Questo articolo è dedicato alle FAQ sulla conformità al GDPR, per aiutare gli utenti a trovare le risposte alle domande frequenti su tutto ciò che riguarda il trattamento dei dati sui siti web, un tema molto delicato ed importante da non sottovalutare assolutamente.

FAQ sulla conformità al GDPR

Il GDPR (General Data Protection Regulation) è il Regolamento Generale sulla Protezione dei Dati dell’Unione Europea che stabilisce norme rigorose e armonizzate per la raccolta, il trattamento e l’uso dei dati personali, dando alle persone un maggiore controllo sui propri dati.

Il GDPR, noto ufficialmente come Regolamento (UE) n. 2016/679, è stato reso reso operativo a partire dal 25 maggio 2018; si applica a qualsiasi organizzazione (anche se ha sede in paesi che non sono membri dell’UE), che tratta i dati di residenti nell’UE, e prevede diritti specifici per le persone (come diritto all’accesso, alla rettifica e alla portabilità dei dati) e obblighi per le aziende, come la necessità di garantire la sicurezza dei dati e di notificare le violazioni.

  • Armonizzare le normative, unificando le leggi sulla protezione dei dati in tutta l’UE per creare un quadro uniforme.
  • Rafforzare i diritti delle persone, dandogli maggiore controllo sui propri dati personali, e garantire la loro privacy.
  • Stabilire obblighi chiari, definendo i requisiti che le organizzazioni devono rispettare per il trattamento dei dati, inclusi gli aspetti di sicurezza e trasparenza.
  • Organizzazioni nell’UE; nello specifico tutte le aziende e le organizzazioni all’interno dello Spazio Economico Europeo (SEE).
  • Organizzazioni extra-UE, comprese le aziende fuori dall’UE che offrono beni o servizi a persone residenti nell’UE o ne monitorano il comportamento.
  •  Diritto di accesso – Ottenere informazioni su come i propri dati vengono trattati.
  • Diritto di rettifica – Correggere dati personali inesatti.
  • Diritto alla portabilità dei dati – Ricevere i propri dati in un formato strutturato e trasferirli ad un altro servizio.
  • Diritto all’oblio – Chiedere la cancellazione dei propri dati personali.
  • Ottenere il consenso – Assicurarsi di avere una base legale valida per trattare i dati, come un consenso informato, specifico e revocabile.
  • Garantire la sicurezza – Adottare misure di sicurezza adeguate per proteggere i dati.
  • Gestire le violazioni dei dati – Notificare le autorità e gli interessati entro 72 ore in caso di violazione dei dati personali.

La conformità al GDPR è l’aderenza alle norme europee che proteggono i dati personali e la privacy dei cittadini dell’UE, indipendentemente dalla sede dell’azienda che tratta tali dati.

Possono essere applicate delle sanzioni finanziarie dell’importo di diversi milioni di euro o il 4% del fatturato globale, oltre a evidenti danni alla reputazione aziendale

I cookies sono dei file di testo, inviati dal browser ogni volta che si naviga su un sito qualsiasi, e che vengono memorizzati sul dispositivo dell’utente (computer, smartphone, tablet).

I cookies possono servire per vari scopi:

  • Memorizzare informazioni su una sessione di navigazione (es. prodotti inseriti nel carrello per un sito di E-Commerce, lingua scelta nelle preferenze dell’utente, login effettuato).
  • Riconoscere l’utente quando torna sul sito.
  • Raccogliere dati sulle abitudini di navigazione, anche a fini statistici o pubblicitari.

Tipi di Cookies

  • Cookie tecnici (necessari) – Servono al funzionamento del sito (es. login, carrello, preferenze), e non richiedono consenso per essere utilizzati.
  • Cookie di preferenza/funzionali – Memorizzano scelte dell’utente (lingua, layout, ecc.).
  • Cookie statistici/analitici – Raccolgono dati in forma aggregata o anonima (es. Google Analytics), e richiedono consenso (se non vengono anonimizzati, come verrà spiegato più avanti).
  • Cookie di profilazione/marketing – Tracciano l’utente per mostrare pubblicità personalizzata, e richiedono sempre il consenso esplicito.

In definitiva i cookies servono per tenere traccia delle scelte effettuate dagli utenti che navigano nei siti web, per comodità o per fare pubblicità.

Occorre effettuare una serie di accorgimenti per gestire i cookies non tecnici, cioè per i quali è previsto il consenso dell’utente al loro utilizzo; essenzialmente si tratta di:

  • Disporre di un banner informativo, detto Cookie Banner, che viene visualizzato al primo accesso dell’utente nel sito.
  • Adottare una Cookie Policy, ovvero un’informativa estesa che riguarda i cookies utilizzati dal sito web e che spiega come vengono utilizzati.
  • Adottare una Privacy Policy, un’altra informativa estesa che riguarda i dati personali degli utenti e che spiega come vengono raccolti, utilizzati e protetti.
  • Assicurarsi che venga applicato il Google Consent Mode.

Il cookie banner consiste in una finestra informativa che contiene:

  • La spiegazione della definizione di cookie, a cosa servono, e quali tipi di cookie (es. tecnici, analitici, di profilazione) vengono installati nel dispositivo usato dall’utente.
  • Due pulsanti in evidenza che permettono all’utente di accettare o rifiutare i cookies.
  • Un sistema che consente agli utenti di scegliere quali categorie di cookie accettare o rifiutare.
  • I link alla Cookie Policy, e alla Privacy Policy.

In questo modo sia l’eventuale consenso che il rifiuto al trattamento dei dati, da parte dell’utente sarà registrato, e non verrà più mostrato il cookie banner ad un successivo accesso al sito.

È buona norma, tuttavia, che il cookie banner sia attivabile dall’utente in qualsiasi momento, anche dopo che ha già espresso la sua scelta.

Sebbene l’operazione sia facile, si consiglia di rivolgersi ad un web developer che ricorrerà ad una CMP (Consent Management Platform, ovvero “Piattaforma per la Gestione del Consenso”): una piattaforma software che facilita la GDPR Compliance.

Esistono diverse CMP che offrono sia piani free sia a pagamento per la conformità al GDPR, i prezzi variano a seconda delle esigenze e di conseguenza delle caratteristiche offerte; quale sia la CMP più conveniente da usare, può essere consigliata dal web developer.

Si tratta di strumento che permette ai servizi di Google (come Analytics o Ads) di adattarsi alle scelte dell’utente sui cookies.

In pratica si possono verificare due scenari diversi:

  • Se l’utente accetta, Google raccoglie i dati completi.
  • Se l’utente rifiuta, Google non usa i cookie ma riesce comunque a stimare alcune informazioni in forma anonima e statistica, grazie a modelli di intelligenza artificiale che colmano i vuoti lasciati dai dati mancanti.

A partire dal marzo 2024, l’implementazione della nuova versione, denominata “Google Consent Mode V2”, è obbligatoria per tutti i siti che utilizzano Google Ads o Google Analytics 4 (GA4) nell’Area Economica Europea (SEE).

Google Consent Mode V2 richiede, inoltre, l’uso di una CMP conforme per raccogliere e gestire le preferenze di consenso degli utenti.

Dipende da come il tuo sito tratta i dati degli utenti. In generale, qualsiasi sito che raccoglie o gestisce dati personali (come nomi, email, o indirizzi IP) deve essere conforme al GDPR, anche in forma minima.

  • Se il sito utilizza servizi di terze parti come Google Analytics, Google Search Console o carica font da siti esterni, allora è necessario adottare misure specifiche di conformità al GDPR (banner cookie, informativa, consenso, ecc.).
    • Se il tracciamento serve anche a fini di marketing e quindi utilizza servizi come Google Ads, è obbligatorio implementare il Google Consent Mode.
  • Se invece il sito non utilizza alcun servizio di terze parti e non raccoglie dati personali (ad esempio un sito puramente informativo senza moduli di contatto, cookie di profilazione o analisi), allora non è necessario adottare il banner cookie o altri strumenti specifici di conformità. Tuttavia, una privacy policy di base resta sempre consigliata.

Non sempre è obbligatoria, ma in alcuni casi è consigliabile o necessaria a seconda di come vengono gestiti i dati raccolti.

Ecco i principali scenari:

  • Modulo di contatto generico (solo invio di messaggi) – Se il modulo serve solo a ricevere richieste e non a iscrivere l’utente a una mailing list o ad altre attività di marketing, non è obbligatorio inserire la dicitura di autorizzazione. È però necessario che nella pagina o sotto il modulo ci sia un link ben visibile alla Privacy Policy, in cui si spiega come verranno usati i dati inviati.
  • Modulo di iscrizione a newsletter o promozioni – In questo caso, l’autorizzazione esplicita è obbligatoria, perché il trattamento dei dati ha finalità di marketing. Deve esserci una checkbox (casella di controllo) non preselezionata che riporti una frase come: “Acconsento al trattamento dei miei dati personali per l’invio di comunicazioni commerciali e promozionali”.
  • Modulo di candidatura o invio Curriculum – È necessario includere la dicitura completa di legge, come: “Autorizzo il trattamento dei miei dati personali ai sensi del Regolamento UE 2016/679 (GDPR) e del D.Lgs. 196/2003”, Anche qui, la checkbox non deve essere preselezionata.
  • E-commerce o modulo d’ordine – L’autorizzazione specifica non serve, perché il trattamento dei dati è necessario per adempiere a un contratto o a obblighi legali. Tuttavia, è obbligatoria una Privacy Policy chiara e consultabile che spieghi come vengono gestiti i dati relativi agli ordini.

In sintesi non serve sempre inserire il campo per l’autorizzazione al trattamento dei dati, ma serve sempre informare correttamente l’utente e raccogliere il consenso solo nei casi in cui è richiesto.

Tags: , , , , , , , ,
Categories: