GDPR, linee guida del Garante, Direttiva ePrivacy: ma in concreto? Come gestire i cookie in conformità per un sito a prova di privacy.

Conformità cookie: orientarsi in un dedalo di leggi sulla privacy

Agli occhi di un non addetto ai lavori, la conformità al GDPR e alla normativa privacy del proprio sito web può apparire come estremamente complessa. Occorre districarsi tra la normativa a livello europeo, come sono il GDPR e la Direttiva ePrivacy, e quella italiana ovvero le Linee guida del Garante per la Protezione dati personali 10 Gennaio 2022.

Se vuoi dare uno sguardo alla normativa, trovi qui una breve introduzione. Qui però proviamo a fornirti una checklist breve di 10 punti per la conformità dei cookie e un sito web a prova di privacy.

Indice degli argomenti

  • Analisi preliminari: quali dati sono in tuo possesso?
  • Cominciamo: metti in sicurezza il sito web
  • Sistemiamo la privacy policy!
  • Richiedi il consenso per invia le email!
  • Aggiungi il cookie banner per la conformità!
  • Verifica tutti i form sul tuo sito web
  • Controlla bene! Indica un responsabile del trattamento dati e valuta i servizi di terze parti che hai attivi sul sito web
  • Indica esplicitamente agli utenti i loro diritti e come esercitarli
  • Mitiga il rischio data breach
  • Contatta degli esperti e non improvvisare!

Analisi preliminari: quali dati sono in tuo possesso?

Iniziamo dalle basi: la conformità al GDPR inizia analizzando quali dati personali raccoglie il tuo sito web, dove sono salvati, chi vi ha accesso. Ecco le domande giuste da farsi:

  • quali dati personali raccolgo tramite il sito web?
  • ci sono, tra questi dati, informazioni sensibili? E dati riferiti a utenti minorenni?
  • perché il mio sito web raccoglie questi dati? Sono tutti importanti e necessari per la mia attività?
  • dove sono memorizzati questi dati?
  • quale percorso segue un utente per fornirmi il consenso al trattamento dati?
  • chi accede ai dati memorizzati?
  • ci sono terze parti con cui collabori che hanno accesso a questi dati personali? Se si, verifichi come queste terze parti processano i tuoi dati?
  • queste terze parti “dove si trovano?”. Sono dentro l’Unione Europea o fuori dai suoi confini? Se sono fuori dai confini, quali meccanismi hai previsto per proteggere i dati personali?
  • quando conservi i dati personali? Queste informazioni possono essere cancellate o anonimizzate (cioè modificate in maniera tale da non renderle riconducibili ad una persona fisica?)

Cominciamo: metti in sicurezza il sito web

In quanto proprietario del sito web hai il dovere, non solo legale, di mettere in sicurezza il sito web. Concretamente significa che devi mettere in sicurezza i dati salvati nel sito web e proteggerlo da attacchi esterni. Qui non possiamo fornirti una lista esaustiva di quel che è necessario fare: dipende da molti fattori. Sicuramente questi passi sono necessari

  • installa un certificato SSL. Questo aggiungerà l’HTTPS all’URL del tuo sito web. In concreto vuol dire che le informazioni condivise tra sito e server saranno criptate;
  • scegli password solide, lunghe e complesse, di numeri, caratteri e simboli per gli account amministratori;
  • se gli utenti del tuo sito condividono con te informazioni finanziarie, aggiungi livelli di protezione aggiuntivi al tuo server;
  • proteggi il tuo sito web dagli attacchi DDoS con apposite soluzioni;
  • utilizza un software o un servizio antivirus per proteggere il sito da accessi non autorizzati;
  • a meno che non sia strettamente necessario, non condividere i dati che raccogli con terze parti;
  • pseduonimizza o anonimizza i darti personali prima di archiviarli;
  • ricordati di cancellare i dati personali dal tuo sito web una volta che non sono più necessari;
  • fai il backup del sito e dei dati a cadenza regolare e, possibilmente, in più location.

Sistemiamo la privacy policy!

La privacy policy deve essere parte integrante di un sito web. Qui devi inserire le informazioni per gli utenti su come il tuo sito raccoglie, utilizza, memorizza i loro dati personali. Non solo, deve spiegare anche quali sono i loro diritti, come esercitarli e quali invece sono gli obblighi che tu hai verso di loro. Ad esempio, il GDPR prevede il diritto di accesso ai dati personali. Significa, in concreto, che se un utente ti richiede di accedere ai suoi dati personali presenti nei tuoi archivi, non puoi negarglielo.

Per saperne di più vedi qui > Cookie policy: che cosa è?

La privacy policy deve essere aggiornata e, soprattutto, facilmente accessibile da tutte le pagine del tuo sito web. Non solo: molte privacy policy sono scritte in un linguaggio estremamente complesso che non aiuta l’utente a capire realmente come e quali dati tratta un sito web. Il GDPR prevede che il consenso debba essere informato, quindi l’utente deve essere messo in condizione di esprimere un consenso avendo chiaro il contesto.

Scrivere una privacy policy non è affatto semplice, è vero. Acconsento.click è dotato di un generatore di informative che, con pochi click, realizza le informazioni specifiche e personalizzate per il tuo sito web. Non fare copia e incolla delle informative! Dotati di una soluzione approntata da esperti e che ti consente, come Acconsento, di disporre di una privacy policy semplice, conforme e personalizzata intorno al tuo sito web.

Richiedi il consenso per inviare le email!

Se prevedi di inviare newsletter tramite mailing list a cittadini europei, devi ottenere correttamente il consenso dagli utenti. Il metodo che ti suggeriamo si chiama tecnicamente “double opt-in”. Consiste nel prevedere che l’utente verifichi il proprio indirizzo email dopo averlo inviato al sito web.

Non basta: gli utenti devono poter scegliere l’opt out (la cancellazione) dalla lista email in qualsiasi momento. Per questo è sufficiente inserire un link nella newsletter che consenta all’utente, con un click, di cancellarsi dalla lista.

Aggiungi il cookie banner per la conformità!

Le conformità dei cookie, come prevedono le normative privacy, passa dal cosiddetto cookie banner. Il cookie banner è quello strumento che consente agli utenti di decidere quali cookie accettare e salvare sul proprio dispositivo e quali no. E’ obbligatorio in tutti i siti web che utilizzano altri cookie oltre a quelli meramente tecnici, cioè quelli necessari a far funzionare il sito web stesso.

Questo banner deve informare gli utenti riguardo a quali cookie sono sul tuo sito web e consentire di accettarli o rifiutarli. Deve anche spiegare agli utenti che hanno il diritto di non accettarli. Ecco perché la legge vieta il cosiddetto cookie wall.

Per approfondire > Cookie wall nel mirino del Garante Privacy italiano

Ecco i punti chiave:

  • il cookie banner deve permettere di accedere all’elenco dei tipi di cookie attivi sul sito e perché (quali finalità);
  • deve spiegare perché hai avuto la necessità di inserire un certo tipo di cookie nel tuo sito;
  • è necessario indicare chiaramente e consentire all’utente la gestione delle preferenze riguardo ai cookie;
  • deve consentire all’utente di accettare i cookie, ma anche di rivedere il consenso e negarlo in qualsiasi momento;
  • prevedi di inserire nel cookie banner la privacy policy e un link che conduca a questa pagina;
  • ricorda che se l’utente chiude o non interagisce col banner, ciò non significa affatto che ha prestato il consenso;
  • garantisci a livello tecnico che nessun cookie (a parte i cookie tecnici) si attivi senza esplicito consenso dell’utente;
  • nel caso in cui l’utente neghi il consenso, questa scelta deve essere rispettata anche per le successive visite;
  • fai in modo che l’utente possa richiamare il banner cookie in qualsiasi momento per modificare le sue preferenze.


Acconsento.click non solo fa tutto questo, ma lo fa perfino con un’interfaccia gradevole, leggera e, se lo desideri, anche personalizzabile per integrarla al meglio col tuo sito web.

Vedi come funziona Acconsento.click: la conformità dei cookie in pochi click!

https://youtu.be/GrmKwl5klNE

Verifica tutti i form sul tuo sito web

Controlla bene tutto il tuo sito web e verifica la presenza di form che gli utenti compilano per contattarti, sottoscrivere servizi informativi, pagare online ecc…

  • aggiungi ad ogni form un’informativa privacy breve che spiega perché stai chiedendo quei dati, cosa vuoi farci e come l’utente può ritirare il consenso;
  • prevedi una opzione opt-in. Sottolineiamo che non puoi assolutamente prevedere opzioni pre-flaggate;
  • ti consigliamo di linkare nel form la Privacy Policy estesa per ulteriori informazioni.

Controlla bene! Indica un responsabile del trattamento dati e valuta i servizi di terze parti che hai attivi sul sito web

Devi assolutamente verificare se utilizzi servizi o collabori con aziende terze parti non conformi al GDPR. Verifica le loro privacy policy o chiedi spiegazioni. Se queste terze parti stanno lavorando per la tua azienda, sei comunque responsabile del loro comportamento. Assicurati che siano in linea con la tua privacy policy.

Indica un responsabile del trattamento dei dati, così che gli utenti sappiano a chi rivolgersi in caso di esercizio di diritti o richiesta di spiegazioni.

Indica esplicitamente agli utenti i loro diritti e come esercitarli

Gli utenti hanno il diritto di richiederti l’accesso ai loro dati personali che possiedi. Possono anche chiederti di correggerli e cancellarli in qualsiasi momento. Assicurati di garantire loro modalità corrette per l’esercizio di tali diritti. Su questo il GDPR non è affatto rigido, ti lascia piuttosto libero di decidere le modalità. L’importante è che il tuo sito web garantisca la possibilità di esercitarli concretamente e non a parole. La policy privacy deve spiegare come un utente può esercitare i propri diritti.

Acconsento.click consente di farlo direttamente dal proprio widget: ci pensiamo noi a garantirti la conformità rispetto all’esercizio dei diritti dell’utente.

Mitiga il rischio data breach

Per data breach si intende l’accesso non autorizzato di terze parti ai dati personali dei tuoi utenti. Per mitigare questo rischio:

  • conserva il registro delle attività di trattamento dei dati;
  • risolvi tutte le vulnerabilità che conosci sul tuo sito web e rendilo accessibile solo dopo aver eseguito questa attività di verifica;
  • nel caso dovesse verificarsi un data breach comunicalo al Garante per la protezione dei dati personali entro 72 ore. Condividi con l’autorità garante tutte le informazioni sull’evento di cui sei in possesso. La notifica solitamente deve prevedere il numero approssimativo di utenti interessati dal breach, la tipologia di dati esposti, le azioni che hai intrapreso per mitigare i possibili effetti negativi. Informa gli utenti soprattutto se c’è rischio per i loro diritti e le loro libertà personali. Consiglia anche azioni che gli utenti possono intraprendere per ridurre il rischio (banalmente cambiare la propria password di accesso al sito web);
  • appronta un piano d’azione: disporre di un protocollo ragionato da eseguire in caso di data breach evita il panico, consente di gestire il problema al meglio e, aggiornandolo, anche di ridurre la probabilità che l’evento di verifichi di nuovo.

Qui la pagina tematica del Garante per la Protezione dati personali sul data breach > Violazioni di dati personali (data breach) in base alle previsioni del Regolamento (UE) 2016/679

Contatta degli esperti e non improvvisare!

La protezione dei dati personali è il pilastro del GDPR. La materia è complessa e riguarda campi diversi come quello legale, tecnico e informatico. Non improvvisare, non affidarti a copia incolla. Se hai bisogno di aiuto contattaci, siamo esperti di privacy, siti web, cookie e conformità da oltre 20 anni e siamo qui per te.