GDPR e siti web: best practice per un corretto adeguamento

Il GDPR ha inciso in modo essenziale sul trattamento dei dati personali effettuato attraverso i canali informatici e, in modo particolare, attraverso i siti web, per mezzo dei quali gli utenti hanno la possibilità di richiedere informazioni al Titolare del trattamento, iscriversi a newsletter, inviare il proprio CV, fare acquisti, ecc.  Il punto di partenza dell’adeguamento di un sito Web non può prescindere dall’analisi sistematica del sito stesso, proprio perché è necessario verificare se ogni singola operazione che è possibile compiere sul sito sia conforme alla normativa a tutela dei dati personali. Di seguito alcuni elementi fondamentali per un corretto adeguamento.

  • Informativa per gli utenti

L’informativa è l’insieme di tutte le informazioni attinenti ai trattamenti di dati personali che vengono effettuati sul sito relativamente alle azioni che svolge l’utente sul sito medesimo: a fronte di un trattamento di dati è necessario spiegare al soggetto come gli stessi verranno trattati, a seconda delle varie finalità (es. contattare l’utente per rispondere alle sue richieste o a eventuali annunci di lavoro, invio di newsletter con cadenza periodica, ecc.).

  • Quante informative per il sito?

Non è sufficiente una sola informativa generale ma sono necessarie più informative diverse. Ciascun trattamento infatti dovrà prevedere una specifica informativa che potrà poi rimandare a quella generale del sito, perché ogni trattamento ha caratteristiche diverse e l’informativa che deve essere resa all’interessato deve riguardare quello specifico trattamento. 
Es.: l’iscrizione alla newsletter dovrà prevedere una breve informativa ad hoc che, è evidente, sarà diversa da quella del form di contatto o di quella della richiesta di invio di curriculum vitae, proprio perché diversi sono i trattamenti che vengono realizzati con i dati richiesti.

  • È necessario ottenere il consenso dell’utente?

È assolutamente necessario ottenere il consenso dall’utente. Il consenso, infatti, rappresenta una delle basi giuridiche del trattamento dei dati e, a parte il dover essere indicato nell’informativa, deve espressamente essere richiesto per finalità differenti: l’utente deve poter spuntare consensi soprattutto per il trattamento di dati per finalità connesse ad attività di marketing e all’invio di newsletter.
Del consenso rilasciato in questo modo dall’utente il titolare dovrà tenere traccia, ossia dovrà essere in grado di dimostrare che l’utente ha rilasciato il consenso (conservando i file di log), la data e le eventuali revoche dello stesso. Non bisogna infatti dimenticare che i dati, anche se rilasciati volontariamente dall’utente, possono essere utilizzati per un periodo di tempo determinato. Questo comporta che alla scadenza, che dipende direttamente dalla finalità per la quale si trattano i dati, dovrà essere richiesto un nuovo e ulteriore consenso, in difetto del quale il trattamento risulterà a tutti gli effetti un trattamento illecito.

  • Cosa sono i cookie e cosa bisogna fare per essere conformi?

Un’ulteriore informativa da fornire agli utenti del sito è quella relativa all’operatività dei cookie e, cioè, alcuni piccoli elementi che vengono salvati sul browser del dispositivo dell’utente e che possono raccogliere informazioni sulle abitudini dei visitatori circa l'utilizzo del sito, registrare le attività effettuate dei dispositivi di accesso dell’utente che visita il sito, in alcuni casi determinare dei processi di profilazione dell'utente (cookie di terze parti), ecc.
Inoltre, a partire dal 1 ottobre 2019 è obbligatorio che chiunque acceda su un sito sia immediatamente avvisato, tramite apposito banner di apertura, delle tipologie di cookie utilizzati e presenti sul sito: l’utente, quindi, deve poter esprimere il suo consenso o meno relativo alle funzionalità dei cookie, con particolare riferimento ai cookie di profilazione.

Fonte: Agenda digitale 

Il tuo sito è a prova GDPR? Se hai dei dubbi, contattaci!