Nella costruzione della tua privacy policy di trattamento dei dati in azienda, è necessario tu prenda in considerazione la gestione privacy del sito web.
Pubblicato il di stefania villa

La gestione privacy del sito web

Ho realizzato che in molti ancora oggi, a distanza di quasi due anni dall’entrata in vigore della nuova normativa in materia di privacy, sono perplessi sul fatto che la questione li riguardi, o addirittura pensano di non doversi occupare della faccenda. Data la complessità della questione, voglio continuare a tenerti informato sulla corretta applicazione della disciplina europea di trattamento dei dati. E ti invito anzi a essere fiducioso nel fatto che, se ben affrontata, la gestione della privacy possa migliorare la tua organizzazione, aggiungere qualità ai tuoi servizi.

Nella costruzione della tua privacy policy di trattamento dei dati in azienda, è necessario tu prenda in considerazione la gestione privacy del sito web, strumento preziosissimo nell’era digitale, alleato soprattutto nell’attività commerciale: non ci si può permettere che venga oscurato.

La gestione privacy del sito web

Immagina il tuo sito come una piccola navicella che si muove nell’immenso oceano del web. Al suo interno ci sono i servizi e i prodotti che offri, i tuoi dati di contatto e quelli dei visitatori, soprattutto se compilano con i loro dati i form (o moduli) realizzati per iscriversi alle newsletter, ricevere ulteriori informazioni oppure per concludere gli acquisti.

Immagina il tuo sito come una piccola navicella che si muove nell’immenso oceano del web. Al suo interno ci sono i servizi e i prodotti che offri, i tuoi dati di contatto e quelli dei visitatori, soprattutto se compilano con i loro dati i form (o moduli) realizzati per iscriversi alle newsletter, ricevere ulteriori informazioni oppure per concludere gli acquisti.

Il GDPR non supporta in modo dettagliato la sicurezza informatica nel definire le misure di gestione dei dati. Se ne sta occupando la Commissione Europea e ci dobbiamo aspettare un ulteriore Regolamento “e-Privacy”, che sostituirà la vigente Direttiva del 2002 e si affiancherà al GDPR.

Nell’attesa, ci sono essenzialmente due aspetti che devi definire:   

  • rendere consultabile la privacy policy da parte di tutti i “naviganti”;
  • fare il possibile affinchè tutto quanto contiene la navicella sia sicuro e inattaccabile dai “pirati”. Più la rendiamo sicura e adeguata e più la nostra navigazione avanza forte e acquista visibilità e fiducia, perché chi sale sa di essere al sicuro.
Nella gestione privacy del sito web fai il possibile affinché tutto quanto contiene la navicella sia sicuro e inattaccabile dai “pirati”.

Provo a tracciarti i punti salienti sui quali soffermarti per una breve verifica.

L’informativa o privacy policy

L’informativa concisa, chiara, facilmente accessibile ed intellegibile va pubblicata sul sito web inserendo il collegamento (link) alla versione integrale.

È chi tecnicamente gestisce il tuo sito (web agency) a doverti dare supporto per completare le informazioni di carattere tecnico, come le seguenti:

  • i dati vengono analizzati o profilati?
  • il tuo client, ossia il soggetto che ti ha affittato lo spazio su server che ospita il tuo sito web, effettua trattamenti per tuo conto?
  • sono attivi servizi di terze parti (ex. Google Analytics, Google AdWords, Pixel di Facebook) per cui si deve richiamare il link alle pagine privacy dei fornitori di terze?
  • sono attivi plugin, applicazioni o software che memorizzano i dati dei tuoi utenti?

E questi cookie? Vogliamo capire che cosa sono?

I cookie sono dei piccoli file di testo che vengono inviati dal pc dell’utente al browser durante la navigazione sul web.

I cookie sono dei piccoli file di testo che vengono inviati dal pc dell’utente al browser durante la navigazione sul web. Si dividono in quattro tipologie:

  1. cookie tecnici o di “navigazione”, che permettono al sito di funzionare correttamente;
  2. cookie analytics cherilevano dati statistici (es. numero di visitatori per fascia oraria e area geografica);
  3. cookie di profilazione che rilevano il comportamento di un utente e vengono utilizzati per impostare strategie di marketing;
  4. cookie di profilazione di terze parti che hanno finalità analoghe a quelli del punto 3, ma derivano da siti esterni a quello di navigazione.

Per i primi due tipi non serve consenso, basta il banner (tradotto letteralmente “bandiera”), un riquadro che deve apparire appena si apre una pagina web e deve essere di dimensioni e colore utili a renderlo visibile, con il quale si comunica la presenza di questi cookie.

La gestione privacy del sito web deve essere parte integrante della privacy policy del titolare del trattamento.

Per gli altri due tipi, invece, determinando la profilazione, è necessario chiedere il consenso. Si può partire dal classico banner che informa della presenza di questi cookie, inserendo un messaggio del tipo:

  1. Il sito utilizza cookie per inviarti comunicazioni e servizi in linea con le tue preferenze. Per saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui (link)”.
  2. Il sito utilizza cookie, anche di terze parti, per inviarti comunicazioni e servizi in linea con le tue preferenze. Per saperne di più o negare il consenso a tutti o ad alcuni cookie clicca qui (link).”

Se però per la profilazione usi solo Google Analytics rendendo anonimo l’indirizzo IP, il consenso non è necessario.

Attenzione a come proponiamo moduli o form di richiesta dati all’utente

Rientra in questa casistica la proposta di iscrizione alla newsletter, per fare un esempio.

Minimizzazione è la parola d’ordine, ossia limitarsi alla richiesta dei soli dati necessari al raggiungimento della finalità e, in ogni caso, prevedere l’espressione del consenso da parte dell’utente con:

  1. link all’informativa privacy;
  2. il consenso per ogni specifica finalità di trattamento, senza caselle pre-spuntate o impostate sul sì.

Sicurezza e backup

Verifica quali strumenti di protezione sono presenti sul tuo sito e chi ne è responsabile. Verifica che vengano fatti periodici monitoraggi, analisi e aggiornamenti. Per quanto protetto, nessun sistema è totalmente immune da attacchi hacker ed è tua responsabilità prevenire ogni possibile cancellazione, distruzione o corruzione dei dati anche mediante il backup.

Verifica quali strumenti di protezione sono presenti sul tuo sito e chi ne è responsabile. Verifica che vengano fatti periodici monitoraggi, analisi e aggiornamenti. Per quanto protetto, nessun sistema è totalmente immune da attacchi hacker ed è tua responsabilità prevenire ogni possibile cancellazione, distruzione o corruzione dei dati anche mediante il backup. Il backup è il salvataggio dei dati del tuo sito web. Devi definirne la frequenza e il corretto funzionamento mediante un monitoraggio periodico.

Tutte queste azioni devono essere oggetto di controllo periodico da parte del titolare del trattamento verso i soggetti esterni cui ha affidato incarico specifico (nominandoli responsabili esterni al trattamento), nel rispetto del principio di accountability (responsabilità) richiamato dal GDPR. La gestione privacy del sito web deve essere parte integrante della privacy policy del titolare del trattamento.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Privacy policy Proudly powered by WordPress