Non è più sufficiente avere una conformità GDPR di base.
Qualsiasi azienda, piccola o grande, che raccoglie e gestisce dati personali, deve garantire ai propri utenti che abbiano il controllo completo sui loro dati,
e fornire su richiesta o in caso di accertamento le adeguate prove dei consensi ottenuti sulla raccolta dei loro dati personali e su come vengono gestiti.
→ CONTATTACI ORA
e richiedi una proposta personalizzata per l'adeguamento
del tuo sito o scopri di più:
Il General Data Protection Regulation (GDPR) è il regolamento europeo sulla privacy, entrato in vigore nel 2018, ed in costante aggiornamento da parte del Garante che, al fine di tutelare al meglio i diritti degli utenti, è sempre più attento e vigile anche nei controlli per verificare che i siti rispettino le normative imposte.
→ ATTENZIONE: Tratti dati personali di utenti che si trovano fuori dall'Unione Europea?
Devi rispettare anche i requisiti del Paese in cui si trovano, predisponendo una privacy policy personalizzata e gli adeguamenti necessari per le normative di riferimento (es. USA e Brasile).
Il mancato rispetto delle norme sulla privacy e cookie law comporta il rischio di ingenti sanzioni che possono arrivare fino al maggior valore tra 20 milioni di euro ed il 4% del proprio fatturato.
"Il 2023 è stato un anno record per le sanzioni dei Garanti europei a tutela della privacy. Le Autorità hanno dato in un solo anno 1,78 miliardi di euro di sanzioni, il 14% in più rispetto al 2022". (fonte: https://www.ilsole24ore.com)
Per questo abbiamo scelto come partner iubenda, azienda leader specializzata in questo settore, composta da un team di legali (anche internazionali per rispondere ai requisiti di ogni Paese) e sviluppatori per garantire tecnologie adeguate e costantemente aggiornate, di cui siamo PARTNER CERTIFICATI, per offrirti una soluzione sicura e completa all'obbligo di adeguamento legale.
La legge obbliga ogni sito/app che raccoglie dati ad informare gli utenti attraverso un documento 'privacy policy' e 'cookie policy'.
1) La privacy policy deve contenere alcuni elementi fondamentali, tra cui:
2) La cookie policy descrive invece le diverse tipologie di cookie installati attraverso il sito, le eventuali terze parti cui questi cookie fanno riferimento – incluso un link ai rispettivi documenti privacy policy e cookie policy e moduli di opt-out – e le finalità del trattamento.
Deve permettere di gestire ogni preferenza da parte degli utenti.
E' possibile usare un documento generico?
Non è possibile utilizzare documenti generici in quanto l’informativa deve descrivere in dettaglio il trattamento dati effettuato dal proprio sito/app, elencando anche tutte le tecnologie di terza parte utilizzate (es. pulsanti Like di facebook o mappe di Google Maps, tipologia di profilazione per chi usa Adwords...essere in conformità alla recente 'Google Consent Mode V2, etc).
E se il mio sito non tratta alcun dato?
È molto difficile che il tuo sito non tratti alcun dato. Bastano infatti un semplice modulo di contatto o un sistema di analisi del traffico come Google Analytics per far scattare l’obbligo di predisporre e mostrare un’informativa.
Oltre a predisporre una cookie policy, per adeguare un sito web alla cookie law è necessario mostrare un cookie banner alla prima visita di ogni utente (che deve rispettare determinate caratteristiche 'grafiche' e di contenuto, come da indicazioni pubblicate sul sito del Garante) e acquisire il consenso all’installazione dei cookie. Alcuni tipi di cookie vanno infatti rilasciati solo dopo aver ottenuto un valido consenso da parte dell’utente.
Cos’è un cookie?
I cookie servono a memorizzare alcune informazioni sul browser dell’utente durante la sua navigazione sul sito. I cookie sono ormai indispensabili per consentire il corretto funzionamento di un sito. In più, molte tecnologie di terza parte che siamo soliti integrare nei nostri siti, come anche un semplice widget video di YouTube, si avvalgono a loro volta di cookie.
Ogni sito deve essere analizzato per individuare ed elencare ogni tipologia di cookie che raccoglie, anche di servizi di terze parti, e permettere agli utenti la completa gestione.
Oltre a predisporre una cookie policy adeguata al GDPR o alle normative extra CEE, il tuo sito / landing page, deve essere configurato anche per questo tipo di cookie, il servizio offerto ti permetterà di renderlo conforme ai requisiti che Google impone per l'utilizzo di questo tipo di servizi.
Ai sensi del GDPR, se l’utente ha la possibilità di immettere direttamente dati personali sul sito/app, ad esempio compilando un form di contatto, di registrazione al servizio o di iscrizione alla newsletter, è necessario raccogliere un consenso libero, specifico ed informato, nonché registrare una prova inequivocabile del consenso.
Cosa si intende per consenso libero, specifico ed informato?
È necessario raccogliere un consenso per ogni specifica finalità di trattamento – ad esempio, un consenso per inviare newsletter e un altro consenso per inviare materiale promozionale per conto di terzi. I consensi possono essere richiesti predisponendo una o più checkbox non pre-selezionate, non obbligatorie ed accompagnate da dei testi informativi che facciano capire chiaramente all’utente come saranno utilizzati i suoi dati.
Come è possibile dimostrare il consenso in modo inequivocabile?
È necessario raccogliere una serie di informazioni ogniqualvolta un utente compila un modulo presente sul proprio sito/app. Tali informazioni includono:
La email che ricevo dall’utente a seguito della compilazione del modulo non è una prova sufficiente del consenso?
Purtroppo non è sufficiente, in quanto mancano alcune informazioni necessarie a ricostruire l’idoneità della procedura di raccolta del consenso, come la copia del modulo effettivamente compilato dall’utente e la versione della policy privacy accettata.
Analogamente al GDPR, anche per la LGPD brasiliana il titolare del trattamento deve dimostrare, attraverso l’archiviazione di una prova, di aver raccolto correttamente il consenso dell’utente.
Rientri nell’ambito di applicazione della LGPD se tratti dati di persone che si trovano all’interno del territorio brasiliano, indipendentemente dalla nazionalità (anche se queste si trovavano in Brasile solo al momento della raccolta dei dati, e da allora si sono spostate).
Il CCPA (California Consumer Privacy Act) impone che agli utenti californiani venga data informazione del come e del perché i loro dati vengono utilizzati, i loro diritti in merito e come possono esercitarli, incluso il diritto di esercitare l’opt-out, è necessario inserire un link “Do Not Sell My Personal Information”(DNSMPI) sia all’interno dell’avviso di raccolta dati mostrato alla prima visita dell’utente, che in un altro punto del sito facilmente accessibile dall’utente (una best practice è quella di includere il link nel footer del sito).
Il CCPA può applicarsi a qualunque organizzazione che tratta o che potrebbe potenzialmente trattare informazioni personali di utenti californiani, indipendentemente dal fatto che l’organizzazione si trovi o meno in California.
La newsletter è uno strumento di email marketing incredibilmente potente. È un mezzo conveniente per costruire e consolidare le relazioni con i propri clienti, ma potrebbe anche costarti caro se non osservi gli obblighi di legge.
Poiché i moduli di iscrizione alla newsletter sono strumenti di raccolta dei dati, ai sensi della normativa europea , se stai pensando o stai già effettuando attività di invio di newsletter, hai l’obbligo legale di dotarti di una privacy policy completa, ed è obbligatorio ottenere il consenso informato dell’utente prima di sottoscriverlo al servizio. L’acquisizione del consenso deve avvenire in due fasi che comprendono informare l’utente e ottenere il consenso attraverso un’azione libera e 'registrata'.
Il consenso deve essere esplicito e verificabile. ottenuto con una chiara azione di “opt-in”, in quanto il regolamento europeo vieta espressamente le caselle pre-selezionate ed altri metodi alternativi di “opt-out”, l’utente deve intraprendere un’azione positiva diretta (che può includere una qualsiasi azione di consenso verificabile, compreso l’invio di un’email o il click su una checkbox che venga registrato secondo i requisiti di legge), gli utenti devono avere la possibilità di revocare il consenso in qualsiasi momento.
Le implicazioni legali della non conformità comprendono sanzioni salate sia nell’UE che negli Stati Uniti, con multe che variano da decine di migliaia a milioni di euro. Ma forse altrettanto preoccupanti sono le altre potenziali sanzioni che potrebbero essere attuate contro le organizzazioni che risultano essere in violazione. Queste sanzioni comprendono rimproveri ufficiali (per la prima violazione), valutazioni periodiche della protezione dei dati e responsabilità per i danni.
Il GDPR, in particolare, offre agli utenti il diritto esplicito di sporgere denuncia presso un’autorità di vigilanza se ritengono che il trattamento dei loro dati personali sia stata effettuato in violazione delle norme. Pertanto, ad esempio, se viene presentata un’istanza di violazione normativa all’autorità, questa può scegliere di eseguire una verifica delle operazioni di trattamento. Se si scopre che alcune attività di trattamento sono state eseguite illegalmente, non solo viene comminata una sanzione, ma è possibile che venga anche interdetto l’utilizzo sia dei dati oggetto dell’indagine che di quelli acquisiti con meccanismi simili.
Con il Generatore di Termini e Condizioni possiamo predisporre per te un documento di Termini e Condizioni personalizzato per il tuo sito web o app. I Termini e Condizioni di iubenda vengono generati attingendo da un database di clausole redatte e continuamente revisionate da un team internazionale di avvocati.
RICEVI UNO SCONTO DEL 10%
sull'acquisto del pacchetto servizi di iubenda per il primo anno
Importante: abbiamo scelto una soluzione professionale e legalmente accurata, e faremo del nostro meglio per adeguare il tuo sito/app alle normative, ma non siamo dei legali e non possiamo dunque offrirti una completa garanzia di conformità su misura per la tua azienda. Se desideri la certezza del rispetto di tutte le possibili norme, è necessario coinvolgere un avvocato che si occupi in prima persona di revisionare a 360° la tua attività, anche al di là di quanto necessario ai fini dell’adeguamento del tuo sito/app (di cui potrà darti conferma sul servizio una volta implementato o di eventuali clausole da integrare), ma anche per le tue attività offline, come ad esempio i documenti per la nomina dei responsabili del trattamento dei dati (oltre al Titolare del trattamento), o l'eventuale obbligo di nominare un DPO, o di tenere un registro delle attività del trattamento dei dati (anche questo servizio possiamo offrirtelo se rientri in questa tipologia di realtà aziendale).
JL Graphic design - Strada Riviera - Roncoferraro - Mantova - info@jlgraphicdesign.it - p.iva 02216860201