Come rendere un sito web GDPR-compliant

25/06/2018
Con l’entrata in vigore, dal 25 maggio, della nuova normativa europea sulla tutela della privacy, occorre rivedere le procedure di raccolta, archivio e utilizzo dei dati personali degli utenti.

Ecco una checklist che aiuta a formulare una strategia di conformità al GDPR per il proprio sito web.

1) Revisione della Privacy Policy

L’art 13 del GDPR stabilisce chiaramente quali sono le informazioni che ciascuna privacy policy dovrà contenere. Alcune informazioni diventano ora obbligatorie, in particolare:
  • la tipologia dei dati raccolti
  • lo scopo del loro utilizzo (unico e non cumulabile con altri)
  • le modalità di tutela dei dati
  • il loro tempo di conservazione
  • in che modo gli utenti possono esercitare i propri diritti 
È importante indicare anche se i dati vengono trasferiti verso Paesi terzi e attraverso quali strumenti, e se i dati saranno oggetto di profilazione.

2) Revisione dei moduli di raccolta dati

Devi assicurarti che i moduli di raccolta dati del tuo sito permettano di raccogliere un consenso libero e specifico per finalità. 
  • Se il tuo modulo raccoglie il consenso per diverse finalità, prevedi una casella da spuntare per ogni singola finalità e mai pre-spuntata. 
  • Se prevedi diverse modalità per contattare l’utente (es. telefono, SMS, email), permetti all’utente di scegliere con quale modalità vuole essere contattato.
  • Se trasferisci i tuoi dati a terze parti, identifica chiaramente ciascuna di queste terze parti e permetti all’utente di dare o meno il consenso a questo trasferimento.
  • Dovrai inoltre prevedere un modo chiaro e semplice affinché l’utente possa revocare il suo consenso in qualsiasi momento. 
 
Se raccogli iscrizioni alla newsletter, ad esempio, nel tuo modulo dovresti prevedere una casella di spunta apposita per raccogliere il consenso all’invio di newsletter oltre che un modo semplice per consentire all’utente di revocare questo consenso; ti consigliamo di inserire il link per la cancellazione sia nella newsletter che invii sia nel modulo che hai utilizzato per raccogliere i dati di iscrizione.

3) Uso e installazione di cookie

Accertati che sul tuo sito sia presente un’informativa sui cookie che rispetti le indicazioni del Provvedimento Generale del Garante (08/05/2014 e successivi chiarimenti).
In base al tipo di cookie che il tuo sito installa, potresti dover installare anche un banner per raccogliere il consenso preventivo degli utenti. In questo caso, il tuo sito non dovrà installare cookie sul dispositivo dell’utente fino a che l’utente non avrà acconsentito.

4) Tracciamenti di Google Analytics 

Se il tuo sito contiene il codice di tracciamento di Google Analytics, controlla che sia configurato in modo da non raccogliere dati personali. Dovrà quindi essere:
  • configurato per l’anonimizzazione degli IP
  • configurato per non condividere i dati che raccoglie con altri prodotti Google (es. Adwords)

5) Software di tracciamento di terze parti

Se nel tuo sito è installato un sistema di tracciamento di terze parti, ad esempio un sistema di marketing automation, accerta quali dati personali vengono raccolti (ad esempio IP) e assicurati di specificarlo nell’informativa privacy. Per poter raccogliere questi dati dovrai richiedere preventivamente il consenso all’utente.

Newsletter