Adeguare il proprio sito web al GDPR, dunque, è un obbligo non una scelta. Lo ha stabilito il garante della privacy su tutto il territorio UE.
Qual è la procedura da effettuare per adeguare il proprio sito web? Di seguito la checklist:
Chiunque raccolga dati o tratta dati personali degli utenti, come la mail, nome, cognome, indirizzo e altro, è obbligato a seguire le indicazioni stabilite dal GDPR.
Qualsiasi sito con cookie installati, form di contatto, social widget o Google Analytics DEVE adeguarsi al GDPR. Richiede la redazione della privacy policy, della cookie policy e tutti gli adeguamenti su i form di contatto. Di seguito elenchiamo tutti i passaggi da effettuare:
Scrivere una Privacy Policy conforme al GDPR
La privacy policy è il documento che illustra in modo semplice e chiaro come vengono gestiti i dati personali degli utenti che visitano il sito web.
La privacy policy deve contenere informazioni di base come:
- Titolare del trattamento dati e responsabile della protezione dei dati
- Diritti dell’interessato
- Destinatari del trattamento
- Modalità e periodo di conservazione
- il diritto di proporre reclamo all’autorità di controllo
In base alla normativa europea e alle linee guida sul consenso European Data Protection Board, i cookies possono essere utilizzati solo se viene fornita un’idonea informativa sul loro utilizzo, in assenza di consenso possono essere attivati solo i cookie tecnici, mentre i cookie analitici e di profilazione possono essere attivati solo su specifico consenso dell’utente.
Ogni utente deve sapere chiaramente se ci sono cookies, di che tipo sono, se possono profilarlo e dare o meno il proprio consenso all’utilizzo.
Ad ogni apertura del sito deve esserci un banner obbligatorio, ben visibile che deve specificare:
- modalità e finalità del loro utilizzo
- quali cookies possono essere selezionati
- se ci sono cookies profilanti (con possibilità di selezione a parte mediante rilascio di specifico consenso)
- dove dare il consenso esplicito per i cookies profilanti
Adeguare i form di contatto
Il form di contatto per la raccolta dati degli utenti deve rispettare il principio di minimizzazione, ossia: il sito può raccogliere solo i dati necessari alle finalità della raccolta stessa. Per fare questo il form deve essere adeguato al GDPR prevedendo appositi campi per l’azione esplicita di rilascio del consenso e richiamando il link all’Informativa estesa.
Per le newsletter, l’iscrizione al servizio deve essere chiara, non automatica e il consenso deve essere esplicito. L’iscrizione, ovviamente, deve essere facoltativa e il consenso deve essere esplicitato con un bottone opt-in chiaro.
Per adeguare l’invio di newsletter al GDPR bisogna definire in modo chiaro:
- dati personali raccolti e trattati
- finalità del trattamento
- tipologia di comunicazioni inviate
- possibilità di revoca del consenso
Consenso sulla protezione dei dati
Il sito deve avere un’informativa adeguata per l’utente, i dati devono essere raccolti e trattati per le finalità specificatamente indicate e non altre, deve essere sempre specificato come, perché e per quanto tempo sono trattati i dati personali e che la loro cancellazione o modifica può essere richiesta in qualsiasi momento.
Adeguare il Checkout per gli E-commerce
I siti di e-commerce devono adeguare al GDPR anche il percorso di checkout:
- esplicitare il motivo della raccolta
- fare il reinvio al link della privacy policy.
Controlla i Plugin installati sul sito
Consigliamo di controllare i plugin installati sul tuo sito siano tutti conformi al GDPR, perché potrebbero aiutarti con la conformità del sito alle regole privacy, dal diritto all’oblio, all’adeguamento delle altre disposizioni.
Il diritto all’oblio
Il diretto interessato può richiedere la cancellazione dei propri dati; si tratta appunto del diritto all’oblio.
A chi rivolgersi per adeguare il GDPR?
Per l’adeguamento del proprio sito web al GDPR affidati consulenti esperti in materia, come la nostra web agency Witag; agenzia Partner di IUBENDA. Il nostro team è certificato come Esperto in Compliance ed Adeguamenti Tecnici per la GDPR.