Il 25 maggio 2018 è entrato in vigore il nuovo Regolamento Privacy dell’Unione Europea, più comunemente conosciuto come GDPR.
Le nuove norme prevedono una serie di adempimenti soprattutto per i siti web, inclusi i blog personali e gli e-commerce.
In questo articolo andremo ad esplorare il tema, andando a vedere come adeguare il sito web attraverso le piattaforme online che ci forniscono le cookie policy (es. Iubenda), Google Tag Manager ed eventualmente la Consent Mode di Google.
Le attività volte a rendere un sito web GDPR compliant sono molte. Si parte dalla privacy policy, che non potrà più essere standard per tutti i siti come lo era una volta, ma dovrà essere personalizzata ad hoc.
L'articolo 13 della GDPR prevede infatti che obbligatoriamente vi siano determinate informazioni, tra cui ad esempio la tipologia di dati raccolti, le modalità di tutela e utilizzo dei dati e come gli utenti possono esercitare i loro diritti di tutela della privacy.
Per questo tipo di attività solitamente siamo aiutati dal DPO dell'azienda, che fornisce una lista di privacy policy comprensive di tutti i dettagli necessari, o da uno dei provider di privacy policy e cookie banner presenti nel mercato.
I più famosi sono CookieBot e Iubenda, che è il provider che abbiamo scelto noi di Bizen per i nostri clienti.
I grandi vantaggi di questi provider sono la loro assoluta sicurezza unita al costante aggiornamento: se dovesse cambiare la legge il sistema aggiornerà in automatico tutte le privacy policy.
Il secondo aspetto da tenere in considerazione è il cookie (e la relativa cookie policy da integrare nel sito).
Il ''biscotto'' non è altro che una linea di codice che permette di registrare i dati dei tuoi utenti e, chiaramente, non potrà essere attivato se l'utente, nel cookie banner (ovvero il banner per la raccolta del consenso), dichiara di non accettare di essere tracciato.
Ci sono diverse tipologie di cookie (tecnici, statistici, pubblicitari, necessari...) e in base alle scelte che l'utente fa quando decide di accettare o rifiutare i cookie nel banner - l'utente potrebbe accettare i cookie statistici e non pubblicitari - dovremo fare in modo che queste scelte vadano rispettate.
Anche in questo caso ci viene in aiuto Iubenda, che permette di disegnare il banner tenendo conto di tutte le norme relative al GDPR e redarre la cookie policy, che va inserita nel sito web.
Anche i moduli di raccolta dati presenti nel sito web devono essere rivisti: se un form ha diverse finalità (ad esempio se vogliamo inviare le newsletter a chi ci scrive nella pagina contattaci) dovremo prevedere una casella specifica per ognuna di queste finalità, e ricevere il consenso esplicito.
Ovviamente, se trasferiamo i dati dell'utente a delle terze parti, questo ne deve essere informato e deve dare il consenso esplicito.
L'ultimo tema riguarda le email di marketing: per l'utente deve essere facile poterle non ricevere più ed eventualmente contattare il responsabile del trattamento dei dati.
Solitamente, in questo tipo di email, viene inserito nel footer (in automatico nel caso ad esempio di Mailchimp) un link che permette la cancellazione e tutti i dati di contatto dell'azienda.
Oltre all’implementazione del cookie tramite Iubenda, CookieBot o il CMS del sito web, sarà necessario andare a modificare il comportamento dei vari pixel e tag di tracciamento attivi. Questo perché la privacy policy e il banner dei cookie sono solo elementi a front end: non modificano in alcun modo quello che succede dietro le quinte.
Se non andiamo a modificare il comportamento dei pixel in base alle scelte dell’utente infatti, completiamo l’adeguazione solo a metà.
Dovremo quindi fare in modo che, al cliccare dell’utente su ‘’Accetto’’ nel banner relativo ai cookie, parta il tracciamento. Non prima e assolutamente non se l’utente non ha realmente accettato.
Questa operazione si può fare integrando il codice del cookie banner all’interno di Google Tag Manager, uno dei vari sistemi di gestione dei tag/pixel dei siti web (sostanzialmente si inserisce questo tag manager nel sito web e al suo interno si vanno a installare tutti i vari pixel e stringhe di codice che ci servono - Google Analytics, Facebook Ads, Linkedin Ads, Hotjar, ecc) e facendo in modo che il banner rimandi indietro delle informazioni riguardo le scelte degli utenti.
In base alle scelte, si dovranno attivare solamente certi tag piuttosto che altri.
Ad esempio se abbiamo il consenso solo ai cookie strettamente necessari, si andrà ad attivare solo il tag di Analytics (che dovrà essere configurato per l’anonimizzazione degli IP a prescindere). Se invece abbiamo anche il consenso per le attività di profilazione e la pubblicità, possiamo attivare senza problemi anche tutti gli altri.
Per quanto riguarda la gestione dei dati dei form invece, dovremo adempiere alle norme di legge per quanto riguarda la conservazione e la diffusione, quindi indicando il tutto nella privacy policy e assicurando che questi vengano conservati in modo sicuro all’interno del CMS.
La Consent Mode non è altro che una semplificazione di quanto appena descritto realizzata da Google per i tag di sua proprietà (quindi Analytics, Ads, ecc). La Google Consent Mode riceve lo stato di consenso degli utenti finali del sito web attraverso la piattaforma di gestione del consenso (quindi Iubenda o CookieBot) in modo completamente automatico.
A Google non vengono inviati dati personali, ma solo le specifiche del consenso dell'utente, ad esempio se l'utente ha scelto di non fornire il proprio consenso ai cookie di profilazione.
La Consent Mode quindi agisce in base allo stato del consenso, in modo analogo a quanto già spiegato, ma con un cavillo: anche se l’utente ha rifiutato di essere tracciato, i dati vengono comunque in qualche modo passati ai tag, che però non li registrano. Questi ‘’hit’’ verranno utilizzati per fornire delle statistiche che permetteranno di stimare il comportamento degli utenti non tracciati in modo algoritmico, andando così a perdere meno dati rispetto al blocco completo del tracciamento.
Si tratta della risposta al GDPR di Google, che è riuscita a trovare una soluzione legale alle nuove normative che permette agli utenti di navigare in sicurezza ed ai marketers e le agenzie di avere comunque qualche dato con cui ottimizzare le campagne di marketing e/o il sito web.
La Consent Mode ovviamente funziona solo per i tag di Google, quindi per quanto riguarda Facebook, Linkedin, ecc, si dovrà fare affidamento al blocco dei cookie ‘’manuale’’, che andrà ovviamente a far perdere una grossa mole di dati a queste piattaforme.
Insomma, se non si fosse capito la GDPR è un tema tanto importante quanto complicato che unisce la necessità di competenze tecniche alla burocrazia europea.
Per questo consigliamo sempre di rivolgersi ad un team di esperti specializzato come Bizen per affrontare queste tematiche!