alla normativa privacy-GDPR?

Come è facile evincere da questo breve excursus, gli adempimenti privacy per chi decide di realizzare un sito web sono numerosi, a questi poi si aggiungono quelli più generali legati alla attività stessa del Titolare (a titolo esemplificativo il Registro delle attività di trattamento dei dati personali, procedure per la gestione delle richieste di esercizio dei diritti privacy da parte degli interessati..), e richiedono una specifica conoscenza della normativa privacy.

Il team di Uniquely Digital è specializzato nel fornire consulenza specialistica nell’adeguamento privacy dei siti web, dalla redazione della documentazione all’implementazione del cookie banner in linea con il GDPR.

Contattateci ora per una prima consulenza gratuita sull’adeguamento privacy del vostro sito web!