5 cose da fare per un sito web a norma di legge

5 cose da fare per un sito web a norma di legge

Quando si crea un sito web è necessario seguire diversi passaggi: bisogna scegliere il dominio, il servizio di hosting, se realizzarlo tramite CMS (ad esempio WordPress), bisogna configurarlo e ottimizzarlo per i motori di ricerca.

I dettagli a cui prestare attenzione sono molti. Tuttavia c’è un aspetto che viene spesso ignorato ma che è di fondamentale importanza: l’adeguamento alle leggi sulla privacy.

Un sito web che non è a norma di legge, infatti, potrebbe essere esposto a rischi quali controlli e sanzioni da parte delle Autorità per la protezione dei dati.

In questo articolo verranno indicati i 5 punti più importanti per adeguare il proprio sito web alla normativa vigente sulla privacy.

Identificare la normativa a cui si è soggetti

La prima cosa da fare è identificare la normativa a cui si è soggetti. Si possono seguire due regole generali:

  • adeguarsi alla legge (o leggi) del paese dove si ha sede e/o si opera;
  • adeguarsi alla legge (o leggi) del paese dove risiedono gli utenti a cui ci si

Quindi, ad esempio, se si ha sede in Italia e ci si rivolge a utenti italiani, la legge di riferimento sarà il Regolamento generale sulla protezione dei dati (GDPR), insieme a una serie di regolamenti secondari e altre linee guida, come la Direttiva ePrivacy e le Linee guida cookie e altri strumenti di tracciamento del Garante Privacy.

Un modo semplice per identificare la propria legge di riferimento è attraverso l’utilizzo di un quiz online, come quello di iubenda.

GDPR - 5 cose da fare per un sito web a norma di legge

Creare una privacy policy

Una volta identificata la normativa a cui si è soggetti sarà quasi sicuramente necessario includere sul proprio sito una privacy policy.

Se in generale, gli altri requisiti possono variare da paese a paese, la privacy policy è richiesta da quasi tutte le leggi internazionali sulla privacy.

Si tratta di un documento che contiene tutti i dettagli riguardanti le attività di raccolta e trattamento dei dati effettuate tramite il proprio sito web. È quindi un documento necessario ogni volta che si trattano i dati personali, ad esempio tramite pulsanti social, moduli di contatto o servizi di analisi statistiche.

I contenuti di una privacy policy possono variare in base alla normativa applicabile, ma, in linea generale, gli elementi indispensabili da includere sono:

  • Il proprietario del sito
  • Le categorie di dati che vengono trattate e le modalità di
  • La base giuridica del trattamento, per il GDPR (ad esempio consenso, interesse legittimo, interesse pubblico, ).
  • Le finalità del trattamento dei dati (ad esempio statistiche, marketing, ).
  • Le terze parti che hanno accesso alle informazioni e che possono raccogliere dati tramite widget o integrazioni, come i pulsanti
  • Informazioni dettagliate sul trasferimento di dati all’estero e sulle misure prese affinché questo avvenga in modo sicuro e conforme (se applicabile).
  • I diritti degli utenti secondo la legge
  • La descrizione del processo con cui gli utenti verranno avvisati di modifiche o aggiornamenti alla privacy
  • La data

Se non si hanno particolari conoscenze legali ci si può affidare a un generatore online. In questo modo si potrà ottenere una privacy policy completa in pochi minuti.

Gestire i cookie

È piuttosto raro che un sito web non utilizzi cookie. I cookie servono a migliorare l’esperienza dell’utente che naviga sul sito web, oppure possono essere installati se si fa uso di servizi di terze parti, come i pulsanti di condivisione social, statistiche ed altro.

Nell’Unione Europea, l’uso dei cookie è regolamentato da due normative principali:

  • la Direttiva ePrivacy (o Cookie Law): non si applica solo ai cookie, ma più in generale a tutti gli strumenti di tracciamento, cioè a ogni tipo di tecnologia che memorizza o ha accesso alle informazioni sul dispositivo dell’utente.
  • il GDPR: sebbene il GDPR non menzioni esplicitamente i cookie o gli strumenti di tracciamento, queste tecnologie possono trattare i dati Per questo motivo, molte Autorità per la protezione dei dati europee hanno allineato i loro requisiti con quelli del GDPR, estendendo ai cookie il principio della prova del consenso.

Il Garante Privacy italiano è una delle Autorità europee ad aver esteso questo principio ai cookie. In Italia l’uso dei cookie e di altri strumenti di tracciamento è regolamentato dalle recenti Linee guida del 10 gennaio 2022.

Per questo motivo è consigliabile utilizzare una piattaforma per la gestione del consenso (CMP)  che permetta di gestire tutti gli aspetti dell’uso dei cookie.

In particolare è necessario:

Mostrare un cookie banner

Il cookie banner serve a informare gli utenti che il sito utilizza i cookie e a raccogliere il loro consenso. Deve essere mostrato alla prima visita dell’utente al sito web e, secondo le recenti linee guida del Garante Privacy, deve rispettare dei requisiti ben precisi:

  • Deve contenere i pulsanti “Accetta” e “Rifiuta” (o un comando “X” con funzione di rifiuto).
  • Deve permettere agli utenti di poter fare scelte granulari sulle funzionalità, le terze parti e le categorie di cookie da
  • Deve permettere agli utenti di aggiornare le preferenze di tracciamento in qualsiasi

Inoltre, il cookie banner deve contenere un link alla cookie policy, un documento che contiene maggiori dettagli sull’utilizzo dei cookie.

Includere una cookie policy

La cookie policy è un documento che informa gli utenti che il sito web utilizza i cookie. Può essere una sezione della privacy policy dedicata ai cookie o un documento separato.

La cookie policy deve indicare le tipologie di cookie installate, le terze parti che installano, gestiscono o accedono ai cookie tramite il sito e un link alle rispettive informative. Infine deve descrivere le finalità di utilizzo dei cookie.

Memorizzare e archiviare le preferenze degli utenti

Secondo il principio della prova del consenso del GDPR è necessario memorizzare e archiviare le preferenze dei propri utenti per tutte le attività che richiedono il consenso dell’utente come l’installazione dei cookie non tecnici. In particolare il Garante nelle sue ultime linee guida in materia di cookie precisa di predisporre un: “evento informatico inequivoco, documentabile” e “riconoscibile e registrabile da parte del titolare“.

Tenere un registro dei consensi

Come è stato già accennato il principio della prova del consenso non si applica solo ai cookie ma anche a tutte le altre attività che vengono svolte sulla base del consenso degli utenti. Ad esempio non è possibile inviare una newsletter agli utenti senza prima aver ottenuto il loro consenso.

Registrare i consensi è necessario anche perché, in caso di problemi, è responsabilità del titolare del trattamento dimostrare la legittimità della propria attività. Per essere conforme il registro deve includere:

  • chi ha prestato il consenso;
  • quando e come è stato acquisito il consenso del singolo utente;
  • il modulo di raccolta del consenso che l’utente ha accettato;
  • un riferimento ai documenti legali e alle condizioni in essere nel momento in cui il consenso è stato

Esistono soluzioni che permettono di raccogliere automaticamente tutte le informazioni necessarie per dimostrare la validità dei consensi che hai raccolto.

Aggiungere dei termini e condizioni

Infine potrebbe essere necessario aggiungere al proprio sito web un documento chiamato Termini e Condizioni.

A differenza dei requisiti precedenti, termini e condizioni, non sono sempre richiesti per legge ma sono spesso fondamentali per prevenire eventuali problematiche. Infatti un documento di Termini e Condizioni può aiutare a definire, in modo vincolante, le modalità di utilizzo e condivisione dei propri prodotti, servizi o contenuti.

Tuttavia, nel caso in cui si gestisca un e-commerce e si vendano beni o servizi online, diventa obbligatorio mostrare dei termini e condizioni, perché contengono le clausole relative alle condizioni di vendita e di consegna, i metodi di pagamento, politiche di rimborso e reso, ecc.

Dal momento che si tratta di un documento complesso  è bene affidarsi a un esperto in materia legale. In alternativa si può utilizzare un generatore che permetta di personalizzare il documento secondo le proprie specifiche necessità.

 

Questo articolo è scritto in collaborazione con Iubenda.com