GDPR a Proposito del Trattamento dati personali sui Siti Web

Le normative riguardante il trattamento dati personali si applicano in tutti i casi in cui si verifica una raccolta, registrazione, conservazione, consultazione (ma non solo) di dati personali. Il “Regolamento UE 2016/679” ha stabilito inoltre che la normativa va applicata anche a qualsiasi tipo di sito web, a prescindere dalla presenza di una banca dati oppure no.  Infatti è quasi impossibile che un sito web non raccolga o consulti dati relativi agli utenti che lo visitano. Basta infatti aver inserito un semplice modulo di contatto, o aver installato dei cookie, per far scattare la normativa sul trattamento dati personali.  Ma non solo, anche consultare Google Analytics e quindi monitorare indirizzi IP e dati di navigazione significa “trattare” dati personali. 

Di seguito vi indicheremo cosa dice il GDPR per i siti web, e cosa fare per essere in regola con il Trattamento dei dati personali e quindi proteggere i dati degli utenti.

Trattamento dati personali: cosa prevede il GDPR

Secondo il GDPR (General Data Protection Regulation) ogni sito deve avere la propria Informativa, ovvero redigere la propria Privacy Policy. Non esiste un modello-base da utilizzare per tutti i siti, ma ogni sito avrà il proprio. Si tratta di una pagina fondamentale per il sito web, in cui si dovrà spiegare agli utenti in base a cosa il sito raccoglie i dati personali, quali sono e che uso ne farà. La Privacy Policy può essere una pagina soltanto e racchiudere tutto ciò che riguarda il trattamento dati personali, oppure divisa in più parti a seconda del modo in cui raccogliete i dati. 

Le informazioni-base (ovvero obbligatorie) che devono essere presenti nella Policy di un sito web sono:

• Info sul sito (cosa fa, contenuti, ecc.);
• Dati del titolare del trattamento dati;
• Link ai provider che utilizza il sito (es. Google Analytics);
• Link a plugin, tools, software che raccolgono dati;
• Modalità di Trattamento;
• Finalità di Trattamento;
• Modalità di Conservazione;
• Utilizzo per terze parti che processano i dati (Paypal, Mailchimp, ecc.).

Sono questi i punti cardine di ogni Privacy Policy. A cui andranno aggiunte altre voci, che varieranno in base alle operazioni e agli strumenti che il sito utilizzerà per il trattamento di dati personali.

Ad esempio dovrete aggiungere ulteriori voci e specificare le modalità e le finalità di utilizzo dei dati riguardo:

• Newsletter;
• Form di Contatto (Moduli);
• Cookie;
• Banner;
• Google Analytics;
• Campagne Mailchimp;
• Campagne di Advertising.

Il consenso

Il consenso al trattamento dei dati personali va chiesto sempre agli utenti. E’ assolutamente vietato obbligare gli utenti ad accettare le informative o dare il proprio consenso attraverso check box preselezionate.  Eh si, perché all’entrata su un sito dovrà aprirsi automaticamente un pop-up contente link all’Informativa (privacy Policy) e relativa check box con caselle da spuntare.  Per ogni finalità dovrà essere presente la rispettiva casella.  Ad esempio se il sito prevede di far registrare i propri utenti per poi tenerli aggiornati tramite newsletter, o utilizzare i dati per “profilazione degli utenti con finalità di marketing”, dovrete creare una casella per entrambe le finalità. E appunto chiedere il consenso per ognuno di essi (che si ottiene una volta che l’utente ha spuntato una determinata casella).