Le normative riguardante il trattamento dati personali si applicano in tutti i casi in cui si verifica una raccolta, registrazione, conservazione, consultazione (ma non solo) di dati personali. Il “Regolamento UE 2016/679” ha stabilito inoltre che la normativa va applicata anche a qualsiasi tipo di sito web, a prescindere dalla presenza di una banca dati oppure no. Infatti è quasi impossibile che un sito web non raccolga o consulti dati relativi agli utenti che lo visitano. Basta infatti aver inserito un semplice modulo di contatto, o aver installato dei cookie, per far scattare la normativa sul trattamento dati personali. Ma non solo, anche consultare Google Analytics e quindi monitorare indirizzi IP e dati di navigazione significa “trattare” dati personali.
Di seguito vi indicheremo cosa dice il GDPR per i siti web, e cosa fare per essere in regola con il Trattamento dei dati personali e quindi proteggere i dati degli utenti.
Trattamento dati personali: cosa prevede il GDPR
Secondo il GDPR (General Data Protection Regulation) ogni sito deve avere la propria Informativa, ovvero redigere la propria Privacy Policy. Non esiste un modello-base da utilizzare per tutti i siti, ma ogni sito avrà il proprio. Si tratta di una pagina fondamentale per il sito web, in cui si dovrà spiegare agli utenti in base a cosa il sito raccoglie i dati personali, quali sono e che uso ne farà. La Privacy Policy può essere una pagina soltanto e racchiudere tutto ciò che riguarda il trattamento dati personali, oppure divisa in più parti a seconda del modo in cui raccogliete i dati.
Le informazioni-base (ovvero obbligatorie) che devono essere presenti nella Policy di un sito web sono:
- Info sul sito (cosa fa, contenuti, ecc.);
- Dati del titolare del trattamento dati;
- Link ai provider che utilizza il sito (es. Google Analytics);
- Link a plugin, tools, software che raccolgono dati;
- Modalità di Trattamento;
- Finalità di Trattamento;
- Modalità di Conservazione;
- Utilizzo per terze parti che processano i dati (Paypal, Mailchimp, ecc.).
Sono questi i punti cardine di ogni Privacy Policy. A cui andranno aggiunte altre voci, che varieranno in base alle operazioni e agli strumenti che il sito utilizzerà per il trattamento di dati personali.
Ad esempio dovrete aggiungere ulteriori voci e specificare le modalità e le finalità di utilizzo dei dati riguardo:
- Newsletter;
- Form di Contatto (Moduli);
- Cookie;
- Banner;
- Google Analytics;
- Campagne Mailchimp;
- Campagne di Advertising.
Il consenso
Il consenso al trattamento dei dati personali va chiesto sempre agli utenti. E’ assolutamente vietato obbligare gli utenti ad accettare le informative o dare il proprio consenso attraverso check box preselezionate. Eh si, perché all’entrata su un sito dovrà aprirsi automaticamente un pop-up contente link all’Informativa (privacy Policy) e relativa check box con caselle da spuntare. Per ogni finalità dovrà essere presente la rispettiva casella. Ad esempio se il sito prevede di far registrare i propri utenti per poi tenerli aggiornati tramite newsletter, o utilizzare i dati per “profilazione degli utenti con finalità di marketing”, dovrete creare una casella per entrambe le finalità. E appunto chiedere il consenso per ognuno di essi (che si ottiene una volta che l’utente ha spuntato una determinata casella).