Novità e riflessioni

Il Blog di Goodea

Privacy Policy sito web – GDPR Digitale

Il Regolamento Europeo per la Privacy entra nel vivo e le imprese italiane non sono preparate.

Il GDPR è l’acronimo della Direttiva Europea per la Privacy degli utenti, una misura unica alla quale le imprese devono adeguarsi, la multa che si rischia arriva fino al 4% del fatturato.

La direttiva impatta su tutto il ciclo di vita delle aziende, la componente digitale rappresenta una parte significativa.

La nostra analisi è stata basata su un campione di 100 siti web, tutti non conformi alla direttiva europea.

Ecco come le aziende hanno adeguato i propri siti web:

  1. redazione del documento di Privacy Policy
  2. consenso al trattamento dei dati in corrispondenza del modulo dei contatti
  3. banner informativo relativo ai Cookie

Sebbene i 3 provvedimenti elencati possano sembrare esaustivi in realtà non lo sono affatto e le imprese che hanno adeguato i loro siti web in questo modo rischiano fino al 4% del proprio fatturato.

Facciamo un esempio, un azienda che ha un fatturato di 1.000.000 di euro rischia fino a 40.000 euro di multa dal Garante Privacy. L’organo ispettivo è il Nucleo Tutela Privacy e Frodi Informatiche della Guardia di Finanza.

GDPR Digitale, un approccio nuovo che pone i dati degli utenti al centro.

Il regolamento pone grande attenzione alla tutela dei dati degli utenti e nomina il Titolare dei dati (amministratore della società) come unico responsabile degli stessi.

Per il principio di accountability, il Titolare del trattamento dei dati è il vero e unico responsabile della conservazione, della custodia, dell’aggiornamento e della cancellazione dei dati degli utenti. Il Titolare del trattamento dei dati dovrà gestire gli stessi con la diligenza del buon padre di famiglia, spiegando agli utenti le finalità e la durata del trattamento, le modalità di cancellazione e ogni altra informazione utile. Per capirci meglio, è il Titolare che prende la multa.

Cosa prevede la normativa per i siti web:

  • bisogna redigere il documento di Privacy Policy in maniera chiara e comprensibile al fine di consentire agli interessati di comprendere i propri diritti
  • bisogna redigere un documento di Privacy Policy per ogni trattamento. Per esempio, se nel nostro sito raccogliamo gli indirizzi email ai fini dell’iscrizione alla newsletter, attraverso il modulo di richiesta di contatto e attraverso il modulo di raccolta dei curriculum per la ricerca di personale qualificato, bisognerà redigere 3 informative Privacy Policy e inserirle nel sito
  • bisogna integrare una cookie bar che sia in grado di raccogliere i consensi degli utenti e sia in grado di bloccare gli script di tracciamento (cookie non tecnici) se l’utente non acconsentirà al rilascio dei cookie, avendo cura di rendere sempre disponibile la cookie bar per la modifica del consenso
  • bisogna redigere il registro dei trattamento
  • bisogna cambiare periodicamente le password di accesso ai siti web
  • bisogna assicurarsi che il sito sia aggiornato e proteggerlo adeguatamente da eventuali attacchi informatici

La lista non è finita e ci sono ancora numerosi adempimenti da svolgere. Il nostro staff è disponibile per una call gratuita per spiegare cosa manca ancora e per valutare gratuitamente il tuo sito.

Questione invio email

Non è possibile utilizzare indirizzi email raccolti senza aver memorizzato il consenso degli utenti, anche in questo caso le multe sono molto pesanti. Non è possibile violare in alcun modo il diritto alla tutela dei dati personali degli utenti di un determinato sito e non è quindi possibile raccogliere indirizzi email direttamente dal web per poi utilizzarli per fini pubblicitari.

Questione CRM

Tutti gli utenti hanno diritto a sapere che fine faranno i propri dati, in special modo quando si utilizza un CRM che, per sua natura, consente di profilare il target incrociando numerose variabili.

Questione Social Network

Il Titolare del trattamento dovrà provvedere in proprio all’aggiornamento dei profili Social aziendali, comunicandolo opportunamente agli utenti. In alternativa potrà delegare un Responsabile per le operazioni di comunicazione.

Questione Pixel di Facebook

L’utilizzo dei dati provenienti dal Pixel di Facebook ai fini di profilazione pubblicitaria è consentito, ma l’utente dovrà essere opportunamente informato e dovrà poter esercitare i suoi diritti anche esprimendo un diniego. Anche in questo caso, in presenza di una violazione, le sanzioni saranno pesanti.

Questione Google Analytics

Vale lo stesso discorso fatto per l’utilizzo del Pixel di tracciamento e, in generale, per qualsiasi script di tracciamento di terze parti, con l’aggiunta che bisognerà comunicare agli utenti che i suoi dati saranno trasferiti all’estero.

L’imprenditore moderno non può trascurare la direttiva Privacy poiché la non conformità mette a rischio l’intera attività aziendale. La direttiva impone un approccio innanzitutto mentale alla questione. 

E’ importante prendersi cura dei propri utenti/clienti anche tutelandoli da eventuali violazioni. Il termine massimo per la comunicazione al garante Privacy di una violazione o di una perdita dei dati è 72 ore.