Privacy del sito web: tutto quello che devi sapere

di

La privacy del sito web è un tema fondamentale per chi gestisce un sito, in quanto la raccolta e il trattamento dei dati personali, in questo contesto, può avvenire in modo massiccio e, in alcuni casi, senza la consapevolezza dell’utente (che d’ora in poi chiameremo anche interessato).

Comunemente si parla di privacy, ma in realtà è meglio riferirsi alla “protezione dei dati personali”. Infatti:

  • Privacy: riguarda il diritto alla riservatezza, ovvero il diritto a mantenere le proprie informazioni e anche i propri spazi vitali riservati.
  • Protezione dei dati personali: riguarda gli obblighi di tutela dei dati una volta comunicati ad altri soggetti, come ad esempio il titolare di un sito web.

Per semplicità utilizzeremo il termine privacy, ma è importante ricordare che dobbiamo andare molto al di là del “semplice” diritto alla riservatezza delle informazioni.

Ogni proprietario di un sito web deve proteggere i dati degli utenti rispettando normative come il GDPR, il codice Privacy italiano e la Direttiva ePrivacy.

La mancata conformità può comportare pesanti sanzioni e danneggiare la reputazione dell’azienda. Questo articolo esplora i principali elementi per rendere il tuo sito conforme, offrendo suggerimenti pratici e consigli utili per avere un sito a norma di legge.

I principi fondamentali

Il GDPR è la principale normativa che disciplina la protezione dei dati personali in Europa e stabilisce una serie di principi chiave per il trattamento delle informazioni. Tra questi troviamo:

  • Liceità e trasparenza: i dati devono essere raccolti in conformità alla legge e sulla base di modalità comunicate chiaramente all’interessato; in poche parole, se qualcuno ti ha fornito il suo indirizzo e-mail, non puoi farci tutto ciò che vuoi per il solo fatto di aver ricevuto il dato.
  • Minimizzazione dei dati: deve essere raccolta solo la quantità di dati strettamente necessaria per il fine dichiarato; ovvero, non posso raccogliere dati in più perché … non si sa mai.
  • Integrità e riservatezza: i dati devono essere protetti da accessi non autorizzati, perdite o manipolazioni, vale a dire che la sicurezza informatica non è un optional, ma un preciso obbligo di ogni titolare. La sicurezza informatica non è solo un antivirus installato nel computer ma anche e soprattutto la formazione delle risorse umane, e del titolare in primis; riguardo alle tecniche della c.d. ingegneria sociale, utilizzata dagli hacker per colpire i punti deboli, leggi qui per approfondire.
  • Diritti degli interessati: gli utenti devono poter accedere ai loro dati, modificarli o richiederne la cancellazione. Quindi, una volta raccolti i dati, dobbiamo assolvere alle richieste dell’interessato, che non avviene con la notifica di una citazione in giudizio, ma anche con una semplice e-mail di richiesta.

Quali dati vengono raccolti da un sito web?

Un sito web può raccogliere diversi tipi di dati personali, spesso in modi che gli utenti non sempre percepiscono chiaramente:

Dati forniti direttamente dagli utenti

Ad esempio, quando gli utenti compilano un modulo di contatto, si iscrivono a una newsletter o effettuano un acquisto online. Questo tipo di raccolta avviene con la consapevolezza dell’utente, ma spesso con un unico inserimento di dati, si materializzano una moltitudine di finalità di trattamento, tutte accorpate in un’unica spunta di consenso, che determinano che il dato sia acquisito in modo illecito.

Dati raccolti automaticamente

Indirizzi IP, dati di navigazione, informazioni sui dispositivi utilizzati, registrati tramite cookie e strumenti di tracciamento. Sono dati raccolti senza la consapevolezza dell’interessato ed ecco perché devono comparire banner che bloccano questi cookies fino a che non viene prestato un consenso esplicito. Per sapere come impostare un cookie banner a norma, leggi qui.

Profilazione

La profilazione consiste nella raccolta e nell’analisi di dati su individui, al fine di creare un profilo dettagliato delle loro caratteristiche, comportamenti e preferenze. Questo processo viene spesso utilizzato a scopi commerciali, come il marketing personalizzato, ma può anche essere impiegato in altri contesti, quali il credito al consumo, la sanità e la sicurezza.

La profilazione comporta rischi per la protezione dei dati personali, come:

  • possibile costruzione di un’identità digitale errata
  • possibili discriminazioni
  • possibili manipolazioni

Si tratta di informazioni preziose per le attività di marketing mirate ed efficaci ma, allo stesso tempo, è necessario effettuare questo tipo di trattamenti in modo estremamente trasparente e sempre e solo previo consenso informato dell’interessato.

L’informativa privacy: contenuti obbligatori

L’informativa privacy è un documento essenziale che ogni sito web deve fornire agli utenti per spiegare come vengono trattati i loro dati. Si tratta di un documento che deve riflettere esattamente quello che il titolare del sito web farà dei dati raccolti, dall’inizio fino alla cancellazione o anonimizzazione degli stessi.

Non deve, quindi, essere un testo standard ma un vero e proprio documento altamente personalizzato.

Essa deve contenere alcuni elementi obbligatori:

1. Identità del titolare del trattamento: occorre specificare nel dettaglio i dati e i recapiti di chi raccoglie e gestisce i dati.

2. Finalità e base giuridica del trattamento: ovvero le motivazioni per cui i dati vengono raccolti, che devono a loro volta rientrare nelle 6 basi giuridiche tassativamente previste dalla legge.

3. Modalità di raccolta e conservazione dei dati: bisogna indicare come vengono archiviati e per quanto tempo.

4. Diritti degli utenti: va specificato nel dettaglio come gli interessati possono accedere, modificare o cancellare i loro dati.

5. Trasferimenti di dati a terze parti: se i dati vengono condivisi con altri soggetti, vanno indicati almeno come categorie.

6. Contatti del DPO (se presente): vanno indicati i dati di contatto del referente per le questioni legate alla protezione dei dati.

7. Trasferimenti di dati verso paesi terzi: se applicabile, indicare se i dati saranno trasferiti fuori dall’UE e le garanzie adottate.

8. Esistenza di un processo decisionale automatizzato: specificare se i dati saranno utilizzati in processi decisionali automatizzati, inclusa la profilazione.

L’informativa deve essere accessibile, chiara e facilmente reperibile, ad esempio tramite un link nel footer del sito. Per approfondire il tema, guarda qui

Vuoi rimanere aggiornato sui temi legali digitali?

Iscriviti alla Newsletter gratuita. Una e-mail al mese o poco più. Puoi disiscriverti quando vuoi.

ISCRIVITI

Cookie e tracciamento: obblighi e best practice

I cookie sono file che consentono di raccogliere informazioni sulla navigazione degli utenti. Si tratta di vere e proprie “cimici digitali” che si installano nel browser di navigazione dell’utente che atterra su un sito web, e rimangono lì per un certo periodo di tempo.

Si tratta di un sistema di raccolta dati più discreto e sottotraccia, che però rappresenta una delle modalità di raccolta dati di un sito web più insidiosa e delicata.

Ne esistono diverse tipologie:

  • Tecnici: necessari per il corretto funzionamento del sito, non richiedono consenso.
  • Analitici: utilizzati per statistiche e analisi, possono richiedere consenso se non anonimizzati.
  • Di profilazione: usati per pubblicità mirata, necessitano sempre di un consenso esplicito.

Per conformarsi al GDPR, è importante adottare un cookie banner che permetta agli utenti di accettare o rifiutare selettivamente i cookie, oltre a fornire una sezione in cui poter modificare le preferenze in qualsiasi momento. Per un approfondimento sulle linee guida del nostro garante italiano in merito ai cookie e alle altre tecnologie di tracciamento, vai qui

Consenso degli utenti e gestione delle preferenze

Il consenso al trattamento dei dati è una delle possibili basi giuridiche che permettono di trattare lecitamente i dati e deve essere:

  • Esplicito e informato: il consenso deve essere espresso con azioni positive (non con mancate azioni o con silenzio-assenso) e l’utente deve sapere esattamente a cosa sta acconsentendo.
  • Granulare: se le finalità sono più di una, l’interessato deve poter scegliere quali cookie o trattamenti accettare e quali no.
  • Revocabile in qualsiasi momento: l’interessato può, in qualsiasi momento, cambiare idea.

Misure di sicurezza per proteggere i dati raccolti

Proteggere i dati personali è un pilastro fondamentale nella protezione dei dati e per evitare sanzioni.

Le misure di sicurezza devono essere di due tipi:

Misure di sicurezza organizzative: se la gestione del sito è affidata anche a collaboratori o dipendenti, è importante avere delle procedure chiare per gestire correttamente i dati e le richieste degli interessati. Tali procedure sono utili anche se il sito lo gestisci da solo, affinché non sfugga nulla e non ci siano contestazioni. Ad esempio:

  • Avere una procedura di cancellazione o anonimizzazione dei dati dopo un certo periodo di tempo
    • Avere pronte delle possibili risposte per le richieste degli interessati
    • Prevedere dei momenti di verifica e implementazione delle misure
  • Misure di sicurezza tecniche: sono misure squisitamente informatiche come ad esempio:
    • Utilizzo del protocollo HTTPS per criptare la trasmissione dei dati.
    • Controllo degli accessi: limitare l’accesso ai dati solo a personale autorizzato.
    • Backup e disaster recovery: per prevenire perdite di dati.
    • Cifratura e pseudonimizzazione: per garantire una maggiore protezione delle informazioni.

Diritti degli interessati e gestione delle richieste

Gli utenti hanno diritto a:

  • Accedere ai propri dati: non significa che possono venire in azienda e guardarli da sé, ma possono chiedere a qualunque titolare del trattamento se vi sia un corso un trattamento dei propri dati personali.
  • Rettificarli o cancellarli: avere dati esatti aggiornati non è solo un diritto del Titolare, ma anche dell’interessato che può in ogni momento chiedere la modifica o l’integrazione di dati obsoleti.
  • Opporsi a determinati trattamenti: anche se questi trattamenti sono legittimi, l’interessato può fare opposizione (ovvero chiedere che il trattamento sia interrotto).
  • Richiedere la portabilità dei dati: ovvero chiedere che i dati siano trasferiti ad un altro titolare, in forma intelleggibile.
  • Revocare il consenso. Se hanno dato il loro consenso al trattamento, questo può essere revocato in ogni momento.

Il titolare del sito deve avere una procedura chiara per esercitare questi diritti e rispondere entro 30 giorni.

Basta un’e-mail, non serve arrivare in giudizio per esercitare un diritto e, in mancanza di risposta (anche alla richiesta che può apparire più assurda) il pericolo di segnalazione all’Autorità è dietro l’angolo.

Sanzioni per la mancata conformità

Le violazioni del GDPR possono comportare multe fino a 20 milioni di euro o al 4% del fatturato annuo globale. Si tratta di sanzioni che possono arrivare a cifre davvero esorbitanti.

Anche il trattamento dei dati tramite un sito web comporta delle responsabilità che possono portare a sanzioni molto salate.

Per garantire la conformità del tuo sito web:

  • Aggiorna regolarmente l’informativa privacy
  • Implementa un sistema di gestione dei consensi efficace
  • Proteggi i dati con misure di sicurezza adeguate
  • Rispetta i diritti degli utenti

Essere conformi alla normativa privacy non solo evita sanzioni, ma aumenta anche la fiducia degli utenti che approdano sul tuo sito.

Cosa fare adesso?

Ora che hai compreso l’importanza di avere un’informativa Privacy personalizzata ed aggiornata sul tuo sito, è arrivato il momento di fare un check accurato.

Puoi fare un semplice controllo preliminare in autonomia, prendendoti un po’ di tempo per leggere con calma la tua Privacy Policy e chiedendoti se capisci che cosa vuol dire e quali sono i tuoi obblighi specifici rispetto a quello che c’è scritto (che, ricordiamolo, è una dichiarazione pubblica che fai sotto la tua responsabilità). Se ti accorgessi che alcuni passaggi sono completamente ostici od oscuri, sicuramente vale la pena fare qualche ulteriore approfondimento.

Per adeguare la Privacy Policy del tuo sito, lo Studio Del Din può aiutarti in questo modo:

  • Consulenza legale per evidenziare le criticità
  • Revisione o redazione di Privacy Policy del sito conformi alla legge
  • Formazione GDPR individuale o di gruppo
  • Supporto e assistenza in caso di contestazioni con gli interessati o le Autorità
  • Gestione del contenzioso in via stragiudiziale o giudiziale

Contenuto scritto con l’ausilio strumentale di IA

Hai dubbi sulla conformità Privacy del tuo sito web?

Prenota una consulenza per fare il checkup del tuo sito

prenota



Leggi tutto

Altri articoli che ti possono interessare:

I fondamentali per proteggere il tuo business Trans-atlantic Data Privacy Framework: cosa devi sapere? MODELLO O FACSIMILE DI PRIVACY POLICY

Lascia un commento

TERMINI E CONDIZIONI D'USO
POLICY COMMENTI
PRIVACY POLICY
COOKIE POLICY

STUDIO LEGALE AVV. FRIDA DEL DIN - PIAZZA XX SETTEMBRE, 28 - 30033 NOALE (VE)

E-MAIL: FRIDA@LEGALEDIGITALE.COM
TEL: 0415826099
P. IVA 04404090260

CREDITI

Progetto grafico: Daniela De Martino

Fotografie: Silvia Pasquetto

Realizzazione sito web: A Cup of Web