Siti internet aziendali e privacy dei dati.

By in

Ad oggi il 75% delle aziende italiane ha un sito internet, ed il 15% delle stesse è provvisto di e-commerce. Con riguardo alla Privacy, assistiamo a un molteplice trattamento di dati. Pertanto, è necessario capire quali sono gli adempimenti per essere in compliance GDPR. 

Per quanto riguardala raccolta di dati online si possono usare modalità differenti come:

  1. Raccolta Involontaria, ovvero senza la volontà di chi sta effettuando la navigazione sul sito, a seguito delle impostazioni tecniche del sito web;
  1. Raccolta Involontaria, ovvero senza la volontà di chi sta effettuando la navigazione sul sito, a seguito della modalità con cui è stato programmato il sito web e della presenza di cookies;
  2. Raccolta Volontaria, a seguito di compilazione di form per richiesta informazioni, iscrizioni a newsletter o altro.

Successivamente sarà necessario predisporre un’informativa Privacy Policy. Questa informativa deve essere inserita a margine del sito aziendale ed è fondamentale che sia raggiungibile in tutte le pagine web. 

Nella Privacy Policy bisognerà inserire quanto richiesto dall’Art. 13 del GDPR, contestualizzato alla raccolta dei dati involontari, relativi alle impostazioni tecniche del web, a titolo di esempio:

  • Indirizzo IP utente
  • Giorno ed ora di connessione
  • Tempo di permanenza sul sito web

Inoltre, si predisporrà una seconda informativa: quella relativa ai cookies presenti. 

A tal proposito si ricorda che il Garante si espresso a riguardo, chiarendo alcune peculiarità:

  • I siti che non utilizzano cookie non sono soggetti ad alcun obbligo
  • Per l’utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner.
  • I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità.
  • Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:
  1. Siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio     tramite il mascheramento di porzioni significative dell’IP);
  2. La terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.
  • Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l’installazione di cookie di profilazione non c’è bisogno di informativa e consenso.
  • Nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).
  • È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell’ambito dello stesso dominio.
  • Gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.

Da ultimo, si riportano gli ultimi orientamenti delle Linee Guida 5-2020 dell’EDPB che pongono molta attenzione sugli aspetti relativi al consenso:

  • Cambieranno le dimensioni e le funzioni del banner: ci dovranno essere almeno due tasti che consentano all’utente di prestare liberamente il consenso o eventualmente negarlo. Il banner dovrà impedire la navigazione. Non sarà possibile associare lo scrolling alla prestazione del consenso. 
  • Scrolling: non è più sufficiente scorrere lo schermo e superare il banner per poter presumere che esista una valida manifestazione del consenso per usare i dati. 
  • Cookie wall: formula utilizzata per parlare di quelle situazioni nelle quali gli utenti si trovano davanti una schermata, dove il gestore del sito obbliga gli utenti, con barriere digitali, ad utilizzare cookies di profilazione. Questa proposizione da un certo punto di vista è anche ragionevole. Prima dell’EDPB quindi un sito poteva scegliere di perdere alcuni visitatori che non volessero accettare i cookies di profilazione. Il consenso deve essere libero e frutto di una scelta sempre. Quindi si dovrà essere in grado di offrire all’utente un’azione A e un’azione B. Ma non sono più validi i cookie wall, dove solo chi garantisce il trattamento dei dati può entrare nel sito. Si deve garantire all’utente la scelta tra un SI o NO.

Ricordiamo, infine, che questi accorgimenti oltre che essere necessari per essere cogenti ai requisiti norma (GDPR), sono utili per altri due aspetti:

  1. Adesione a standard volontari: (ad es.: certificazione ISO/IEC:27001);
  2. Web reputation: riflessione sul fatto che chi ha un sito Web, magari molto visitato o addirittura un e-commerce, non deve solo porsi il problema di non prendere sanzioni bensì anche quello di mantenere una buona Web Reputation
Leave a reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.