Le regole base del GDPR, indipendentemente dal CMS che utilizzi
-
Mi avventuro in questo tema delicato e ostico cercando di dare una visione il più possibile semplice (tecnica e non legale) di cosa voglia dire rispettare il GDPR su un sito web.
Il sito web è uno degli "n" elementi oggetto di trattamento privacy in un'azienda, e quindi, per i responsabili aziendali va inquadrato in un contesto complessivo.Ma torniamo al nostro sito, mi rifarò alle linee guide pubblicate a Luglio 2021 ed entrate in vigore dal gennaio 2022.
Partiamo dal riepilogo, cosa dovresti fare:
•Devi mostrare un cookie banner alla prima visita dell’utente (a meno che non installi solo
cookie “strettamente necessari”)
•Nel banner del sito va incluso un link alla cookie policy per approfondimenti sull’uso dei cookie
•Nel banner va inclusa la possibilità di accettare o rifiutare tutti i cookie
•Bisogna offrire all’utente la possibilità di scegliere a quali cookie acconsentire, almeno per
categorie
•Bloccare i cookie non necessari prima di aver ottenuto il consenso (informato) dell’utente
•Salvare una prova del consenso che ha ottenuto secondo i criteri GDPR
•Predisporre una privacy e cookie policy per descrivere il trattamento dati, anche al di là dei
cookie
•Salvare tutti i consensi ottenuti in un registro dei consensiNe ho davvero bisogno? E se il mio sito web non usa cookie?
Praticamente tutti i siti web usano cookie per funzionare. Anche i servizi di terza parte che spesso integriamo sui nostri siti e sulle nostre app – come Google Analytics, i pulsanti di Facebook o i video di YouTube – installano cookie.
Per questo, è davvero molto difficile non usare cookie. In più, le nuove linee guida si applicano anche a qualsiasi altro strumento di tracciamento.Al di là dei cookie, ci sono poi molti altri requisiti da rispettare. Anche un semplice modulo di contatto (il form) comporta l’uso dei dati dell’utente e rende necessario l’adeguamento al GDPR.
Ma quanti tipi di cookie ci sono?
I cookie sono utilizzati per effettuare tracciamenti e possono essere suddivisi in due
macro categorie: cookie tecnici e cookie di profilazione.Cookie tecnici
I cookie tecnici sono strettamente necessari al funzionamento del sito web. Se si
usano questi cookie, è necessario dotarsi di una cookie policy.Cookie di profilazione
I cookie di profilazione servono a creare profili personalizzati relativi ai tuoi utenti per finalità
pubblicitarie e di marketing. Si tratta dei cookie utilizzati da quasi tutte le tecnologie di terza parte che siamo soliti integrare sui nostri siti e sulle nostre app, dai pulsanti di Facebook ai video di YouTube. La presenza di questi cookie, oltre a rendere necessaria la cookie policy, introduce l’obbligo di :- mostrare un cookie banner alla prima visita dell’utente, bloccare preventivamente i cookie di profilazione e raccogliere un idoneo consenso (informato) per poterli installare
Ma cosa dobbiamo fare per adeguare il sito alle nuove regole?
Se il tuo sito web usa cookie di profilazione, ad esempio per mezzo di un servizio di terza parte che hai integrato, è necessario mostrare un cookie banner al primo accesso dell’utente, così da acquisirne un valido consenso.
Prima di aver ottenuto il consenso (o il rifiuto), questi cookie devono essere bloccati.
Il banner deve includere:
Un’informativa breve che faccia subito chiarezza sull’uso dei cookie e sulle relative finalità,
insieme con un link a un pannello delle preferenze dove l’utente può scegliere a quali cookie acconsentire, almeno per categorie;
la possibilità di accettare tutti i cookie o rifiutarli in blocco senza prestare il consenso.
Privacy e Cookie policy, oltre al pannello delle preferenze devono essere accessibili da ogni pagina del sito, non solo dal banner.
Cookie policy
Nella cookie policy dovrai spiegare in dettaglio ai tuoi utenti:
•quali sono le tipologie di cookie installate dal tuo sito;
•chi sono i soggetti terzi che gestiscono cookie tramite il tuo sito;
•le finalità di utilizzo dei cookie.La cookie policy deve essere predisposta in tutte le lingue in cui il tuo sito web è disponibile.
Quindi se hai un sito multilingue…..Raccolta del consenso
L’utente deve prestare il consenso alla profilazione mediante un’azione positiva ed esplicita, come il click su un pulsante di accettazione nel cookie banner.
Lo scorrimento della pagina non è valido e non sono ammesse barriere che precludano l’accesso al sito se non si accetta l’uso dei cookie. Infine, non è possibile richiedere più volte il consenso allo stesso utente.Consenso granulare o per categoriae
Devi offrire agli utenti una scelta granulare.
Per esempio, l’utente deve poter scegliere di acconsentire all’installazione dei cookie statistici, ma non di quelli pubblicitari. Il pannello delle preferenze di tracciamento da cui l’utente effettua questa scelta deve essere accessibile dal cookie banner e da ogni pagina del sito.Prova del consenso
Il titolare (il tuo cliente, non tu che hai sviluppato il sito) del sito web deve poter dimostrare di aver ottenuto un consenso valido. È necessario quindi raccogliere una prova del consenso e tenerne traccia in un apposito registro dei consensi.
Il registro dei consensi deve includere almeno i seguenti dettagli:
chi ha fornito il consenso;
quando e come è stato acquisito il consenso.Ogni utilizzatore del sito deve poter conoscere qual'è il codice (Privacy-id) associato ai suoi consensi e il Cliente deve poter accedere al pannello del sistema di privacy per estrarre le informazioni in caso di verifiche.
Oltre i cookie: privacy policy
Rendere il proprio sito web “a prova di cookie”, rispettando le linee guida del Garante, è un
passo nella giusta direzione, ma c’è di più…
Per un sito conforme al GDPR, è necessario dotarsi anche di una privacy policy. La privacy policy, in estrema sintesi, è il documento in cui illustri ai tuoi utenti il trattamento dati effettuato attraverso il tuo sito o app.
Inoltre, per poter effettuare alcuni trattamenti – per esempio, inviare newsletter o compilare e inviare dei moduli – devi acquisire un idoneo consenso da parte dei tuoi utenti.
Disclaimer: Le informazioni fornite in queste pagine sono meramente a scopo informativo/tecnico e non costituiscono una consulenza legale
-
Post esaustivo per quanto concerne i cookie, ho una perplessità sul registro dei consensi, mi rifaccio a vecchie discussioni su questo discorso e ai molti articoli letti a suo tempo.
Il registro dei consensi o delle preferenze dei cookie non è un obbligo di legge, il garante si era anche espresso in merito indicando come soluzione per dimostrare la scelta dei consensi da parte di un utente, l'utilizzo di un cookie tecnico da parte della sistema di gestione dei cookie.
L'equivoco era nato dal fortissimo marketing su questo aspetto da parte di alcune piattaforme che erogano servizi di "privacy". -
Diciamo che questo che hai illustrato è solo la parte tecnica "relativa" alla gestione dei cookie e dei consensi.
L'applicazione del GDPR si basa sull'accountability, ovvero il processo per cui ognuno diventa responsabile delle proprie azioni.
I cookie e i consensi sono solo la punta di un iceberg, se non si struttura la propria azienda a recepire questo regolamento è tutto inutile se ho la gestione dei cookie e dei consensi in ordine senza aver predisposto le procedure aziendali.Siamo qui perché non sappiamo come fare.
Non c'è provare, c'è solo fare.Quel che posso faccio, quello che non posso non faccio.
-
Credo che su questo argomento sia opportuno dire con forza che di base essere compliance con la Gdpr è un onere che è in capo alle aziende, i webmaster/web designer ricoprono il compito di tecnici che devono approntare le misure per rendere a norma il sito in base ai trattamenti effettuati.
Oltre ai cookie come minimo bisogna rendere conforme qualsiasi form di contatto che deve avere una o più check box di accettazione dei trattamenti e relativo collegamento alle informative, ad esempio una sola se si effettuano solo attività di comunicazione per erogare un servizio o poco più, più check box se con il form si vuole fare iscrivere un utente ad una newsletter o deve accettare anche dei termini di servizio o deve anche registrarsi al sito.
A monte dovrebbe esserci sempre uno studio da parte dell'azienda, preferibilmente con un esperto in materia, partendo da analizzare i vari trattamenti effettuati in base ai servizi implementati sul sito, in seguito confrontarsi con chi realizza il sito per rendere conforme ogni aspetto relativo ai suddetti servizi.
Il discorso è estremamente ampio e le casistiche sono parecchie.
Joomla ha un plugin dedicato nel core, la privacy tool suite, se non mi ricordo male attivo dalla versione 3.9, estremamente potente e con funzionalità mirate.
Da questo punto di vista è uno dei cms più "attrezzati" se non quello meglio preparato. -
@Gioacchino ha detto in Le regole base del GDPR, indipendentemente dal CMS che utilizzi:
Diciamo che questo che hai illustrato è solo la parte tecnica "relativa" alla gestione dei cookie e dei consensi.
L'applicazione del GDPR si basa sull'accountability, ovvero il processo per cui ognuno diventa responsabile delle proprie azioni.
I cookie e i consensi sono solo la punta di un iceberg, se non si struttura la propria azienda a recepire questo regolamento è tutto inutile se ho la gestione dei cookie e dei consensi in ordine senza aver predisposto le procedure aziendali.L'ho specificato all'inizio del post che è solo una documentazione tecnica
-
@Lucantropo ha detto in Le regole base del GDPR, indipendentemente dal CMS che utilizzi:
Credo che su questo argomento sia opportuno dire con forza che di base essere compliance con la Gdpr è un onere che è in capo alle aziende, i webmaster/web designer ricoprono il compito di tecnici che devono approntare le misure per rendere a norma il sito in base ai trattamenti effettuati.
Oltre ai cookie come minimo bisogna rendere conforme qualsiasi form di contatto che deve avere una o più check box di accettazione dei trattamenti e relativo collegamento alle informative, ad esempio una sola se si effettuano solo attività di comunicazione per erogare un servizio o poco più, più check box se con il form si vuole fare iscrivere un utente ad una newsletter o deve accettare anche dei termini di servizio o deve anche registrarsi al sito.
A monte dovrebbe esserci sempre uno studio da parte dell'azienda, preferibilmente con un esperto in materia, partendo da analizzare i vari trattamenti effettuati in base ai servizi implementati sul sito, in seguito confrontarsi con chi realizza il sito per rendere conforme ogni aspetto relativo ai suddetti servizi.
Il discorso è estremamente ampio e le casistiche sono parecchie.
Joomla ha un plugin dedicato nel core, la privacy tool suite, se non mi ricordo male attivo dalla versione 3.9, estremamente potente e con funzionalità mirate.
Da questo punto di vista è uno dei cms più "attrezzati" se non quello meglio preparato.Esatto, noi come sviluppatori del sito siamo semplici esecutori e dobbiamo cercare la soluzione tecnica. La responsabilità legale è sempre in capo al Committente.
Gestendo siti su diverse piattaforme abbiamo scelto una soluzione indipendente esterna a Joomla, in modo da avere una piattaforma unica.
-
@Lucantropo ha detto in Le regole base del GDPR, indipendentemente dal CMS che utilizzi:
Post esaustivo per quanto concerne i cookie, ho una perplessità sul registro dei consensi, mi rifaccio a vecchie discussioni su questo discorso e ai molti articoli letti a suo tempo.
Il registro dei consensi o delle preferenze dei cookie non è un obbligo di legge, il garante si era anche espresso in merito indicando come soluzione per dimostrare la scelta dei consensi da parte di un utente, l'utilizzo di un cookie tecnico da parte della sistema di gestione dei cookie.
L'equivoco era nato dal fortissimo marketing su questo aspetto da parte di alcune piattaforme che erogano servizi di "privacy".Alcune piattaforme ti obbligavano anche a registrare il codice del form utilizzato....Ma fa parte del gioco. Nel dubbio scelgo sempre la soluzione più conservativa, e quindi preferisco tracciare i consensi.
-
@pstrada ha detto in Le regole base del GDPR, indipendentemente dal CMS che utilizzi:
@Gioacchino ha detto in Le regole base del GDPR, indipendentemente dal CMS che utilizzi:
Diciamo che questo che hai illustrato è solo la parte tecnica "relativa" alla gestione dei cookie e dei consensi.
L'applicazione del GDPR si basa sull'accountability, ovvero il processo per cui ognuno diventa responsabile delle proprie azioni.
I cookie e i consensi sono solo la punta di un iceberg, se non si struttura la propria azienda a recepire questo regolamento è tutto inutile se ho la gestione dei cookie e dei consensi in ordine senza aver predisposto le procedure aziendali.L'ho specificato all'inizio del post che è solo una documentazione tecnica
Certo, ho solo sottolineato.
