GDPR: cosa fare e come adeguarsi entro il 25 maggio

Il 25 maggio scadrà il tempo massimo per adeguarsi alla normativa GDPR, il nuovo Regolamento UE in materia di protezione dei dati personali.
Questa regolamentazione riguarda da vicino tutte le aziende, ed il mancato adeguamento comporterà sanzioni fino a diversi milioni di euro o del 4% del fatturato relativo all’anno precedente.

Disclaimer: questo articolo non tratta tutto il GDPR, ma solo la parte riguardante i siti web e gli e-commerce.

Cosa è il GDPR

Se ne parla tanto, eppure c’è ancora chi si interroga su cosa sia e cosa significhi questa sigla.
GDPR sta per General Data Protection Regulation e, in breve, mira a rafforzare la protezione dei dati dei cittadini dell’Unione Europea controllando in che modo società ed aziende gestiscono i dati personali.

Questo regolamento è entrato in vigore il 25 maggio 2017, benché quasi nessuno ci abbia fatto caso. Tuttavia, è dal 25 maggio 2018 che avrà effettivamente efficacia. Chiunque non si adegui alla nuova regolamentazione sarà quindi sanzionabile a partire da quest’ultima data.

Cosa stabilisce il GDPR

Il GDPR stabilisce che qualsiasi trattamento relativo ai dati di un singolo individuo possa avvenire esclusivamente in maniera trasparente ed a seguito di uno specifico consenso. Questo consenso deve essere:

• Informato: l’utente deve essere informato circa l’utilizzo che verrà fatto dei suoi dati;
• Specifico: serve una autorizzazione diversa per ogni tipologia di utilizzo dei dati, ad esempio rilevazione dei dati di navigazione a fini statistici o per finalità di marketing;
• Libero: l’utente dovrà esplicare chiaramente la sua volontà, senza quindi campi precompilati;
• Documentabile: il titolare dell’attività deve essere in grado di dimostrare di aver ricevuto un consenso preciso per l’utilizzo dei dati personali dell’interessato;
• Revocabile: deve essere sempre garantito il diritto all’oblio.

GDPR per i minorenni

La legge sancisce che solo gli individui dai 16 anni in su possono decidere autonomamente circa l’utilizzo dei propri dati personali; pertanto, se un minore di 16 anni dovesse registrarsi ad un sito internet o compilare semplice modulo di contatto, il proprietario del sito dovrebbe disporre anche dell’autorizzazione di un genitore per poter utilizzare i dati del minore.

Cosa comporta il GDPR per i possessori di un sito internet o un e-commerce

I siti internet, ed a maggior ragione gli e-commerce, dovranno adeguarsi alla nuova normativa mettendo a norma sia la privacy policy che la cookie policy. Entrambe dovranno essere più complete e fornire all’utente la possibilità di accedere sempre ai propri dati e, se lo vorrà, anche di revocarne le autorizzazioni all’utilizzo.

L’informativa sui cookie dovrà essere adeguata al GDPR e l’utente del sito, appena vi atterrerà, dovrà flaggare manualmente il proprio consenso all’utilizzo dei dati per le diverse finalità del singolo sito. Il banner dei cookie dovrà essere ben evidente e non contenere risposte già flaggate.
Essenzialmente, ogni utente dovrà esplicitare il proprio consenso per tutte le operazioni che esegue sul sito internet, dal modulo contatti al tracciamento attraverso sistemi di terze parti.

La cosa importante da sottolineare è che, diversamente dall’informativa sui cookie attuale, l’utente non potrà proseguire la navigazione finché non avrà esplicitato le proprie autorizzazioni, e che queste ultime non potranno essere già precompilate; non potremo quindi avere un modulo precompilato dove basterà premere invio: sarà l’utente a decidere se consentire l’utilizzo dei dati per finalità di tracciamento, di marketing, ecc.

Ecco un esempio del nuovo banner:

Inoltre, il nuovo banner sarà più completo e consentirà agli utenti di capire meglio quali dati verranno registrati dal sito e con quali finalità. Sarà sempre possibile, per loro, accedere ai dati registrati, aggiornarli e revocarne l’utilizzo.

In sintesi cosa fare

1. Analizza tutti i modi con cui raccogli i dati personali dei tuoi utenti, raccogliendo solo quelli che sono veramente necessari;

2. Rivedi la Privacy Policy adeguandola alla nuova normativa europea in termine di dati personali;

3. Chiedi sempre il consenso prima di memorizzare i dati personali dei tuoi utenti;

4. Prevedi strumenti per consentire agli utenti di controllare (aggiornare, rimuovere o scaricare) i loro dati;

5. In definitiva, tutti i plugin e i tool utilizzati nel tuo sito web devono essere conformi alla nuova normativa sul trattamento dei dati personali.

Dimostrare di avere ottenuto un consenso al trattamento dei dati

Il titolare dell’attività, come dicevamo sopra, dovrà sempre essere in grado di dimostrare chi ha dato il consenso all’utilizzo dei propri dati, con identificativi univoci. Non sarà più consentito, come lo è adesso, identificare gli utenti per indirizzo IP, in quanto non sarebbe un’identificazione univoca (potrebbe infatti indicare più di una persona). È inoltre richiesta anche la data e l’ora di acquisizione dei dati, nonché l’uso per il quale sono stati acquisiti.

GDPR e Web Marketing: cosa cambia

L’effetto più immediato del GDPR sarà non poter disporre più di dati globali relativamente agli utenti che visitano il sito della nostra attività: tutte le attività di web marketing che si basano su questi dati (basti pensare alle campagne di retargeting, dove quando vediamo un prodotto su Amazon, subito dopo ce lo ritroviamo sponsorizzato su Facebook) saranno ridotte per via del nuovo Regolamento: se l’utente non avrà flaggato la sua autorizzazione all’utilizzo dei dati per finalità di marketing, non potremo in alcun modo andare a colpirlo né su quel canale, né su altri, con finalità di marketing.

Anche le form di contatto e richiesta informazioni cambieranno: se prima potevamo utilizzare gli indirizzi email acquisiti in questo modo per le nostre newsletter, con il GDPR questo cambia. Potremo inserire l’indirizzo email dell’utente che ci ha contattato solo ed esclusivamente se ci avrà dato, anche qua, l’autorizzazione all’utilizzo dei suoi dati per finalità di marketing.

Retroattività: cosa succede ai dati acquisiti finora

Dopo aver capito in cosa consta il GDPR e come adeguarsi dal 25 maggio, resta ancora un’incognita: cosa succede ai dati acquisiti in passato, ovvero prima dell’applicazione del GDPR?

Tecnicamente bisognerà chiedere nuovamente l’autorizzazione agli utenti secondo le nuove normative. In particolare ad esempio, e sicuramente sarà il caso di molti, non sarà più possibile utilizzare le email acquisite tramite form di richiesta informazioni o acquisti online per finalità di marketing. Dovremo quindi inviare una mail a tutti i nostri elenchi richiedendo l’approvazione al trattamento per finalità di marketing oppure rimuovere quei contatti dalle nostre liste.

Come adeguarsi al GDPR

Online sono presenti numerosi plugin e servizi che consentono di adeguare il proprio sito al GDPR; il processo è abbastanza semplice per siti che utilizzano WordPress, mentre più laborioso per siti che si appoggiano ad altre piattaforme o scritti in HTML.

Se non sei uno sviluppatore e non sai bene cosa stai facendo e come farlo nel modo corretto, non rischiare! Le sanzioni per il mancato adeguamento possono arrivare a 20 milioni di euro o al 4% del fatturato annuo. Rivolgiti piuttosto ad un professionista o un’agenzia di web marketing esperta.