GDPR: cosa fare per essere a norma e non incorrere in sanzioni?

Aggiornato il da | 35 commenti | Disclaimer I nostri contenuti sono supportati dai lettori. Questo significa che se clicchi su uno dei link ai servizi che raccomandiamo e poi effettui un acquisto, è possibile che ci venga accreditata una commissione. È così che finanziamo questo sito web, lo manteniamo attivo e ti forniamo continuamente le informazioni più affidabili.

GDPR cosa fare per essere a norma e non incorrere in sanzioni

Il GDPR (General Data Protection Regulation) è il nome del Regolamento Europeo 2016/679 che riguarda la protezione dei dati personali.

Ha sostituito, in Italia, il precedente Dlgs 196/2003, cioè il “Codice in materia di protezione dei dati personali”.

La principale differenza con la normativa precedente consiste nel fornire informazioni più precise su come i dati personali verranno trattati e sull’esplicito consenso al trattamento di tali dati.

Indice dei contenuti
Visualizza altro

Ma non è tutto: si regolamenta in modo più rigido il trasferimento dei dati al di fuori dell’Unione Europea, si obbliga il titolare a comunicare all’utente eventuali violazioni e si introduce il diritto all’oblio, cioè il diritto all’eliminazione di tutti i propri dati personali.

Ma perché SOS WP dovrebbe interessarsi di GDPR e di questioni legali?

Perché anche se hai un piccolo blog, devi adeguarti alla normativa, altrimenti rischi delle multe che possono essere molto salate. Il GDPR riguarda ormai praticamente tutti, perciò inizia a informarti sull’argomento guardando questa intervista con l’Avvocato Alberto Leoncini e leggendo questa guida.

Se vuoi una maggiore tranquillità e assicurarti che il tuo sito rispetti le regole, scopri il nostro servizio di adeguamento GDPR e messa a norma, molto apprezzato dai nostri clienti (vedi recensioni Trustpilot qui).

Prima di iniziare, chiariamo il significato di alcuni termini che dobbiamo conoscere per addentrarci nell’argomento.

Domande frequenti riguardo il GDPR per possessori di siti web

Quali sono i dati personali regolamentati dal GDPR?

I dati personali sono tutte le informazioni che permettono di risalire all’identità di una persona.
Si tratta quindi di nomi, indirizzi email, indirizzi IP ma anche dati biometrici, informazioni crittografate, pseudonimi…

Chi è il titolare del trattamento?

Il titolare del trattamento è la persona che determina in che modo vengono utilizzati i dati raccolti e quali sono le finalità.

Chi è il responsabile del trattamento?

Il responsabile del trattamento è la persona che si occupa di trattare i dati per raggiungere le finalità espresse dal titolare.

Esempio:

Se usi un servizio di newsletter come Mailchimp, i dati personali che vengono raccolti sono il nome e l’indirizzo email degli utenti.

Tu sei il titolare del trattamento, e raccogli questi dati con lo scopo di inviare offerte promozionali agli utenti.

Il responsabile del trattamento è Mailchimp, che raccoglie fisicamente i dati nei propri server.

Il fatto che tu invii la newsletter per vendere prodotti o semplicemente per inviare gratuitamente gli aggiornamenti del tuo blog non fa differenza, in entrambi i casi sei tenuto a rispettare il GDPR.

Cosa fare per essere a norma con il GDPR

Cosa fare per essere a norma con il GDPR

Prima di tutto ti consigliamo di richiedere una consulenza legale e di consultare un esperto per assicurarti al più presto che il tuo sito web rispetti il GDPR.

Se vuoi informarti personalmente sull’argomento, consulta solo le fonti ufficiali, come la pagina informativa del Garante della Privacy.

In questo articolo ti forniamo solo delle indicazioni per avere un’idea di come adeguare il tuo sito al GDPR, ma ti suggeriamo comunque di rivolgerti agli esperti per applicare correttamente tutte le norme.

Vediamo cosa bisogna fare per rispettare il GDPR.

Per adeguare al GDPR il tuo sito web, dovrai per prima cosa raccogliere il consenso esplicito dell’utente per le finalità da te dichiarate.

Questo significa che tu spieghi perché hai bisogno dei suoi dati, e l’utente accetta esplicitamente che tu li usi per questi scopi.

Non sono ammesse check box preselezionate! L’utente deve attivare lui stesso la casella per prestare il consenso.

Ecco un esempio di modulo di contatti non a norma. Anche se è presente la casella di accettazione, questa è attiva al momento in cui si apre la pagina, e quindi non rispetta il GDPR.

Modulo contatti con casella attivata

Dovrai anche informare l’utente su tutti i dettagli del modo in cui verranno trattati i suoi dati, e per questo bisogna scrivere un’informativa sulla privacy.

L’informativa deve essere molto chiara, perciò non utilizzare né termini ambigui, né un linguaggio troppo complicato.

Includi al suo interno:

  • che tipo di dati sono raccolti,
  • quali dati vengono archiviati,
  • chi sono il titolare e il responsabile del trattamento,
  • per quanto tempo i dati saranno conservati.

Inoltre, la revoca del consenso deve essere semplice come la sua accettazione, per esempio attraverso il click su un semplice link come “Disiscriviti” o “Cancella tutti i miei dati”.

Una volta raccolti i consensi, dovrai archiviarli in un apposito registro dei dati personali, dove raccoglierai le informazioni su:

  • chi ha fornito il consenso,
  • quando è stato fornito,
  • quali sono le condizioni che l’utente ha esplicitamente accettato,
  • chi ha accesso ai dati,
  • l’eventuale trasferimento dei dati in un Paese non UE,
  • in che modo vengono cancellati i dati,
  • quali misure di sicurezza sono adottate per la protezione dei dati.

Il registro può essere in formato cartaceo oppure elettronico, ma la forma elettronica è sicuramente più comoda per poterlo aggiornare con facilità.

GDPR e Cookie

Il GDPR non riguarda solamente i dati che l’utente fornisce compilando un form o iscrivendosi alla newsletter.

Ci sono altre tecnologie in grado di raccogliere dati personali anche senza che l’utente ne sia pienamente consapevole, e stiamo parlando appunto dei cookie.

I cookie possono essere utilizzati, ad esempio, per rintracciare un utente che ha già visitato il tuo sito, e quindi mostrargli una pubblicità diversa da quella vista da un nuovo visitatore.

Possono anche rintracciare tale utente su Facebook, grazie all’uso del suo pixel, e mostrare annunci personalizzati.

Ma sono anche necessari per far funzionare semplicemente Google Analytics, che raccoglie dati come l’indirizzo IP.

Insomma, ormai praticamente tutti i siti web per funzionare correttamente hanno bisogno di cookie, e dunque il GDPR deve essere rispettato anche con questa tecnologia.

Ecco perché tutti i siti web europei sono obbligati a mostrare un banner con i pulsanti Accetta e Rifiuta, non appena si carica la pagina.

Questo che vedi qui sotto è un banner correttamente configurato secondo il GDPR:

Banner dei cookie a norma GDPR

Se un utente rifiuta l’accettazione dei cookies, il sito web deve comunque permettere la navigazione.

Inoltre, gli utenti devono essere in grado di poter ritirare il consenso in qualsiasi momento e il proprietario del sito deve mantenere un registro che provi lo stato del consenso per ogni utente.

Leggi maggiori informazioni sulla normativa cookie in questa guida.

GDPR: cosa fare per garantire il diritto all’oblio

Il GDPR introduce un nuovo diritto che prima del 2016 non era ancora stato regolamentato. Con il diritto all’oblio si potrà ottenere la cancellazione dei propri dati personali anche online.

Se un utente effettua questa richiesta, i responsabili dei dati sono tenuti a chiedere la cancellazione a chiunque li stia trattando, anche se si tratta di terze parti.

Questo diritto può essere limitato solo in casi molto particolari, per esempio per garantire il diritto alla difesa nelle questioni giudiziarie.

GDPR: cosa fare in caso di violazione dei dati personali (data breach)

Cosa fare in caso di violazione dei dati personali

Il responsabile per i dati personali è tenuto a comunicare una violazione dei dati entro 72 ore dal momento in cui ne viene a conoscenza.

Questo significa che se il tuo sito è stato vittima di un attacco informatico che è risultato in una violazione dei dati degli utenti, dovrai comunicarlo alle autorità competenti.

Se dovesse costituire un rischio elevato per i diritti e le libertà (esempio: perdita dati di accesso, dati di pagamento etc.) vanno informati anche gli utenti interessati.

Maggiori informazioni consultando gli articoli 32-34 del RGDP.

A questo riguardo, è molto importante che l’hosting comunichi tempestivamente al cliente il verficarsi di una violazione.

Se si verifica una violazione nei suoi server, l’hosting è obbligato a comunicarlo ai clienti entro 72 ore.

Dal momento in cui viene inviata questa comunicazione, il responsabile di un sito avrà altre 72 ore di tempo per comunicarlo ai propri clienti e alle autorità.

Non ti sei adeguato al GDPR? Sanzioni molto salate

Nel caso in cui le varie attività non si adeguano alla nuova normativa, si rischiano sanzioni molto salate: fino a 20 milioni di euro o al 4% del fatturato globale annuale.

Se vuoi avere maggiori informazioni e chiarimenti sulle sanzioni basta leggere l’articolo 83 EU RGPD “Condizioni generali per infliggere sanzioni amministrative pecuniarie

Ecco, quindi, che è fondamentale avere la certezza che il proprio sito rispetti le norme.

Chiedi l’aiuto dei nostri esperti per mettere a norma il tuo sito ed evitare sanzioni!

Cosa fare per controllare se il tuo sito rispetta il GDPR

Cosa fare per controllare se il tuo sito rispetta il GDPR

Questo è un argomento molto delicato e i controlli da fare possono variare a seconda dei siti e del tipo di utenti.

Ripetiamo di nuovo l’invito a consultare un esperto in materia legale e di protezione dei dati, soprattutto se gestisci un sito che ha una mole consistente di traffico.

Un’ottima fonte di informazione è rappresentata dalla Guida all’applicazione del Regolamento Europeo in materia di protezione dei dati personali rilasciata dal Garante della Privacy.

Un modo per approcciare questi controlli è quello di creare un documento, una lista che definisce il tipo di utenti che visitano il tuo sito e che tipo di dati raccogli direttamente o indirettamente (terze parti, Google Analytics, plugin etc.) da questi gruppi.

Una volta che hai i gruppi di utenti ben delineati passa a controlli organizzati in maniera gerarchica:

  1. Servizio di Hosting e gestori:
    Controlla con il tuo servizio di hosting e con i tuoi amministratori come gestiscono i dati.
  2. Backup:
    Dove e come sono salvati i backup del tuo sito?
  3. Plugin:
    Questo passaggio può richiedere un po’ di tempo. Dovrai capire quali dati raccolgono i plugin da te utilizzati.
    I servizi che raccolgono o che possono raccogliere dati sono davvero tanti, per esempio: moduli di contatto, profili utenti, e-commerce, e-mail marketing, servizi di link, filtri spam, sicurezza, strumenti per backup automatizzati, statistiche varie e monitoraggio login etc.
  4. Servizi esterni all’Unione Europea:
    Se usi servizi esterni all’Unione Europea, dovrai controllare che rispettino il GDPR.
  5. Durata conservazione dati:
    Per quanto tempo conservi i dati degli utenti? La durata è giustificabile?
  6. Sicurezza:
    Offri protezione sufficiente per i dati dei tuoi utenti? Che tipo di utenti visitano il tuo sito?
  7. Marketing:
    Usi strumenti automatizzati per il marketing? Fai A/B testing?

Dopo aver fatto questi controlli, dovrai chiederti se puoi facilmente giustificare le ragioni per cui raccogli e gestisci i vari dati in ciascuno degli step.

Le linee guida europee sul GDPR potranno esserti molto utili.

Dovrai avere il consenso degli utenti per trattare i dati, dovrai registrarlo e deve essere ottenuto per ogni elemento (eventi, newsletter etc.).

Come accennato prima, dovrai anche permettere agli utenti di ritirare il consenso.

Se identifichi dati personali a cui non dovresti avere accesso, rimuovili.

Disabilita i plugin e i servizi che non rispettano il regolamento; cerca alternative se possibile.

Crea della documentazione e procedure da adoperare per l’archiviazione dei dati e per quando gli utenti ti chiederanno di modificare o cancellare i propri dati.

Informa i tuoi utenti in maniera chiara su come tratti i loro dati personali e ottieni il loro consenso.

Troppe informazioni? Ecco una sintesi

Riassumendo, il regolamento GDPR dice che se un sito raccoglie, memorizza o usa qualsiasi dato di un cittadino EU dovrai rispettare i seguenti punti:

  • Informa gli utenti: chi sei, come raccogli i dati, per quanto tempo e dove finiscono i dati.
  • Ottieni consenso: ricevi il consenso degli utenti al trattamento dei dati.
  • Permetti l’accesso ai dati: gli utenti devono poter accedere ai propri dati, controllarli e se vogliono cancellarli (diritto all’oblio).
  • Violazione dei dati: informa gli utenti se avvengono violazioni ai loro dati (data breach).

Per chiarirti ancor meglio le idee il Garante della Privacy ha anche rilasciato una guida sintetica che spiega come applicare il GDPR, ti sarà di grande aiuto.

Ti consigliamo anche di guardare questa infografica creata dalla Commissione Europea, se avevi ancora dei dubbi sul da farsi, li spazzerà via.

Conclusione

Adegua subito il tuo sito al GDPR

In questa guida abbiamo parlato della nuova legge sulla privacy: il Regolamento UE 2016/679 RGDP “Regolamento generale sulla protezione dei dati” o come è chiamato in inglese GDPR (General Data Protection Regulation).

Ti abbiamo anche evidenziato i cambiamenti principali, fornito tanto materiale per ulteriore analisi e fornito un punto di partenza per assicurarti che il tuo sito rispetti questa nuova normativa.

L’intervista con l’avvocato Leoncini ci ha permesso di soffermarci sui punti più importanti e chiarire ulteriori dubbi.

Se rifletti un attimo su quanto della tua vita personale ormai finisce sul web, consapevolmente e non, ti renderai conto che simili normative sono inevitabili.

  • Quanti casi di attacchi informatici sono stati comunicati con troppo ritardo, causando danni enormi a ignari cittadini?
  • Quante volte i dati personali sono stati usati in maniera illegale per clonare identità, fare truffe o marketing invasivo?

Basta ricercare questi argomenti su Google per farsi velocemente un’idea.

Tu cosa ne pensi, sei favorevole a questo regolamento?

Quali sono le tue più grandi preoccupazioni al riguardo?

Faccelo sapere nei commenti. Alla prossima guida!

Guide correlate che ti potrebbero interessare:

Domande? Lascia un commento!

  1. Immagine avatar per Barbara
    Barbara

    Buongiorno! Ho inserito questa domanda anche sulla vostra pagina FB, ma al momento non ho avuto risposta. Avrei bisogno di un consiglio. Il sito che gestisco non ha scopo di lucro. Raccoglie comunque informazioni (Google Analytics, Count per day, Sendinblue, Modulo di contatto) Finora ho usato Iubenda, ma avevo bisogno di un aiuto e non mi rispondono. Secondo voi ho bisogno di un servizio di questo tipo o posso fare da sola? Enfold, il mio tema, già è impostato per inserire il popup. Poi, devo fare sia privacy policy che cookie policy, o solo cookie? Io non ci capisco proprio nulla. Grazie mille!

    1. Immagine avatar per SOS WP Team
      SOS WP Team

      Ciao Barbara, è necessario creare una Privacy Policy, sia anche abilitare il blocco dei Cookie prima che l’utente dia il consenso. Hai pagato Iubenda e la usi anche per i cookie?

    2. Immagine avatar per Barbara
      Barbara

      Sì, ho il piano a pagamento, per italiano e tedesco. Prima rispondevano, ma adesso niente più.

    3. Immagine avatar per SOS WP Team
      SOS WP Team

      Hai provato a contattarli via chat o via email?

    4. Immagine avatar per Barbara
      Barbara

      Sì, ho scritto 3 volte, sulla chat c’è scritto che sono assenti e che risponderanno. Ora la chat è disponibile, ma non rispondono comunque.

    5. Immagine avatar per SOS WP Team
      SOS WP Team

      Ciao Barbara, ti autentichi come cliene prima di iniziare la chat?

    6. Immagine avatar per Barbara
      Barbara

      Adesso mi hanno risposto!!! Sì, io entro dalla mia pagina,dove c’è anche la mia dashboard. Comunque grazie se avete fatto qualcosa voi!

    7. Immagine avatar per SOS WP Team
      SOS WP Team

      Molto bene Barbara, importante è avere risolto!

  2. Immagine avatar per Daniele Falzoi
    Daniele Falzoi

    vorrei un informazione, ho generato l’informativa sui cookie, ma il popup quando si accettano i cookie mi ricarica la pagina sempre

    1. Immagine avatar per SOS WP Team
      SOS WP Team

      Ciao Daniele, che plugin staio utilizzando?

  3. Immagine avatar per Roberto Tomasi
    Roberto Tomasi

    Buonasera,
    volevo questa informazione per cortesia. Il sito che seguo non ha cookies (analizzato con webcookies.org) perché non mi interessa sapere chi lo visita; il form per la newsletter invece riporta l’informativa completa e c’è un richiamo all’informativa nella pagina contatti. C’è chi dice che dovrei mettere l’informativa anche in home page.
    Però a mio parere chi visita il sito non rilascia alcun dato, come chi entra in un negozio e si limita a guardare senza dire nulla; il proprietario non sa chi è, cosa vuole, da dove viene ecc. Perché quindi dovrei mettergli sotto il naso l’informativa della privacy come se dovesse rilasciare qualche dato? Per me l’informativa va messa solo nella pagina in cui si richiedono dei dati, anche perché altrimenti si genera confusione. O no? 🙂

    1. Immagine avatar per SOS WP Team
      SOS WP Team

      Ciao Roberto, la normativa non è di così facile interpretazione. Per evitare qualsiasi tipo di problema o segnalazione, noi consigliamo in ogni caso di inserirla, in attesa che il Garante si esprima maggiormente in merito agli adempimenti e alla loro condizione di obbligatorietà. Un saluto, continua a seguirci!

    2. Immagine avatar per Roberto Tomasi
      Roberto Tomasi

      Grazie per la risposta; nel frattempo avevo trovato questo interessante link in cui si legge
      https://protezionedatipersonali.it/informativa
      ————
      Se un sito web non permette alcuna registrazione degli utenti, e non tratta dati degli utenti, non occorre l’informativa privacy, anche se occorre tenere presente che i siti web in genere acquisiscono comunque informazioni (anche dati personali) tramite i server sui quali sono ospitati. Invece, l’informativa è sempre dovuta ogni qual volta vi sia una raccolta e trattamento dei dati (es. indirizzi IP, mail) degli utenti (es. compilazione moduli), per cui anche nel caso in cui il sito utilizzi cookie tramite i quali raccoglie dati degli utenti. E’ altresì dovuta anche quando il consenso dell’interessato non è richiesto, oppure quando l’interessato è tenuto obbligatoriamente per legge a fornire i dati.

      Se il sito permette la registrazione degli utenti, ma i dati vengono usati solo per fini del sito medesimo (es. mailing list) e non per l’invio di proposte commerciali ecc…, occorre solo l’informativa privacy (da linkare al modulo di registrazione per consentirne la consultazione), ma non occorre la raccolta del consenso.

      Invece, se il sito permette la registrazione degli utenti e raccoglie dati anche a fini promozionali e pubblicitari, compreso la trasmissione a terzi, occorre l’informativa privacy e il consenso deve essere espresso con accettazione separata dell’informativa.
      ———————–
      Quello che mi crea problemi è il fatto che i server possono prendere dati tramite il mio sito, ma io come faccio a saperlo? A me risulta che non ci sono cookies, ma in che altro modo il server può prendere dati e a questo punto su cosa informo, visto che non ho alcun potere di influire?

    3. Immagine avatar per SOS WP Team
      SOS WP Team

      In tal caso, dovresti prima assicurarti che il server sia in regola con il GDPR. Ti consigliamo quindi di contattare il loro servizio clienti, per avere una maggiore delucidazione in tal senso.

  4. Immagine avatar per Laura
    Laura

    Buongiorno e complimenti per l’ottimo articolo.
    Ad oggi, vedo moltissimi siti limitarsi all’utilizzo di una pagina “privacy policy”, trascurando completamente il pop up associato all’informativa GDPR.
    Potete dirmi se è ugualmente conforme specificare tutto in una pagina apposta, evitando il fastidiosissimo pop up? O è contro la legge? Grazie mille!

    1. Immagine avatar per Andrea Di Rocco
      Andrea Di Rocco

      Ciao Laura, deve essere presente il form per consenso (se è questo che intendi come pop up) obbligatoriamente, perché l’utente deve poter accettare o meno l’utilizzo dei cookie. Un saluto!

  5. Immagine avatar per Simone
    Simone

    Interessante l’articolo, ma come altri hanno scritto resta sempre qualche dubbio, io faccio (anche) siti web, e ne ho fatti a diversi clienti che hanno varie tipologie di aziende:
    1) cosa devo fare – oltre ad installare il plugin che fa apparire il pop up e aggiungere una pagina “privacy” – nel sito (il testo l’ho ripreso da un altro sito modificando alcuni dati)?
    2) è meglio consigliare a ciascun cliente di farsi fare consulenza legale per vedere se il sito è conforme e nell’eventualità far redigere un testo appropriato per la privacy?
    3) quanto è responsabile chi gestisce il sito web dal punto di vista della conformità? io faccio siti non sono così ferrato in questa materia (tediosa) che alla fine esula un po’ da certe competenze tecnico / legali
    4) premesso che molti siti che ho fatto hanno grosso modo lo stesso schema con analytics, form contatto, alcuni newsletter, c’è un modo più snello per rendere conformi i siti web?
    Grazie!

    1. Immagine avatar per Andrea Di Rocco
      Andrea Di Rocco

      Ciao Simone, conviene (soprattutto se il sito è di una certa tipologia, non un “semplice” blog ma un ecommerce, un sito aziendale etc..) consultare un legale esperto di legislazione web per verificare di inserire correttamente tutte le info necessarie. Il webmaster non è responsabile, lo è il titolare delle informazioni. Non vi è un modo più “snello” per rendere un sito conforme all’odierno GDPR, spesso la normativa può sembrare (anche al di fuori dal web!) ostica e oscura, ma dopo un primo approccio le configurazioni necessarie non saranno così incomprensibili o difficili da attuare. WordPress stesso viene incontro a questo, con modifiche ed aggiustamenti (vedi la creazione di una pagina di default per la Privacy) per essere uno strumento sempre più compatibile con la legislazione vigente. Un saluto, continua a seguirci!

    2. Immagine avatar per SIMONE
      SIMONE

      Grazie! Vi seguo sempre! 🙂

    3. Immagine avatar per Andrea Di Rocco
      Andrea Di Rocco

      Continua a farlo!

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati*