GDPR, Cookie, Privacy Policy: come adeguare il sito web per rispettare la legge

Autore: Mirko Libralon - di lettura

Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento Privacy dell’Unione Europea, più comunemente conosciuto come GDPR. 
Le nuove norme prevedono una serie di adempimenti soprattutto per i siti web, inclusi i blog personali e gli e-commerce.
In questo articolo andremo ad esplorare il tema, andando a vedere come adeguare il sito web attraverso le piattaforme online che ci forniscono le cookie policy (es. Iubenda), Google Tag Manager ed eventualmente la consent mode di Google

GDPR per siti web

La normativa privacy riguarda i siti web che raccolgono dati personali degli utenti. Basta che siano installati dei cookie, un form di contatto, Google Analytics, il pixel di Facebook perché il nostro sito si debba uniformare alla normativa europea.

Prima della GDPR adeguarsi alla normativa sulla privacy era molto semplice: molto spesso bastava utilizzare un documento ‘’standard’’ per la privacy policy e il gioco era fatto. Adesso non è più così: ogni sito internet deve redigere la propria privacy policy in base a come raccoglie i dati degli utenti e all’uso che ne fa.

Ma non finisce qui, una volta conformati al GDPR nei termini del banner e della privacy policy, la protezione dei dati deve continuare lungo tutta la durata del trattamento, fino alla loro cancellazione. 

 

La privacy policy

L’informativa privacy è il documento più importante da redigere in fase di adeguamento al GDPR, che descrive le modalità di gestione dei dati personali degli utenti del nostro sito web. 
Il regolamento europeo è molto chiaro sulle informazioni minime che devono essere presenti nella policy: 

  • Breve introduzione sui contenuti del sito (chi siamo, cosa facciamo…)
  • Dati del titolare (i dati dell’impresa titolare del sito web)
  • Link ai provider di terze parti (Google Analytics, Facebook Pixel…)
  • Link a plug-in, applicazioni o software che memorizzano i dati dell’utente (nel caso di ecommerce o altro)
  • Tutte le informazioni sui dati trattati (modalità di trattamento, finalità, conservazione, diffusione)
  • Diritti degli interessati 
  • Finalità dei dati inseriti per la newsletter e il form di contatto (come vengono conservati i dati e con quale finalità)
  • Terze parte che processano i dati (se le nostre attività prevedono l’utilizzo di sistemi di terze parti come PayPal, Mailchimp, ecc)
  • E molto altro…

Per fortuna, la privacy policy può essere preparata in automatico da uno dei provider di privacy policy e cookie banner presenti nel mercato in base a quanto indicato dagli utenti. 
I più famosi sono CookieBot e Iubenda, provider che abbiamo scelto noi di Bizen per i nostri clienti. 
I grandi vantaggi di questi provider sono la loro assoluta sicurezza, unita al costante aggiornamento: se dovesse cambiare la legge, il sistema aggiornerà in automatico tutte le privacy policy. 

privacy

 

Cookie e Cookie Banner

I cookie sono degli elementi del sito web che permettono di registrare le informazioni degli utenti e di conservarle nel tempo. 

Per quanto riguarda la disciplina dei dati personali, i problemi sono due: uno relativo alla privacy (quali dati vengono registrati) e l’altro relativo alla trasparenza (chi monitora questi dati, per quale scopo e per quanto tempo).

I cookie possono essere raggruppati in 3 macro categorie:

  • Cookie tecnici: sono quelli che forniscono all’utente alcune funzioni che gli facilitano la navigazione.
  • Cookie Statistici: raccolgono dati in forma anonima e servono ai proprietari dei siti web a capire come gli utenti interagiscono con le pagine.
  • Cookie Profilanti: permettono di raccogliere quei dati personali che consentono di far arrivare agli utenti promozioni e comunicazioni personalizzate.

La disciplina che fa riferimento alla Cookie Law prevede che prima che i cookie vengano installati sul sito, l’utente debba dare il proprio consenso, che deve essere esplicito nel caso dei cookie profilanti. 

L'acquisizione del consenso deve avvenire tramite un banner ben visibile, con informazioni chiare e senza consensi preselezionati, inserendo inoltre un pulsante per poter rifiutare il tracciamento. 

C’è poi, in base alla normativa europea, l’obbligo di conservazione del consenso. Anche in questo caso ci viene in aiuto Iubenda, che permette di disegnare il banner tenendo conto di tutte le norme relative al GDPR e redigere la cookie policy, che va inserita nel sito web. 

 

Form di contatto

Il form serve per raccogliere le richieste di contatto degli utenti. In ottica GDPR, vige il principio che prevede che non devono essere raccolti più dati di quelli necessari. Per quanto riguarda i requisiti per essere a norma con il GDPR, questi sono gli stessi dei cookie: 

  • devono essere esplicitate le finalità di trattamento e conservazione
  • il consenso deve essere dato attraverso un’azione inequivocabile e positiva e non deve essere preselezionato
  • ci deve essere il link all’informativa estesa con relativa casella di spunta per dimostrare la presa visione

In questo caso Iubenda non ci può aiutare: il form solitamente viene creato con il CMS con cui viene realizzato il sito web o con il nostro. In ogni caso, esistono plug-in nativi e non che aiutano nella realizzazione di form a norma di legge. 

 

Attività pratiche sul sito web

Oltre all’implementazione di quanto visto tramite Iubenda, CookieBot o il CMS del sito web, sarà necessario andare a modificare il comportamento dei vari pixel e tag di tracciamento attivi. Questo perché la privacy policy e il banner dei cookie sono solo elementi a front end: non modificano in alcun modo quello che succede dietro le quinte. 
Se non andiamo a modificare il comportamento dei pixel in base alle scelte dell’utente infatti, completiamo l’adeguazione solo a metà. 

Dovremo quindi fare in modo che, al cliccare dell’utente su ‘’Accetto’’ nel banner relativo ai cookie, parta il tracciamento. Non prima e assolutamente non se l’utente non ha realmente accettato. 
Questa operazione si può fare integrando il codice del cookie banner all’interno di Google Tag Manager, uno dei vari sistemi di gestione dei tag/pixel dei siti web (sostanzialmente si inserisce questo tag manager nel sito web e al suo interno si vanno a installare tutti i vari pixel che ci servono - Google Analytics, Facebook Ads, Linkedin Ads, Hotjar, ecc) e facendo in modo che il banner rimandi indietro delle informazioni riguardo le scelte degli utenti. 

In base alle scelte, si dovranno attivare solamente certi tag piuttosto che altri. Ad esempio se abbiamo il consenso solo ai cookie strettamente necessari, si andrà ad attivare solo il tag di Analytics. Se invece abbiamo anche il consenso per le attività di profilazione, possiamo attivare senza problemi anche tutti gli altri. 

Per quanto riguarda la gestione dei dati dei form invece, dovremo adempiere alle norme di legge per quanto riguarda la conservazione e la diffusione, quindi indicando il tutto nella privacy policy e assicurando che questi vengano conservati in modo sicuro all’interno del CMS. 

 

E la Google Consent Mode?

La Consent Mode non è altro che una semplificazione di quanto appena descritto realizzata da Google per i tag di sua proprietà (quindi Analytics, Ads, ecc). La Google Consent Mode riceve lo stato di consenso degli utenti finali del sito web attraverso la piattaforma di gestione del consenso (quindi Iubenda o CookieBot) in modo completamente automatico. 

A Google non vengono inviati dati personali, ma solo le specifiche del consenso dell'utente, ad esempio se l'utente ha scelto di non fornire il proprio consenso ai cookie di profilazione. 

La Consent Mode quindi agisce in base allo stato del consenso, in modo analogo a quanto già spiegato, ma con un cavillo: anche se l’utente ha rifiutato di essere tracciato, i dati vengono comunque in qualche modo passati ai tag, che però non li registrano. Questi ‘’hit’’ verranno utilizzati per fornire delle statistiche che permetteranno di stimare il comportamento degli utenti non tracciati in modo algoritmico, andando così a perdere meno dati rispetto al blocco completo del tracciamento. 

Si tratta della risposta al GDPR di Google, che è riuscita a trovare una soluzione legale alle nuove normative che permette agli utenti di navigare in sicurezza ed ai marketers e le agenzie di avere comunque qualche dato con cui ottimizzare le campagne di marketing e/o il sito web

La Consent Mode ovviamente funziona solo per i tag di Google, quindi per quanto riguarda Facebook, Linkedin, ecc, si dovrà fare affidamento al blocco dei cookie ‘’manuale’’, che andrà ovviamente a far perdere una grossa mole di dati a queste piattaforme. 

Insomma, se non si fosse capito la GDPR è un tema tanto importante quanto complicato che unisce la necessità di competenze tecniche alla burocrazia europea.
Per questo consigliamo sempre di rivolgersi ad un team di esperti specializzato come Bizen per affrontare queste tematiche!

Richiedi una consulenza gratuita

Categorie: Siti Web ed E–commerce

Mirko Libralon

Laureato in Web Marketing & Digital Communication allo IUSVE di Venezia. Da novembre 2018 segue i progetti di ADV e Inbound Marketing di Bizen.

Ti abbiamo incuriosito?

Questo spazio è per te! Vuoi capire come lavoriamo e cosa possiamo fare per te? Scrivici ora! (Nessun impegno).