GDPR: cosa fare per essere a norma e non incorrere in sanzioni?

Aggiornato il da | 35 commenti | Disclaimer I nostri contenuti sono supportati dai lettori. Questo significa che se clicchi su uno dei link ai servizi che raccomandiamo e poi effettui un acquisto, è possibile che ci venga accreditata una commissione. È così che finanziamo questo sito web, lo manteniamo attivo e ti forniamo continuamente le informazioni più affidabili.

GDPR cosa fare per essere a norma e non incorrere in sanzioni

Il GDPR (General Data Protection Regulation) è il nome del Regolamento Europeo 2016/679 che riguarda la protezione dei dati personali.

Ha sostituito, in Italia, il precedente Dlgs 196/2003, cioè il “Codice in materia di protezione dei dati personali”.

Indice dei contenuti
Visualizza altro

La principale differenza con la normativa precedente consiste nel fornire informazioni più precise su come i dati personali verranno trattati e sull’esplicito consenso al trattamento di tali dati.

Ma non è tutto: si regolamenta in modo più rigido il trasferimento dei dati al di fuori dell’Unione Europea, si obbliga il titolare a comunicare all’utente eventuali violazioni e si introduce il diritto all’oblio, cioè il diritto all’eliminazione di tutti i propri dati personali.

Ma perché SOS WP dovrebbe interessarsi di GDPR e di questioni legali?

Perché anche se hai un piccolo blog, devi adeguarti alla normativa, altrimenti rischi delle multe che possono essere molto salate. Il GDPR riguarda ormai praticamente tutti, perciò inizia a informarti sull’argomento guardando questa intervista con l’Avvocato Alberto Leoncini e leggendo questa guida.

Se vuoi una maggiore tranquillità e assicurarti che il tuo sito rispetti le regole, scopri il nostro servizio di adeguamento GDPR e messa a norma, molto apprezzato dai nostri clienti (vedi recensioni Trustpilot qui).

Prima di iniziare, chiariamo il significato di alcuni termini che dobbiamo conoscere per addentrarci nell’argomento.

Domande frequenti riguardo il GDPR per possessori di siti web

Quali sono i dati personali regolamentati dal GDPR?

I dati personali sono tutte le informazioni che permettono di risalire all’identità di una persona.
Si tratta quindi di nomi, indirizzi email, indirizzi IP ma anche dati biometrici, informazioni crittografate, pseudonimi…

Chi è il titolare del trattamento?

Il titolare del trattamento è la persona che determina in che modo vengono utilizzati i dati raccolti e quali sono le finalità.

Chi è il responsabile del trattamento?

Il responsabile del trattamento è la persona che si occupa di trattare i dati per raggiungere le finalità espresse dal titolare.

Esempio:

Se usi un servizio di newsletter come Mailchimp, i dati personali che vengono raccolti sono il nome e l’indirizzo email degli utenti.

Tu sei il titolare del trattamento, e raccogli questi dati con lo scopo di inviare offerte promozionali agli utenti.

Il responsabile del trattamento è Mailchimp, che raccoglie fisicamente i dati nei propri server.

Il fatto che tu invii la newsletter per vendere prodotti o semplicemente per inviare gratuitamente gli aggiornamenti del tuo blog non fa differenza, in entrambi i casi sei tenuto a rispettare il GDPR.

Cosa fare per essere a norma con il GDPR

Cosa fare per essere a norma con il GDPR

Prima di tutto ti consigliamo di richiedere una consulenza legale e di consultare un esperto per assicurarti al più presto che il tuo sito web rispetti il GDPR.

Se vuoi informarti personalmente sull’argomento, consulta solo le fonti ufficiali, come la pagina informativa del Garante della Privacy.

In questo articolo ti forniamo solo delle indicazioni per avere un’idea di come adeguare il tuo sito al GDPR, ma ti suggeriamo comunque di rivolgerti agli esperti per applicare correttamente tutte le norme.

Vediamo cosa bisogna fare per rispettare il GDPR.

Per adeguare al GDPR il tuo sito web, dovrai per prima cosa raccogliere il consenso esplicito dell’utente per le finalità da te dichiarate.

Questo significa che tu spieghi perché hai bisogno dei suoi dati, e l’utente accetta esplicitamente che tu li usi per questi scopi.

Non sono ammesse check box preselezionate! L’utente deve attivare lui stesso la casella per prestare il consenso.

Ecco un esempio di modulo di contatti non a norma. Anche se è presente la casella di accettazione, questa è attiva al momento in cui si apre la pagina, e quindi non rispetta il GDPR.

Modulo contatti con casella attivata

Dovrai anche informare l’utente su tutti i dettagli del modo in cui verranno trattati i suoi dati, e per questo bisogna scrivere un’informativa sulla privacy.

L’informativa deve essere molto chiara, perciò non utilizzare né termini ambigui, né un linguaggio troppo complicato.

Includi al suo interno:

  • che tipo di dati sono raccolti,
  • quali dati vengono archiviati,
  • chi sono il titolare e il responsabile del trattamento,
  • per quanto tempo i dati saranno conservati.

Inoltre, la revoca del consenso deve essere semplice come la sua accettazione, per esempio attraverso il click su un semplice link come “Disiscriviti” o “Cancella tutti i miei dati”.

Una volta raccolti i consensi, dovrai archiviarli in un apposito registro dei dati personali, dove raccoglierai le informazioni su:

  • chi ha fornito il consenso,
  • quando è stato fornito,
  • quali sono le condizioni che l’utente ha esplicitamente accettato,
  • chi ha accesso ai dati,
  • l’eventuale trasferimento dei dati in un Paese non UE,
  • in che modo vengono cancellati i dati,
  • quali misure di sicurezza sono adottate per la protezione dei dati.

Il registro può essere in formato cartaceo oppure elettronico, ma la forma elettronica è sicuramente più comoda per poterlo aggiornare con facilità.

GDPR e Cookie

Il GDPR non riguarda solamente i dati che l’utente fornisce compilando un form o iscrivendosi alla newsletter.

Ci sono altre tecnologie in grado di raccogliere dati personali anche senza che l’utente ne sia pienamente consapevole, e stiamo parlando appunto dei cookie.

I cookie possono essere utilizzati, ad esempio, per rintracciare un utente che ha già visitato il tuo sito, e quindi mostrargli una pubblicità diversa da quella vista da un nuovo visitatore.

Possono anche rintracciare tale utente su Facebook, grazie all’uso del suo pixel, e mostrare annunci personalizzati.

Ma sono anche necessari per far funzionare semplicemente Google Analytics, che raccoglie dati come l’indirizzo IP.

Insomma, ormai praticamente tutti i siti web per funzionare correttamente hanno bisogno di cookie, e dunque il GDPR deve essere rispettato anche con questa tecnologia.

Ecco perché tutti i siti web europei sono obbligati a mostrare un banner con i pulsanti Accetta e Rifiuta, non appena si carica la pagina.

Questo che vedi qui sotto è un banner correttamente configurato secondo il GDPR:

Banner dei cookie a norma GDPR

Se un utente rifiuta l’accettazione dei cookies, il sito web deve comunque permettere la navigazione.

Inoltre, gli utenti devono essere in grado di poter ritirare il consenso in qualsiasi momento e il proprietario del sito deve mantenere un registro che provi lo stato del consenso per ogni utente.

Leggi maggiori informazioni sulla normativa cookie in questa guida.

GDPR: cosa fare per garantire il diritto all’oblio

Il GDPR introduce un nuovo diritto che prima del 2016 non era ancora stato regolamentato. Con il diritto all’oblio si potrà ottenere la cancellazione dei propri dati personali anche online.

Se un utente effettua questa richiesta, i responsabili dei dati sono tenuti a chiedere la cancellazione a chiunque li stia trattando, anche se si tratta di terze parti.

Questo diritto può essere limitato solo in casi molto particolari, per esempio per garantire il diritto alla difesa nelle questioni giudiziarie.

GDPR: cosa fare in caso di violazione dei dati personali (data breach)

Cosa fare in caso di violazione dei dati personali

Il responsabile per i dati personali è tenuto a comunicare una violazione dei dati entro 72 ore dal momento in cui ne viene a conoscenza.

Questo significa che se il tuo sito è stato vittima di un attacco informatico che è risultato in una violazione dei dati degli utenti, dovrai comunicarlo alle autorità competenti.

Se dovesse costituire un rischio elevato per i diritti e le libertà (esempio: perdita dati di accesso, dati di pagamento etc.) vanno informati anche gli utenti interessati.

Maggiori informazioni consultando gli articoli 32-34 del RGDP.

A questo riguardo, è molto importante che l’hosting comunichi tempestivamente al cliente il verficarsi di una violazione.

Se si verifica una violazione nei suoi server, l’hosting è obbligato a comunicarlo ai clienti entro 72 ore.

Dal momento in cui viene inviata questa comunicazione, il responsabile di un sito avrà altre 72 ore di tempo per comunicarlo ai propri clienti e alle autorità.

Non ti sei adeguato al GDPR? Sanzioni molto salate

Nel caso in cui le varie attività non si adeguano alla nuova normativa, si rischiano sanzioni molto salate: fino a 20 milioni di euro o al 4% del fatturato globale annuale.

Se vuoi avere maggiori informazioni e chiarimenti sulle sanzioni basta leggere l’articolo 83 EU RGPD “Condizioni generali per infliggere sanzioni amministrative pecuniarie

Ecco, quindi, che è fondamentale avere la certezza che il proprio sito rispetti le norme.

Chiedi l’aiuto dei nostri esperti per mettere a norma il tuo sito ed evitare sanzioni!

Cosa fare per controllare se il tuo sito rispetta il GDPR

Cosa fare per controllare se il tuo sito rispetta il GDPR

Questo è un argomento molto delicato e i controlli da fare possono variare a seconda dei siti e del tipo di utenti.

Ripetiamo di nuovo l’invito a consultare un esperto in materia legale e di protezione dei dati, soprattutto se gestisci un sito che ha una mole consistente di traffico.

Un’ottima fonte di informazione è rappresentata dalla Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali rilasciata dal Garante della Privacy.

Un modo per approcciare questi controlli è quello di creare un documento, una lista che definisce il tipo di utenti che visitano il tuo sito e che tipo di dati raccogli direttamente o indirettamente (terze parti, Google Analytics, plugin etc.) da questi gruppi.

Una volta che hai i gruppi di utenti ben delineati passa a controlli organizzati in maniera gerarchica:

  1. Servizio di Hosting e gestori:
    Controlla con il tuo servizio di hosting e con i tuoi amministratori come gestiscono i dati.
  2. Backup:
    Dove e come sono salvati i backup del tuo sito?
  3. Plugin:
    Questo passaggio può richiedere un po’ di tempo. Dovrai capire quali dati raccolgono i plugin da te utilizzati.
    I servizi che raccolgono o che possono raccogliere dati sono davvero tanti, per esempio: moduli di contatto, profili utenti, e-commerce, e-mail marketing, servizi di link, filtri spam, sicurezza, strumenti per backup automatizzati, statistiche varie e monitoraggio login etc.
  4. Servizi esterni all’Unione Europea:
    Se usi servizi esterni all’Unione Europea, dovrai controllare che rispettino il GDPR.
  5. Durata conservazione dati:
    Per quanto tempo conservi i dati degli utenti? La durata è giustificabile?
  6. Sicurezza:
    Offri protezione sufficiente per i dati dei tuoi utenti? Che tipo di utenti visitano il tuo sito?
  7. Marketing:
    Usi strumenti automatizzati per il marketing? Fai A/B testing?

Dopo aver fatto questi controlli, dovrai chiederti se puoi facilmente giustificare le ragioni per cui raccogli e gestisci i vari dati in ciascuno degli step.

Le linee guida europee sul GDPR potranno esserti molto utili.

Dovrai avere il consenso degli utenti per trattare i dati, dovrai registrarlo e deve essere ottenuto per ogni elemento (eventi, newsletter etc.).

Come accennato prima, dovrai anche permettere agli utenti di ritirare il consenso.

Se identifichi dati personali a cui non dovresti avere accesso, rimuovili.

Disabilita i plugin e i servizi che non rispettano il regolamento; cerca alternative se possibile.

Crea della documentazione e procedure da adoperare per l’archiviazione dei dati e per quando gli utenti ti chiederanno di modificare o cancellare i propri dati.

Informa i tuoi utenti in maniera chiara su come tratti i loro dati personali e ottieni il loro consenso.

Troppe informazioni? Ecco una sintesi

Riassumendo, il regolamento GDPR dice che se un sito raccoglie, memorizza o usa qualsiasi dato di un cittadino EU dovrai rispettare i seguenti punti:

  • Informa gli utenti: chi sei, come raccogli i dati, per quanto tempo e dove finiscono i dati.
  • Ottieni consenso: ricevi il consenso degli utenti al trattamento dei dati.
  • Permetti l’accesso ai dati: gli utenti devono poter accedere ai propri dati, controllarli e se vogliono cancellarli (diritto all’oblio).
  • Violazione dei dati: informa gli utenti se avvengono violazioni ai loro dati (data breach).

Per chiarirti ancor meglio le idee il Garante della Privacy ha anche rilasciato una guida sintetica che spiega come applicare il GDPR, ti sarà di grande aiuto.

Ti consigliamo anche di guardare questa infografica creata dalla Commissione Europea, se avevi ancora dei dubbi sul da farsi, li spazzerà via.

Conclusione

Adegua subito il tuo sito al GDPR

In questa guida abbiamo parlato della nuova legge sulla privacy: il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati” o come è chiamato in inglese GDPR (General Data Protection Regulation).

Ti abbiamo anche evidenziato i cambiamenti principali, fornito tanto materiale per ulteriore analisi e fornito un punto di partenza per assicurarti che il tuo sito rispetti questa nuova normativa.

L’intervista con l’avvocato Leoncini ci ha permesso di soffermarci sui punti più importanti e chiarire ulteriori dubbi.

Se rifletti un attimo su quanto della tua vita personale ormai finisce sul web, consapevolmente e non, ti renderai conto che simili normative sono inevitabili.

  • Quanti casi di attacchi informatici sono stati comunicati con troppo ritardo, causando danni enormi a ignari cittadini?
  • Quante volte i dati personali sono stati usati in maniera illegale per clonare identità, fare truffe o marketing invasivo?

Basta ricercare questi argomenti su Google per farsi velocemente un’idea.

Tu cosa ne pensi, sei favorevole a questo regolamento?

Quali sono le tue più grandi preoccupazioni al riguardo?

Faccelo sapere nei commenti. Alla prossima guida!

Guide correlate che ti potrebbero interessare:

Domande? Lascia un commento!

  1. Immagine avatar per Giuseppe
    Giuseppe

    Ciao Andrea,
    in base alle ultime disposizioni del Garante Privacy dello scorso 10 luglio, il titolare di un sito web deve, tra l’altro, memorizzare il consenso espresso dall’utente.
    Non mi sono chiare alune cose:
    1) Occorre memorizzare anche il consenso di accettazione dei cookie espresso attraverso il banner, oppure solo quelli accettati in occasione della compilazione del modulo?
    2) Lo strumento offerto da WordPress circa l’esportazione dei dati utenti registrati ad un sito, può essere utilizzato come registro?
    3) Se si consente agli utenti di commentare un blog senza registrazione (come in questo caso), occorre memorizzare il consenso? In che modo si può fare? WordPress memorizza la data del consenso visibile sul backend, è sufficiente?
    4) Un utente registrato ha diritto alla cancellazione dei propri dati. Deve avere possiiblità di cancellare i suoi dati in maniera autonoma, oppure è sufficiente che avvenga a seguito sua richiesta?
    Grazie
    Ciao

    1. Immagine avatar per SOS WP Team
      SOS WP Team

      Ciao Giuseppe, rispondiamo per quanto ci compete alle tue domande. I cookie vengono memorizzati sempre con durata più o meno variabile, in base alla tipologia di servizio (es facebook) o alla scelta del gestore/sviluppatore del sito
      Premesso che solo un legale (e a volte nemmeno) può valutare l’attività nel complesso e metterla a norma, incluso il sito web e la gestione dati:
      1) Si memorizza tutto, sia su registri proprietari sia a livello di cookie. Questi ultimi devono ‘partire’ solo in seguito all’azione volontaria del navigatore
      2) Per alcune attività è sufficiente. Se parliamo di una azienda con responsabile dati diverso dal titolare del sito, il discorso cambia. In quel caso, l’azienda deve adottare le misure necessarie per conservare i dati in spazi virtuali o fisici sicuri e assicurarsi che rimangano tali
      3) Il box commenti di WordPress memorizza l`ip dell’utente, il browser usato e altri dettagli tecnici. Viene memorizzato tutto nel database. Non importa quindi che gli utenti si registrino, occorre specificare nella Privacy Policy che viene adottata questa pratica a scopo tecnico e che l’utente può chiedere in qualsiasi momento la cancellazione dei suoi dati. Anche se si parla solo di cookie tecnici
      4) Indifferente. Se il titolare del sito preferisce gestire questa parte, dovrà indicare nella Privacy Policy il nome del responsabile del trattamento dati e l’indirizzo email DEDICATO a cui rivolgersi per la cancellazione. Per es privacy@pippo.com. Speriamo di esserti stati di aiuto, buon lavoro!

    2. Immagine avatar per Giuseppe
      Giuseppe

      Grazie mille Andrea, tutto molto chiaro.
      Per quanto riguarda il punto 1) esiste qualche plugin che gestisce la memorizzazione del consenso cookie per almeno 6 mesi come richiesto dal Garante?
      Grazie mille

      Ciao

    3. Immagine avatar per SOS WP Team
      SOS WP Team

      Ti segnaliamo Cookie Yes o Iubenda.

    4. Immagine avatar per Giuseppe
      Giuseppe

      Grazie mille.

  2. Immagine avatar per Faby
    Faby

    Ciao Rocco. Io ho sempre utilizzato il plugin Cookie Notice for GDPR, finché non ho scoperto lo switch del TCF alla versione 2. Non si possono più utilizzare dei semplici banners che avvertono i visitatori dell’uso dei cookies? Ora c’è bisogno per forza del consenso preventivo e del pannello per gestire le preferenze pubblicitarie? Vorrei che mi togliessi questo dubbio perché fosse per me avrei continuato ad usare quel plugin, lo adoro.

    1. Immagine avatar per SOS WP Team
      SOS WP Team

      Ciao Faby, rimane obbligatorio permettere l’accettazione o il rifiuto dei cookie. Per essere certo che il sito sia a norma, contatta la nostra Assistenza WordPress da questo link, oppure rivolgiti al servizio di Iubenda.

  3. Immagine avatar per Fabio
    Fabio

    Buonasera, articolo estremamente interessante, da quel che ho capito, anche se un utente ha un blog personale, dove non pubblicizza ne vende nulla, non ha una mailing list, ma solo ad esempio lo spazio per i commenti, deve adeguarsi alla normativa, è corretto?

    Altra cosa, è normale che non trovo articoli su sanzioni date a blog o siti di utenti privati ma solo ad aziende?

    1. Immagine avatar per SOS WP Team
      SOS WP Team

      Ciao Fabio, sì è necessario adeguarsi alla normativa.

  4. Immagine avatar per Lara Ceroni
    Lara Ceroni

    Ciao, molto interessante l’articolo e il video. Una persona che conosco ha da poco realizzato un blog/sito e nel proporlo imbroglia la persona. Mi spiego, ti fa visitare dal proprio PC il suo sito, dal sito puoi creare una specie di database personalizzato per visitare i link autorevoli con partita iva e mi ha proprosto di mettere il mio ma non ho una partita iva e mi ha chiesto di visitare il suo regolamento. Il problema è che non ti dice che vistando il suo sito attivi dei sitemi di monitoraggio su quello che fai e che automaticamente si forma una nuova pagina di Google personalizzata. Nel suo regolamento di GDPR e Cooky non c’è l’ombra da nessuna parte, di sta pagina personalizzata di Google. Stiamo parlando di un sito nato nel periodo da Codiv-19 e molte cose, nel suo regolamento di sito non compaiono, ne anche il GDPR aggiornato. Dice che il suo sito per campare avrà una piccola pubblicità come introito. Quando ho cercato di eliminare la pagina personalizzata di Google la versione è cambiata, non mi faceva levare la pagina perchè non poteva monitorare e così perdeva le cose, ma se dice che è informa anonima il suo controllo, cosa perde?Vuole anche levare al cliente altri motori di ricerca tipo Bing e UBlock origin, per essere solo lui il gestore con la pagina Google persinalizzata,ma lo può fare?. Se mettessi il mio link in appoggio da lui, cosa andrei incontro legalemnte? Ma un comportamento così autoritario lo può fare? Mi potete dire se legamente questo sito danneggia gli utenti? A chi mi devo rivolgere per tutelarmi? Grazie

    1. Immagine avatar per SOS WP Team
      SOS WP Team

      Ciao Lara, non siamo legali e quindi non possiamo rispondere nello specifico. Certamente, anche se avremmo bisogno di conoscere tale sito per capirne il funzionamento e la “strategia”, ci pare un comportamento discutibile dalle parole che dici e anche passabile di segnalazione. Non possiamo però dire di più, non avendo le competenze necessarie e anche una conoscenza diretta del sito in questione.

  5. Immagine avatar per margherita
    margherita

    Ciao gentilissimo Andrea, dovrei aggiornare un sito con GDPR , privacy policy , cooky policy
 etc etc mi dai i tuoi consigli su cosa usare ? Grazie mille in anticipo !! Cose semplici che chi gestisce il sito con me è peggio della sottoscritta nel capirci qualcosa ! Grazie milleeeee

    1. Immagine avatar per SOS WP Team
      SOS WP Team

      Ciao Margherita, in questo caso puoi usare Iubenda. Uno strumento facile e in italiano per mettere il tuo sito a norma. Un saluto!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati*