GDPR è la sigla con la quale viene comunemente chiamato il regolamento europeo in materia di protezione dei dati personali, in vigore dal 25 Maggio 2018.
Mettere a norma il sito con il GDPR
Benché siano passati ormai diversi anni dall’introduzione del GDPR, che si esplicita nel Regolamento UE 2016/679 e attuato poi nel 2018, ad oggi ci sono ancora molti siti che non lo rispettano.
Tralasciando i casi di uso non lecito dei dati personali, che spesso hanno coinvolto i grandi colossi del web e che per questo sono stati sanzionati dall’organismo di controllo dell’Unione Europea, quello che andremo a vedere in questo articolo è il come mettere a norma i siti per il GDPR.
Quindi, non andremo a spulciare nei cavilli del regolamento ma ci limiteremo a spiegare tutti quei passaggi che devono essere compiuti per mettersi in regola.
La nostra Web Agency segue sin dal principio questi passaggi per la realizzazione dei siti, per cui riteniamo che possano essere utili per tutta la community dei webmaster .
Per farlo, non possiamo che partire dai cookie.
[highlight1]Attenzione: i cookie non sono il cuore del GDPR, ma sono un mezzo tecnico attraverso il quale è possibile effettuare delle azioni che possono avere effetto sul trattamento dei dati personali.[/highlight1]
Il Ruolo dei Cookie e il GDPR
Parto dalla definizione di cookie, utile per chi non ne conoscesse il funzionamento.
I Cookie sono un token digitale, utilizzato da applicazioni web lato server, per recuperare e archiviare informazioni provenienti dai browsers dei nostri dispositivi (PC, tablet, smartphone).
In sostanza sono delle piccole applicazioni che servono a memorizzare “qualcosa” durante la navigazione su internet.
Esistono diversi tipi di cookie:
Cookie Tecnici: quelli utilizzati dagli applicativi (esempio il sito web) per funzionare correttamente o per altre funzionalità come ad esempio per farti ritrovare un prodotto che avevi messo nel carrello. Rientrano tra i cookie tecnici anche quelli analitici se anonimizzati (esempio Google Analytics con IP utente anonimizzato).
Cookie di Profilazione: utilizzati per analizzare e memorizzare le tue preferenze, sapere quali siti e pagine navighi e cosa fai durante la navigazione, ma anche per conoscere le tue abitudini di acquisto, gli interessi, la religione, l’orientamento sessuale, ecc.
Cookie di Terze Parti: vengono utilizzati dal nostro sito nel momento in cui vi inglobiamo utilità collegate ad altri domini. Gli esempi classici sono i widget sociali, la mappa di google, i video di YouTube, la live chat di messenger, i banner di Amazon, eccetera. Su questi cookies non si ha alcun controllo e tutto quello che si può fare preventivamente è bloccarli fino al rilascio del consenso da parte dell’utente.
Cosa si deve fare con i Cookie
Per mettersi in regola con il GDPR è necessario bloccare preventivamente i cookie di profilazione e di terze parti fino a quando l’utente non dia il CONSENSO ESPLICITO al loro utilizzo.
L’UE chiarisce molto bene che per consenso esplicito si intende il compimento di un azione consapevole di accettazione dei cookie.
Dunque, su un sito web in regola, i cookie tecnici devono essere per forza abilitati prima del consenso, altrimenti molte parti del sito non funzionerebbero. Inoltre i cookie tecnici, non memorizzano informazioni personali.
Gli altri cookie (profilazione e terze parti) invece devono essere bloccati preventivamente.
Se apro un sito e vedo la mappa di Google prima che abbia dato il consenso ai cookie, quel sito non è in regola. Se apro un sito e vedo i banner pubblicitari di Google ADSense, quel sito non è in regola e non sta rispettando la mia privacy. Stessa cosa se vedo un widget di facebook, instagram o altri social network.
Su un sito in regola non deve apparire nulla di tutto ciò, fino a quando non si fornisce il consenso con un’azione esplicita.
Quindi, a questo punto, è necessario sapere come bloccare i cookie di profilazione e di terze parti e cosa si intende per azione esplicita.
Come Bloccare i Cookie
WordPress fortunatamente è un CMS che può contare su una folta comunità di sviluppatori di plugin, sia gratuiti che a pagamento. È quindi possibile utilizzare uno di questi per bloccare i cookie di profilazione e di terze parti.
Attenzione però: questi plugin non garantiscono il blocco dei cookies di tutte le applicazioni di terze parti esistenti. Per questo motivo la semplice installazione non garantisce il rispetto del GDPR.
L’ideale è fare un’analisi preventiva dei cookie da bloccare sul proprio sito web e poi testare qualche plugin per vedere se è in grado di bloccarli tutti.
Per verificare quali cookie installa il vostro sito può essere utile utilizzare l’estensione nativa di Chrome “Ispeziona” che potete attivare cliccando su un punto qualsiasi della pagina con il tasto destro e selezionarla dal menu a tendina che si apre. Dopodiché portatevi sulla tab “Application” e selezionate “Cookies” nella colonna di sinistra.
La soluzione che abbiamo sposato noi di Dweb è Iubenda. Iubenda è un servizio a pagamento è vero. Ma a soli 19 euro l’anno vi mette al riparo dalla possibilità di ricevere una multa che può arrivare fino al 4% del vostro fatturato.
Iubenda fornisce uno script (oppure potete utilizzare il loro plugin per WordPress) che fa comparire il banner di avviso dell’utilizzo dei cookies (informativa breve) con tanto di pulsante per fornire il consenso esplicito all’utilizzo.
Ma anche Iubenda, nella sua configurazione base, non blocca tutti i cookie (anche se dobbiamo ammettere che sono davvero rari i casi). Fortunatamente, essendo un servizio dotato anche di ottima assistenza, gli si può chiedere come bloccare anche quelli sfuggiti al blocco e loro forniranno le soluzioni da implementare (spesso si tratta di codice da copiare e incollare).
Infine, fornisce privacy policy e cookie policy in regola con gli adempimenti di legge, sempre aggiornate ad ogni variazione del regolamento.
E passiamo a parlare proprio della Privacy Policy.
La Privacy Policy per il GDPR
Dicevamo all’inizio che pur iniziando dai cookie, non sono questi l’oggetto principale del GDPR. Il cuore di tutto è la salvaguardia e il rispetto dei dati personali degli utenti.
Proprio per questo, la Privacy Policy, deve descrivere in maniera precisa le seguenti cose:
- quali dati personali vengono trattati
- quali sono le finalità del trattamento dei dati
- chi è il responsabile del trattamento dei dati
- dove si trovano i dati trattati
- come vengono conservati
- quali terze parti hanno accesso ai dati
- quali diritti hanno gli utenti (obbligatorio che possano conoscere quali dei loro dati si posseggono e il diritto alla cancellazione)
- il processo di notifica agli utenti
- aggiornamenti alla privacy policy
- data validità della privacy policy
La Privacy Policy deve contenere tutte queste informazioni per legge ed è per questo che è assolutamente da irresponsabili improvvisare scopiazzando qua e la le informazioni contenute in altri siti (che magari sono anche sbagliate o non applicabili alla propria situazione).
Una soluzione potrebbe essere quella di rivolgersi al proprio legale per la redazione ma questo presenta l’inconveniente di doverlo consultare ad ogni cambiamento del regolamento o ad ogni variazione effettuata sul proprio sito (es. inserimento di una mappa o di una live chat).
Per questo insistiamo nel consigliare Iubenda, dove un team di legali si preoccupa di effettuare gli aggiornamenti necessari e, nel caso volessimo aggiungere un servizio di terze parti al sito, basterà visitare la propria dashboard e aggiungerlo alla policy con un click.
Ad ogni aggiornamento del regolamento, Iubenda aggiorna immediatamente le policy, le quali si caricheranno sul sito senza nessun intervento da parte nostra.
Il Consenso va richiesto ogni volta che l’utente debba inserire i propri dati sul sito
Archiviato il discorso Privacy Policy, passiamo ad un altro adempimento che si deve rispettare sul sito, che è quello relativo al consenso esplicito al trattamento dei dati personali nei form di contatto e quello dei commenti.
Per questa ragione è necessario introdurre una check box, che non può essere “spuntata” di default, in cui si chiede il consenso al trattamento dei dati inseriti nei form.
Quindi, obbligatorio inserire questa check box alla fine dei form di contatto, chiedendo di dare il consenso al trattamento dei dati conformemente a quanto previsto dal Regolamento UE 2016/679 e alla DLgs 196/03 per le finalità descritte nella Privacy Policy. Bisogna fare in modo anche che la mail non possa partire fino a quando non si sia dato il consenso spuntando la check box.
La ragione è semplice: se l’utente non da il consenso esplicito, non puoi trattare i suoi dati (nome, email, telefono, eccetera).
Per i form dei commenti vale la stessa cosa e infatti WordPress inserisce di default una check box in cui si viene avvisati che i dati saranno memorizzati sul sito. Anche qui a nostro parere, per quel che riguarda i siti destinati all’Europa, bisognerebbe inserire la stessa dicitura del form di contatto, ma ammettiamo che ci sono scuole di pensiero diverse che indicano che quanto inserito di default da WP sia sufficiente.
I Form per l’Iscrizione alla Newsletter
Anche i form per l’iscrizione alle newsletters, non sfuggono al regolamento europeo. Quasi sempre questi form sono generati da servizi di terze parti, come Mailchimp o Active Campaign per citarne alcune.
Fortunatamente sono questi servizi stessi a fornire la soluzione. Ad esempio Mailchimp ti da la possibilità di inserire una funzione chiamata GDPR fields (campi GDPR): i moduli GDPR-friendly includono delle checkbox per il consenso e delle sezioni modificabili che spiegano modalità e finalità di trattamento dei dati personali.
Ovviamente nella Privacy Policy devi indicare il servizio utilizzato per le newsletters e descriverne le finalità.
Qui l’approfondimento per Mailchimp.
Bloccare i cookie di terze parti
Torniamo per un attimo ai cookie per parlare di casistiche particolari come l’inserimento dei banner pubblicitari, siano essi quelli di Google Adsense, che quelli da Amazon e simili.
Se siete arrivati sin qui con la lettura, ci arriverete da soli che non possono essere visualizzati fino a quando l’utente non abbia acconsentito all’utilizzo dei cookie.
Possiamo lasciare la scelta su quali cookie bloccare e quali no all’utente?
Certamente si. In generale questa scelta si può tranquillamente demandare alla pagina della cookie policy dove è possibile dare istruzioni su come disabilitare i cookie delle terze parti.
Esistono però anche dei plugin che permettono di farlo, sono quelli che riportano l’elenco dei 3 cookie principali da spuntare se si acconsente a tutto. Quelli tecnici sono flaggati di default e va bene così. Gli altri devono essere non selezionati e lasciare all’utente la scelta di farlo.
Capiamo bene che una cosa del genere penalizza pesantemente chi ospita banner pubblicitari per guadagnare un tanto a click ma a questo punto, invece di presentarli tutti selezionati (situazione non in regola), sarebbe meglio evitare questa soluzione e indicare come farlo.
In questa maniera si presenta un pulsante per accettare tutto e uno per personalizzare le scelte. Statisticamente questa soluzione fa si che oltre il 90% delle persone non si affanni a spulciare l’elenco dei cookie per scegliere quali attivare, trovando più sbrigativo acconsentire all’uso di tutti i cookies.
GDPR e Affiliazioni
Una delle domande che più viene fatta a proposito del GDPR è se i link di affiliazione non siano in regola. La risposta è che il link di affiliazione non rilascia cookie ma porta su un altro sito per cui serve soltanto indicare su un’eventuale pagina “disclaimer” che il sito contiene link di affiliazione con successivo scarico di responsabilità in caso di virus, fregature e robe varie.
GDPR e Pulsanti Social
Per pulsanti social intendiamo quei pulsantini che collegano ai social network. Ad esempio il pulsante “seguimi su facebook” che porta alla propria pagina facebook. Bene, questi pulsanti non installano alcun cookie e sono da considerarsi semplici link.
Esportazione dei dati e diritto all’oblio
Ogni azienda che tratta dati personali dovrebbe dare la possibilità agli utenti di richiedere informazioni su quali suoi dati personali essa possieda, nonché garantire il diritto all’oblìo, ovvero alla cancellazione dei propri dati definitiva.
WordPress, nella sezione Strumenti, ospita questa funzionalità di default (Esporta e cancella dati personali). Il proprietario del sito dovrà predisporre un form o dare una email, per le richieste. Tutto questo può essere esplicitato nella pagina della privacy policy.
Dimostrare i Consensi Ottenuti
Il regolamento prevede che tu sia in grado di dimostrare il consenso ottenuto dagli utenti. In sostanza devi essere in grado di memorizzare ed esportare i consensi degli utenti in formato elettronico cosi che sia possibile mostrarli alle autorità in caso di richiesta. Questo è lo scoglio più grande da superare per chi si serve di plugin per i cookie gratuiti, perché nessuno di questi possiede tale funzione (almeno per quel che ne sappiamo noi).
Per chi sceglie Iubenda invece c’è la “Consent Solution“, che permette di adempiere in maniera regolare a questa ulteriore incombenza.
Questa soluzione ti permette di memorizzare tutte le preferenze dell’utente, di recuperarle comodamente quando necessario e di conservare una prova del consenso.
Si tratta di un obbligo non solo per le organizzazioni che intendono adeguarsi alla normativa europea e al GDPR, ma anche per le aziende che hanno bisogno di conservare in modo sicuro una prova del consenso prestato alla propria privacy policy.
Si tratta di un ulteriore servizio a pagamento, che comprende anche Privacy Policy e Cookie Policy, al costo di 29 euro al mese, ma forse ne vale la pena per dormire sonni più tranquilli.
Conclusioni
L’adeguamento di un sito web al GDPR non è una cosa da prendere alla leggera. Il rischio è una multa fino al 4% del proprio fatturato. Ora, capiamo bene il piccolo blogger che può avere difficoltà ad adeguarsi, non avendo né le competenze tecniche per farlo, né monetizza in maniera importante dalla sua attività.
Ma sono le aziende quelle che rischiano di più i controlli e forse, spendere qualche decina di euro per la privacy dei propri clienti, oltre ad evitare eventuali sanzioni, le porrebbe su un piano etico decisamente più elevato.
