GDPR: cos’è e come avere un sito aziendale in regola

Cos’è il GDPR?

Il GDPR, acronimo inglese di  “Regolamento generale per la privacy dei dati”, è un regolamento comunitario che si occupa di tutelare la privacy dei cittadini europei. In particolar modo, questo regolamento mira a diminuire l’arbitrarietà nell’acquisizione e nell’utilizzo dei dati personali da parte di terzi. Per “dati personali” si intendono tutte le informazioni personali che consentirebbero di identificare una persona fisica. Per cui, oltre a nome, cognome, data e luogo di nascita, residenza, cittadinanza, professione, etc, vengono inclusi altri dati personali di cui tratteremo nel paragrafo successivo.

Questo regolamento UE ha seminato paura tra le imprese (piccole o grandi che siano), la pubblica amministrazione e i gestori dei siti aziendali. Sì, perché il GDPR, approvato il 25 marzo 2016 dal Parlamento UE, in pieno vigore dal  2018, comporta pericolose sanzioni che l’Unione Europea ha previsto per i trasgressori.

Se vuoi imparare come si realizza e gestisce un sito web, iscriviti alla nostra Certificazione Specialistica in Web Marketing!

RICHIEDI UN COACHING STRATEGICO GRATUITO PER LA TUA AZIENDA

Quali novità ha introdotto il GDPR?

Il GDPR, General Data Protection Regulation, ha modificato le linee guida sul trattamento dei dati personali su internet, stilate per la prima volta nel 1995 quando il web era ancora agli albori della sua diffusione. Ha immesso, dunque, maggiori restrizioni nell’acquisizione e nell’utilizzo di tutti i dati che fanno riferimento a persone fisiche. Questo regolamento europeo è valido per qualsiasi azienda nel mondo che tratta i dati di cittadini dell’Unione Europea, e non è quindi ad esclusivo appannaggio delle imprese interne alla comunità europea.

Nello specifico, il regolamento impone:

• Minimizzazione dell’acquisizione dei dati: questo significa che le aziende non possono appropriarsi di qualsiasi dato personale. Devono limitarsi a registrare solo quelli necessari e indispensabili. In questo modo, non è possibile acquisire dati solo per farne scorta
• Richiesta di autorizzazione al trattamento dei dati: le aziende non possono utilizzare i dati dei propri clienti o potenziali tali in modo arbitrario, bensì lo scopo della raccolta dei dati deve essere preformulato. Nel caso in cui si vogliano utilizzare, per esempio, a scopi pubblicitari o di marketing, il regolamento impone di farne richiesta esplicita al titolare dei dati
• Cancellazione dei dati su richiesta: se viene fatta richiesta di cancellazione dei dati personali da parte del titolare, le aziende non possono opporsi alla richiesta e sono obbligate a rimuovere le informazioni acquisite su quella persona
• Trasparenza sull’utilizzo dei dati: le aziende devono comunicare in modo chiaro come vengono utilizzati i dati registrati usando un linguaggio comprensibile a tutti. Inoltre, se ne viene fatta richiesta, le aziende devono comunicare agli interessati di quali dati sono in possesso 
• Documentazione dell’utilizzo dei dati: l’utilizzo delle informazioni da parte delle imprese deve poter essere tracciabile, quindi facilmente documentabile nel caso in cui l’interessato faccia richiesta di documentazione
• Portabilità dei dati: i dati personali possono essere liberamente spostati dal titolare del trattamento ad un altro, fatta eccezione per i dati registrati pubblicamente, cioè quelli anagrafici
• Riservatezza: il regolamento impone riservatezza, protezione e controllo delle informazioni personali registrate nei database delle aziende. Sebbene il testo non approfondisca questo aspetto e si limiti a quanto detto, si consiglia di porre attenzione al tema della riservatezza (così come a tutti gli altri) per non incorrere in sanzioni.

Tipi di dati

Non solo dati anagrafici, quindi, bensì anche tutte quelle informazioni che possono ricostruire l’identikit di una persona reale, violando così la privacy di quel cittadino. Il GDPR, infatti, prevede che le aziende facciano attenzione a tutti i tipi di dati, da quelli più basilari a quelli molto più riservati. Vediamoli nello specifico:

• Dati personali: questo tipo di dati fa riferimento ai dati anagrafici, ma anche alle informazioni fisiche e fisiologiche
• Dati biometrici: ovvero tutti quei dati che possono tracciare l’identificazione di una sola persona come l’immagine del viso, segni particolari, etc.
• Dati genetici: cioè tutti quei dati ottenuti da analisi biologiche, come DNA o RNA
• Dati sulla salute: tutti le informazioni personali relativi alla salute fisica o mentale, passata presente o futura

Privacy by design e GDPR

La privacy by design è un concetto espresso per la prima volta nel 2010 e adottato fin da quell’anno in Canada e negli Stati Uniti. Il regolamento UE ha introdotto questo criterio per rafforzare la protezione dei dati dei cittadini europei. In particolar modo, la privacy by design afferma che se un’azienda avvia un qualsiasi progetto, il titolare del trattamento dei dati ha l’obbligo di prevenire gli strumenti a protezione dei dati personali. La prevenzione impone, quindi, che ci sia il controllo fin dalla fase di progettazione, piuttosto che la correzione in seguito. Quindi, colui che si occupa di trattare i dati personali deve adottare delle misure preventive e misurate in base ai principi generali del GDPR stesso.

Inoltre, la privacy by design garantisce trasparenza, sicurezza durante tutta la progettazione e, ovviamente, tutela dei dati personali.

Privacy by default e GDPR

Un altro criterio del GDPR è la privacy by default, concetto che mira ad obbligare le imprese ad impostare la privacy di default, cioè di base. Questo significa che le aziende devono trattare i dati personali che sono strettamente necessari e sufficienti, e trattarli solo nei casi in cui ce ne sia davvero bisogno. 

Ancora una volta, quindi, il titolare del trattamento dei dati deve porre la massima cautela nella cura delle informazioni personali. Minimizzarne il trattamento potrebbe essere una delle migliori soluzioni per non venire meno al regolamento. Inoltre, bisogna facilitare l’accesso ai reali titolari dei dati personali in modo tale da poter far godere loro dei diritti sanciti dal GDPR.

SCOPRI IL MASTER IN WEB MARKETING

Il DPO

Con il GDPR è nata una anche una nuova figura professionale: il Data Protection Officer (DPO). Si tratta di un esperto in materie legali che ha il compito di controllare la corretta protezione e utilizzo dei dati da parte delle aziende. Questo professionista, infatti, non gestisce direttamente le informazioni, bensì si affianca a colui che, all’interno dell’azienda, li gestisce e li controlla, in modo tale da garantire la privacy dei cittadini europei e quindi l’osservanza del regolamento.

Il DPO deve essere presente sia nelle imprese private che negli enti pubblici, ma soltanto per le aziende più grandi e in relazione ai tipi di dati trattati.

Sanzioni

Il GDPR ha portato quindi tante novità rispetto all’arbitrarietà che regnava in passato. Nel caso in cui aziende ed enti non dovessero rispettare i principi del regolamento UE, potrebbero venire sanzionate con multe non proprio carezzevoli. In merito a questo tema, il regolamento ha dedicato alcuni paragrafi per elencare le possibili sanzioni in cui si può incorrere:

• multa fino a 10 milioni di euro o fino al 2% del fatturato annuo internazionale
• multa fino a 20 milioni di euro o fino al 4% del fatturato annuo internazionale

La pena viene scelta in base alla gravità della trasgressione. Per i casi meno gravi, però, l’UE può inviare un’ammonizione per iscritto nel caso in cui si tratti di una prima violazione accidentale, oppure può sottoporre l’azienda a controlli periodici sulla corretta gestione e protezione dei dati.

Scarica gratuitamente la nostra mini guida su WordPress

WordPress e la gestione dei dati personali

I gestori dei siti aziendali sviluppati con WordPress non sono esenti da questo regolamento, anzi. Il GDPR stabilisce particolari accorgimenti che i siti che trattano dati personali devono tenere in forte considerazione per evitare le pesanti sanzioni di cui sopra. In particolare, i cookie devono essere modificati, la privacy policy aggiornata e, di conseguenza, i dati personali degli utenti devono poter essere gestiti con facilità dagli stessi.

Cookie

I cookie, solitamente, vengono installati sugli utenti di un sito web al momento del loro atterraggio su una pagina per consentire di “tracciare” alcuni dati di quell’utente. Con il GDPR, questo non è possibile, o comunque non basta la classica informazione di utilizzo dei cookie tramite il banner che appare nella parte alta o bassa della pagina. I siti web che utilizzano i cookie, quindi, hanno due possibilità: eliminarne l’uso o adeguarlo al regolamento. Eliminando i cookie, un sito web rinuncia ad imbattersi nell’adeguare l’uso dei cookie per evitare ammende (ed è comprensibile); ma se non si vuole rinunciare ai cookie, il gestore deve modificare il banner di avviso agli utenti chiedendo esplicitamente il consenso e le finalità dell’utilizzo, e informando l’utente della possibilità di rimuovere i propri dati in qualsiasi momento. 

In sintesi:

• Avviso preventivo: il banner che chiede il consenso all’utilizzo deve essere fornito in anticipo all’utente
• Autorizzo al consenso: l’utente può accettare o rifiutare l’utilizzo dei cookie, ma se rifiuta può comunque continuare a navigare nel sito
• Memorizzazione: il sito web deve registrare l’eventuale consenso del visitatore per averne la prova
• Reversibilità: gli utenti devono avere la possibilità di rimuovere i propri dati facilmente e in qualsiasi momento

Un tool molto utile che aiuta il gestore di un sito a monitorare che tutto sia a norma è Cookiebot (vai al sito). Con questo software è più facile capire se il proprio sito è in regola con il GDPR o se bisogna apportare delle modifiche. Anche se nessun robot o software potrà mai sostituire l’efficacia di un esperto legale in materia.

Privacy Policy

Un altro fondamentale aspetto del GDPR in merito ai siti è l’informativa sulla privacy, chiamata anche privacy policy. Si tratta di un testo scritto in cui l’azienda informa i visitatori del proprio sito circa il trattamento dei dati personali. Ogni sito web aziendale ne possiede già una ma le direttive del regolamento UE impongono determinate caratteristiche. Per questo motivo, si suggerisce la consulenza legale di un esperto in materia di diritto alla privacy per evitare ammende.

La Privacy Policy, infatti, deve essere chiara, concisa, trasparente, facilmente accessibile e scritta con un linguaggio semplice per poter essere compresa da chiunque. WordPress, in un comunicato, suggerisce alcuni passaggi per creare una buona informativa sulla privacy, partendo innanzi tutto dal creare una pagina web esclusivamente dedicata. Inoltre, un tool che può essere utile allo sviluppo della privacy policy è Iubenda (visita il sito), software che facilita in generale la gestione dei dati personali in base al GDPR.

Scopri il potenziale inespresso della tua azienda

RICHIEDI LA DIGITAL GAP ANALYSIS PER LA TUA AZIENDA

Ulteriori accorgimenti

Cookie e privacy policy sono in cima alla lista delle cose da modificare nel proprio sito WordPress per ordine di importanza. Una volta modificate queste, bisogna occuparsi di ulteriori aspetti del sito web che, comunque, non sono secondari:

• Moduli di contatto e lead generation
• Moduli di registrazione degli utenti
• Commenti
• Email Marketing
• Plug-in

Tutti questi singoli fattori devono essere analizzati e controllati per fare in modo che il tuo sito sia a norma con il GDPR. Per farlo, si consiglia la consulenza di un esperto in materie giuridiche o, ancora meglio, in diritto alla privacy. Le caratteristiche di questo regolamento UE sono numerose e delicate, per cui la supervisione di uno specialista sembra essere imprescindibile.

GDPR: dispute e controversie

Come si evince da quanto scritto finora, il GDPR costringe imprese, pubblica amministrazione e siti aziendali ad apportare sostanziali modifiche. Per questo motivo, erano inevitabili controversie e scontri su determinati punti del regolamento, per esempio:

• Una grande fetta degli addetti ai lavori ritiene che il GDPR sia stato pensato principalmente per i dati trattati all’interno dei social network e per i server di servizi cloud
• Altrettanti sostengono che il regolamento non sia equo fra tutela dei dati dei cittadini europei e tutela dei dati dei dipendenti delle aziende
• Il carico amministrativo che questo regolamento comporta non è indifferente, ragione per cui sono state sollevate delle lamentele a riguardo
• Il regolamento sembra essere incompatibile con alcune delle leggi in materia di privacy per alcuni stati membri dell’UE
• Il GDPR obbliga per vie trasversali a modificare le strategie di marketing di un’azienda, il che richiede un carico lavorativo sostanzioso
• Gestire in modo professionale la privacy di clienti e potenziali tali ha un costo rilevante per l’ingaggio di esperti in materia

Conclusioni

Quelle elencate nel paragrafo precedente sono solo alcune delle controversie e dispute che si sono verificate all’approvazione del GDPR. Era inevitabile che si verificassero, vista la grande mole di lavoro che questo regolamento comporta.

Per la gestione dei siti, Digital Coach mette a disposizione dei corsi su WordPress ad hoc per creare siti web aziendali o blog, rispettando il nuovo regolamento UE, oltre che un corso dedicato alla normativa e-commerce.

Forse può interessarti sapere se la professione di Web Content Editor fa per te!

Fai il test

ARTICOLI CORRELATI:

Marco Tranchina

Scrittura e lettura sono le mie passioni primarie, per questo motivo nel marzo 2017, ho conseguito la laurea in Scienze della Comunicazione. Non contento, durante gli studi ho collaborato con un giornale online e ho lavorato come addetto stampa.
Faccio parte del team di content marketing di Digital Coach, motivo per cui scrivo articoli sul digital marketing.
Quando non scrivo, se mi rimane tempo, pratico sport e suono la chitarra.