Di Riccardo Esposito | Pubblicato il - Aggiornato il
Il Regolamento Generale sulla Protezione dei Dati, noto con l’acronimo GDPR (General Data Protection Regulation), è una legge dell’Unione Europea che è entrata in vigore il 25 maggio 2018. Il suo scopo principale è garantire la protezione e la privacy dei dati personali dei cittadini dell’Unione Europea.
L’entrata in vigore del temutissimo GDPR è ormai imminente. Il 25 maggio prossimo, infatti, il Regolamento europeo 679/2016 diventerà pienamente esecutivo.
Tu hai già adeguato il progetto editoriale e il sito web? Hai paura di tutto ciò che succederà dopo questa data? Come gestire gli adempimenti sul web? Vediamo, nel dettaglio, gli adempimenti che riguardano l’adeguamento di siti e blog.
Cos’è il GDPR: significato e definizione
Indice dei contenuti
Il GDPR è l’acronimo di General Data Protection Regulation, il regolamento generale (adottato il 27 aprile 2016) sulla protezione dei dati. Tutto questo viene introdotto dalla Commissione europea per migliorare e uniformare la tutela dei dati personali dei residenti e dei cittadini dell’Unione europea.
Le sanzioni legate al GDPR? Come suggerisce l’art. 83, paragrafo 4, si arriva fino a 10 milioni di euro, o al 2% del volume d’affari globale registrato nell’anno precedente. In alternativa, riportano i paragrafi 5 e 6, la somma arriva fino a 20 milioni di euro o fino al 4% del volume d’affari. GDPR in sintesi: cosa devi fare? Bisogna conoscere in maniera adeguata i principi, si deve tenere a mente lo scopo finale cui tende il GDPR (tutela dati personali), si deve considerare l’importanza dei dati personali. Che, dall’articolo 1 del Regolamento, sono innalzati a diritto fondamentale dell’uomo.
Quando entra in vigore il GDPR
Non ci saranno rinvii e non ci saranno deroghe. Il 25 maggio, infatti, scadrà il termine ultimo per l’adeguamento. Il Regolamento 679/2016, è bene sottolineare questo aspetto, è stato emanato nel 2016.
Quindi è già in vigore e il termine ultimo per l’adeguamento, punto oltre il quale la normativa sarà pienamente esecutiva, scadrà appunto il prossimo 25 maggio.
Questo è tutto, non ci sono alternative e altre scappatoie per prolungare i tempi di attuazione del GDPR. Nessun rinvio, nessuna possibilità di differimenti. Non ci sono eccezioni e modi per sfuggire: devi allinearti alla normativa in questione.
Da leggere: come fidelizzare i clienti
GDPR: significato e principi fondamentali
Molti chiedono cosa fare per mettersi in regola. Il GDPR impone un cambio radicale di approccio rispetto alla normativa precedente. Non si prevedono norme generali e astratte che possano essere applicate al caso concreto. Non ci sono norme che indichino quali misure adottare in concreto per risultare compliance alla normativa.
Il Regolamento europeo, infatti, prevede diversi elementi generali senza tuttavia indicare come si possano in concreto applicare gli stessi. C’è il principio, spetta al singolo individuare le modalità operative per applicare quel passaggio.
Il motivo di questa impostazione risiede nel fatto che solo chi vive in prima persona la realtà che deve adeguarsi al GDPR può capire come sia possibile farlo in concreto.
Adeguamento GDPR: ogni sito è unico
Quando si parla di adeguamento al GDPR in molti vanno alla ricerca di modelli standard da applicare indifferentemente a più siti, magari compilando unicamente i campi vuoti di un modulo generico. Quante volte mi sono sentita dire:
“Mi servirebbe un modello standard così lo uso su tutti i siti che gestisco”.
Non c’è nulla di più sbagliato. Non tutti i siti raccolgono gli stessi dati, li trattano per le stesse finalità, utilizzano gli stessi strumenti. Ogni realtà è a sé.
Certo è più facile, comodo e magari economico utilizzare modelli già pronti. O addirittura copiare e incollare ciò che si trova online. Attenzione, c’è qualche soluzione preconfezionata che ispira fiducia? In realtà potrebbe non tutelare.
Il modello standard, infatti, per definizione deve abbracciare il più alto numero di ipotesi. Ed espone il singolo al pericolo di non essere completamente tutelato.
Come adeguare l’invio newsletter al GDPR
Quindi, ecco la domanda che si fa largo: come adeguare i siti web al GDPR? Il punto dolente è la gestione della newsletter. I principi da tenere presenti sono 3:
Minimizzazione dei dati
Deve essere raccolta la minor quantità di dati possibile per raggiungere quella specifica finalità per la quale i campi vengono compilati. Questo significa che per l’invio della newsletter è sufficiente richiedere solo l’indirizzo mail.
Informativa
Le persone devono avere notizie chiare e senza ombre. Quindi devono essere informate delle finalità per le quali vengono raccolti i dati e dei diritti che spettano.
Consenso
L’utente deve rilasciare il consenso al trattamento dei propri dati per le finalità indicate. Cosa comporta? La gestione della newsletter dovrà avvenire in conformità a questi principi. Di conseguenza? Cosa significa questo? Ecco 3 punti:
- L’iscrizione alla newsletter dovrebbe richiedere unicamente la mail (o al massimo il nome dell’utente se si vogliono personalizzare i messaggi).
- Qualora vengano richiesti altri dati andranno specificate le finalità per le quali vengono domandati (finalità che non potranno essere quelle dell’invio della newsletter).
- Prima del tasto iscrizione devi mettere un sistema (basta una casella di accettazione non flaggata) per il rilascio del consenso e l’accettazione della privacy policy.
Attenzione ai dati degli utenti già iscritti. Andrà predisposta un’integrazione di informativa che renda l’acquisizione di quei dati in linea con le nuove disposizioni.
Informativa privacy GDPR: cosa fare?
Le informazioni che vengono fornite all’utente che rilascia i propri dati sul sito sono contenute nell’art. 13 e seguenti del GDPR. Per approfondire puoi leggere qui il PDF del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio.
Il Regolamento prevede che l’individuo in questione debba essere adeguatamente informato del trattamento cui vengono sottoposti i propri dati, le finalità per le quali si raccolgono, i suoi diritti e le modalità per l’esercizio degli stessi.
Si tratta di informazioni che devono essere date in base a norme specifiche, quindi esiste in questo caso un modello standard? Anche con riferimento all’informativa da predisporre per l’interessato la risposta è negativa.
L’unico modello standard che si può utilizzare è quello indicato dallo stesso Regolamento, ossia l’elencazione dei dati che deve contenere l’informativa. Si può quindi partire da questa per costruire un’informativa ad hoc per ogni singola realtà.
Dove inserire l’informativa? In una sezione apposita del sito, ma chiaramente visibile nella home page. Per quanto concerne specificamente la newsletter l’informativa deve essere indicata e linkata anche nel relativo box di iscrizione.
Il consenso con il GDPR: cosa cambia?
Da dove iniziamo? Il soggetto al quale si riferiscono i dati deve rilasciare il proprio consenso al trattamento dei dati. Il consenso deve essere rilasciato per ogni singola finalità e deve risultare da un’attività specifica del soggetto. Quindi?
Ogni singola finalità dovrà essere indicata e appositamente accettata. Inoltre dovranno essere predisposte caselle da flaggare e non già pre-flaggate.
Non basterà un unico consenso per tutte le finalità, quindi una sola casella per più scopi non sarà da considerare in linea. E non basterà per essere a norma.
Plugin WordPress per gestire il GDPR
Ci sono dei plugin WordPress che danno la possibilità di gestire al meglio permessi consensi e spunte per ottenere buoni risultati rispetto alle nuove regole del GDPR? Ci sono due nomi che devono essere segnati in agenda, ecco i link:
Oltre ai plugin, è giusto ricordare che con WordPress 4.9.6 si possono attivare una serie di strumenti utili per la gestione della privacy policy. In particolar modo si può creare una pagina specifica, linkata in ogni sezione del blog, e si può attivare uno strumento per esportare e cancellare i dati su richiesta dell’utente.
Il legittimo interesse diventa centrale
Come adeguarsi al GDPR? Sconsiglio vivamente di basare il trattamento dei dati personali sul legittimo interesse, soprattutto se si trattano per finalità di marketing. Il legittimo interesse prevede una valutazione soggettiva che deve essere effettuata dal titolare del trattamento (ossia da chi raccoglie i dati).
Questo percorso, ai fini probatori, deve essere documentato. Ossia bisogna essere in grado di ricostruire il procedimento logico con il quale si è arrivati a ritenere sussistente il legittimo interesse.
Attenzione a un tema caldo: cosa succederebbe se in caso di controlli o verifiche da parte della Autorità questa dovesse ritenere errato il procedimento logico seguito?
Il trattamento sarebbe illecito e scatterebbero le relative sanzioni (che sono le più alte in assoluto di tutto il Regolamento). In pratica, quindi, sarebbe opportuno ottenere sempre il consenso dell’interessato, anche per le finalità di marketing.
Devi occuparti della gestione dei dati
Questo è di sicuro il punto più delicato da affrontare: cosa fare per mettersi in regola? Ci sono 2 diversi aspetti di carattere tecnico da considerare. Il primo riguarda la raccolta dei dati, il secondo si riferisce alla gestione degli stessi.
Per quanto riguarda la raccolta bisogna tenere a mente che la persona deve rilasciare il proprio consenso al trattamento dei propri dati, sia quelli che lascia volontariamente (come nel caso della newsletter), sia quelli che vengono forniti in maniera indiretta, per esempio attraverso la profilazione. Nell’informativa è necessario specificare quali dati di navigazione vengono raccolti? Ovviamente sì.
L’utente li può accettare in blocco?
No, bisognerebbe fornire la possibilità di scegliere per quali dati rilasciare il consenso e per quali negarlo. Non tutti i dati vengono raccolti per le stesse finalità, per cui non è possibile consentire un’accettazione in blocco.
Nella pratica è evidente che questa impostazione complichi le cose ed è altrettanto chiaro che possa comportare un procedimento intricato. Ma la lettera della legge impone questa lettura in mancanza di altre indicazioni.
Come funziona la cancellazione dei dati?
Per quanto riguarda la gestione dei dati, invece, si deve ricordare che l’individuo ha il diritto di chiedere la cancellazione dei propri dati. Ci si deve quindi chiedere come si possa materialmente realizzare questa cancellazione.
- Dove sono conservati quei dati?
- Adempiremo correttamente agli obblighi imposti dalla normativa europea?
- Materialmente come si può procedere alla eliminazione?
Bisogna valutare anche questi aspetti che, spesso, vengono sottovalutati. Perché ci si concentra maggiormente sulla raccolta dei dati e sui profili giuridici della stessa.
Il GDPR non riguarda solamente la raccolta dei dati, ma anche la gestione degli stessi. Se si comprendono questi meccanismi adeguare il proprio sito al GDPR sarà sicuramente più facile e agevole di quanto immaginato.
Da leggere: come creare un calendario editoriale
Sei pronto ad affrontare la normativa
La nuova normativa sul GDPR spaventa chi deve gestire il proprio sito web o un blog. Ci sono, però, dei margini di manovra per ottenere buoni risultati. Qualche dubbio? Lascia le tue domande nei commenti, proviamo a risolvere insieme questi punti.
Le regole della privacy. Guida pratica al nuovo GDPR
Un libro dedicato a chi vuole ottimizzare la propria attività rispettando le regole del web. Lo consiglio a chi cerca un testo per dare valore al proprio operato.
Articolo scritto da Federica De Stefani avvocato e autrice di pubblicazioni giuridiche. Il suo ultimo libro è “Le regole della privacy. Guida pratica al nuovo GDPR” edito da Hoepli. Si occupa di diritto delle nuove tecnologie, privacy e contrattualistica. Esperta di ADR (Alternative Dispute Resolution) con specializzazione in materia societaria, è responsabile della regione Lombardia di AIDR e si occupa di media law.
Categoria: Lavoro online
Buongiorno, articolo chiaro che spiega il perché non funzionano le soluzioni preconfezionate. 🙂
Vorrei chiedere a Federica se, a suo avviso, la raccolta dell’IP anonimo con google analytics tramite cookie di navigazione ai fini statistici, senza effettuare profilazione o intrecciare quel dato con alte info della terza parte, rendea effettivamente assimilabile quei cookie a quelli tecnici. Esistono opinioni discordanti in merito… Grazie
La questione è piuttosto controversa. Anche i tecnici con cui mi sono confrontata io hanno pareri discordanti tra di loro. Io nutro grosse perplessità sul fatto che l’IP sia reso anonimo nell’esatto istante in cui l’utente arriva sul sito. E questo comporta grossi problemi di gestione del dato per esempio in caso di richiesta cancellazione. Ad oggi non ho (purtroppo) una risposta certa da dare.
Buongiorno e complimenti per l’articolo.
Leggendolo mi è sorta una perplessità: se in un sito uno
– utilizza google analytics per tracciare il comportamento degli utenti sul sito (banalmente su quali pagine si soffermano di più)
– salva nei cookie alcune scelte utente nella definizione di un prodotto (modello, colore, ecc), perché tale definizione passa attraverso più pagine…tali cookie durano 24 ore
– presenta un form di contatto con nome, cognome, indirizzo mail e telefono (opzionale) che vengono semplicemente inviati alla casella di posta del sito ed utilizzati per ricontattare l’utente
In questo caso come ci si deve comportare?
Grazie mille.
Deve fornire l’informativa, non vedo altre alternative
Ciao Federica, il mio caso è simile a gabriele con la differenza che io non memorizzo nulla nei cookie.
Utilizzando google analytics e avendo una sezione contatti con i semplici campi nome, mail e testo, devo fornire comunque l’informativa?
La mail non la memorizzo, la uso solo per rispondere.
L’informativa consiste nel metter la classica checkbox del consenso e una sezione (popup) che riporta l’informativa? Se si, c’è un testo dove posso copiarla?
Grazie
Bel post, grazie! Un punto non mi è chiaro: occorre ricontattare le persone già iscritte alla newsletter richiedendo un nuovo consenso?
Grazie 🙂
Dipende dalle modalità con cui hai raccolto il consenso. Può essere sufficiente anche una integrazione della informativa, ma dipende sempre da quello che è stato fatto prima.
Buongiorno Federica,
Grazie per l’articolo molto chiaro. Secondo lei se i dati per la newsletter sono stati raccolti in persona con un modulo in cui il cliente firma la conferma dell’invio della news e si esplicita che i dati non vengono ceduti a terzi, si deve richiedere nuevamente la conferma?
buongiorno, ho un blog da pochi mesi, non ho newsletter e nei contatti richiedo solo nome e mail. come devo comportarmi?
Deve specificare la finalità per la quale tratterà quei dati e deve dare l’informativa.
Bisogna anche specificare il tempo di conservazione e dove si trovano i miei dati (UE, extra UE). Io, che mi occupo di supportare professionisti e aziende in ambito GDPR, consiglio comunque di evitare soluzioni “per corrispondenza” o standard. Consiglio un’analisi dei processi aziendali che portino a poter informare correttamente i nostri visitatori e clienti
Concordo. L’analisi dei processi con cui si trattano i dati (sia online che offline) sono indispensabili per l’adeguamento. Ecco perché sono estremamente contraria ai modelli standard.
Buongiorno, complimenti per l’articolo.
Volevo chiederle: nel mio sito ho messo la mia mail nella pagina contatti (stessa visibile nei vari socials), non uso Analytics né ho form di raccolta dati per newsletter. Come mi devo muovere? Grazie molte.
Alessandra Stanga
Deve in ogni caso rilasciare all’utente una informativa relativa al trattamento dei dati
Ma se non viene raccolto alcun dato… come è possibile comporre un’informativa relativa al trattamento di dati ? Ovvero va composta un’informativa in cui si dice semplicemente che non viene trattato alcun dato ??
Mi accodo a questa domanda, anche io vorrei sapere nello specifico che informativa va messa per un sito internet “vetrina”, che quindi altro non fa che informare, senza chiedere dati agli utenti, grazie.
Buongiorno, e grazie per aver fatto un po di luce nel buio!
Ho alcune domande:
Io uso la mia newsletter per fini di marketing, solo io uso i dati e questo è quanto. Posso semplicemente scrivere questo? Il processo logico è che ho bisogno di vendere e?
2. Se dovessi rinunciare alla newsletter quali altri adeguamenti dovrei fare?
3. Tramite il form di contatto del sito ricevo un indirizzo email che uso solo per rispondere alla domanda che mi viene posta. Conta come raccolta dati?
Giulia vado per punti:
1) No, non è sufficiente l’utente deve ricevere tutta una serie di informazioni che ad esempio riguardano i suoi diritti, i dati del titolare del trattamento, il periodo di conservazione…
2) Non so dirlo, bisogna vedere com’è il suo sito
3) conta come trattamento
Federica, la ringrazio, il suo aiuto è prezioso! Nel frattempo ho letto tutto, scritto un sacco e CREDO di essere in regola, anche perché il mio trattamento dei dati è veramente basic, non faccio neanche remarketing o profilazione.
Se non altro è stata una buona occasione per imparare ed informarmi 🙂
Grazie ?
Come acquisisce la mail, la usa solo ai fini di marketing o profilazione? Li trattiene per quanto? Dove?
Buonasera,
Io ho un blog su blogspot con dominio Aruba. Collaboro con aziende e in ogni post cis sono link che riportano alle homepage delle stesse. Ho anche i banner. Non ho newsletter, Na raccolgo dati. Il mio webmaster è in tilt e saprà aggiornarmi il 30…. Sono messa male? Cosa dovrei fare?
Collaborando con aziende per forza lei ha dei dati che tratta. Il primo passo, quindi, è quello di verificare quali dati raccoglie. Deve informare l’interessato delle finalità e delle modalità con cui tratta i dati, nonchè dei diritti che spettano allo stesso. Poi dovrà capire dal lato tecnico se e quali dati raccoglie (ad esempio se fa profilazione).
Collabori con aziende quindi hai dati personali. Verifica i dati che hai (es: nome e cognome del referente di ciascuna azienda con cui collabori). Se usi Analytics o simili hai dei cookie da classificare e del cui uso informare il navigatore del tuo sito. A disposizione
Salve, lei ha risposto al mio messaggio, come recita la mail che mi è arrivata:
“Author: Edoardo
Comment:
Io posso seguirla ma non sono il gestore. Se le va mi scriva in privato (mi trova su LinkedIn) e la supportero’ con piacere”.
Purtroppo, non riesco più a ritrovare il Suo messaggio su questa pagina; pertanto, se Lei è ancora disponibile, La invito a contattarmi via mail a: fran . editor @ libero . it
Grazie
Ciao Francesco,
Questi messaggi vengono cancellati perché non è consentito intavolare discussioni su servizi professionali, contratti e questioni private nei messaggi pubblici. Puoi contattare la persona che vuoi raggiungere attraverso un messaggio di posta privata. Grazie.
letto ma ci ho capito poco…
il caso di sito web personale e non aziendale non si capisce cosa si deve fare.
e i plugin di worpress non li posso usare.
Che il blog sia aziendale o personale poco importa. Bisogna analizzare se e quali dati personali si trattano e partire da questo per dare le informazioni all’interessato e raccogliere il consenso al trattamento.
Complimenti per l’articolo… ho però un dubbio. Ho un blog privato, che gestisco e visualizzo solo io dove raccolgo materiale scolastico… devo comunque fare qualcosa? Anche se non ci sono utenti?
Grazie mille
Il blog non contiene nemmeno un riferimento ai suoi contatti, per esempio una mail?
Si c’è il riferimento al mio account Google… è con blogger
Deve quindi specificare come utilizzerà l’indirizzo mail dal quale verrà contattato
Ciao Riccardo! Ma io stavo pensando una cosa, se il mio blog raccoglie solo dati con Analytics, una volta che ho messo il tracciamento dei dati in modo anonimo (facilmente implementabile) che dati raccolgo? Bypassando Mailchimp che l’utente una volta che mette il suo indirizzo ha dato il suo consenso in automatico (magari con email automatica “se sei stato aggiunto per sbaglio cancellati qui).
Sbaglio?
Per analytics il problema è piuttosto complicato e soprattutto controverso per 2 diversi motivi. Il primo è che non si tratta di una vera e propria anonimizzazione, ma di una pseudoanonimizzazione e quindi il dato non è anonimizzato. In secondo luogo il problema riguarda la gestione del dato nel momento in cui per esempio l’interessato dovesse chiedere la cancellazione dei suoi dati.
Per quanto riguarda Mailchimp non basta che l’utente inserisca il proprio indirizzo, deve anche essere informato riguardo a finalità e trattamento, oltre che dei diritti che gli spettano.
Poi bisognerebbe guardare il sito per dire se e quali altri dati vengono raccolti.
Gentile,
ho pubblicato due miei siti personali: in uno, a parte una breve nota biografica, ho segnalato i link ai profili social e un indirizzo di posta elettronica per potermi contattare; nell’altro, che è una pagina di cortesia, con un riferimento ai contenuti che pubblicherò eventualmente in futuro, soltanto l’indirizzo di posta elettronica. Devo inserire anche l’informativa sulla privacy? A giudicare dalla maggior parte dei siti personali di personaggi famosi, compresi molti politici, parrebbe di no. Condizionale d’obbligo, perché alcuni l’hanno inclusa. Nel caso fosse obbligatoria, dove posso trovare un testo essenziale da copiare? Grazie.
Nel sito personale del Garante Antonello Soro c’è ancora una versione obsoleta, tra l’altro semplificata. In quello del Vicepresidente Augusta Iannini, manca del tutto. Ma i comuni mortali sono costretti a scervellarsi, però. È l’Italia, signori!
Vi supplico, illuminatemi: se ne sito inserisco un indirizzo email per farmi contattare, oltre a pubblicare l’informativa (di solito collocata nel footer della pagina), devo anche metterci il classico riquadro con l’avviso “Contattandomi attraverso la posta elettronica, dichiari di aver letto e accettato l’informativa sulla privacy”, con l’opzione da spuntare? Toglietemi anche un’altra curiosità, per favore. L’indirizzo che ho pubblicato su Instagram e Twitter nella bio-line dei miei profili, consente lo stesso agli utenti di contattarmi inviandomi dati personali. Perché il GDPR non vale per gli indirizzi email messi nei profili dei social network? Vi ringrazio per la pazienza.
Avvocato De Stefani, La ringrazio per aver risposto in privato. Purtroppo, non riesco a fare lo stesso anche io, perché risulta impossibile inoltrare nuovi messaggi alla sua casella di posta. Pubblico i mio indirizzo email in un sito personale classico, con biografia, sezione foto e pagina dei contatti (email e link ai vari profili dei social network). Se inserissi l’Informativa in un’altra pagina del sito, linkandola da quella principale, potrei stare tranquilla? Grazie.
La risposta in privato è stato un mio errore, rispondo sempre pubblicamente perchè possa essere utile a tutti, quindi mi scuso.
Copio qui sotto la prima risposta, in modo che sia visibile a tutti.
Dipende da come e dove pubblica l’indirizzo mail. Non è necessario avere il modulo di contatto, però in questo caso dovrà fornire l’informativa al primo contatto.
Per quanto riguarda, invece, gli indirizzi mail inseriti dei profili social chi ha detto che il GDPR non vale?
Per la specifica che mi chiede ora preciso che l’informativa deve essere consultabile, quindi è possibile linkarla, ma dovrei analizzare il sito per poterle dire se va bene o meno come l’ha inserita lei.
Chiedo perdono, ma trovo insensato mettere un’informativa sulla privacy quando presente solo una mail di contatto: a questo punto allora non si è più liberi di dare una mail, un numero di telefono o qualunque cosa di personale per poter essere contattati senza informare della GDPR.. La mail ormai la si trova ovunque, su riviste, volantini e quant’altro, a questo punto la GDPR va stampata e allegata ovunque..
Lei indica una mail di contatto, ossia un indirizzo al quale l’utente la può contattare. L’utente le fornisce un dato personale (la sua mail) e lei anche solo per rispondere tratta questo dato personale, per cui deve informare l’utente del trattamento cui è soggetto questo dato. Può inserirla nel sito nel quale indica la mail o allegarla alla risposta in caso di contatto.
Stefano, infatti è insensato. Per evitare di ammorbare il prossimo, bastava ispirarsi alla normativa canadese e statunitense, ma il senso di tutto ciò è probabilmente una ferrea volontà di limitare le interazione tra chi gestisce un sito e gli utenti che lo seguono, tappando per primis la bocca ai blogger che non potranno più rimanere anonimi.
Avvocato De Stefani, ho un’ultima curiosità: il Garante italiano ha stabilito che i gestori dei siti possano registrare domini anonimi, chiedendo ai provider di non rendere pubblici i propri dati personali nei registri pubblici. Questo non cozza con l’obbligo di compilare l’informativa costringendoli ad indicare il loro nome, cognome e l’indirizzo di residenza? Oppure, quest’ultimo dato si può omettere nell’informativa?
P.S. Sto aggiornando i contenuti del sito. Le linkerò l’Informativa appena sarà di nuovo online. La ringrazio moltissimo per la disponibilità.
Salve Federica, il mio sito raccoglie la mail paypal per consentire pagamenti di servizi di prorietà (abbonamento per annunci) e prodotti venduti da terzi di cui il mio sito fa da intermediario.
Il trattamento del dato lo fa paypal ma in automatico tramite dei tool paypal acquisisce la mail dal sito per reindirizzare il pagamento sulla propria piattaforma.
in questo caso si deve specificare tutto ciò nell’informativa?
Grazie
Salve Avvocato, La contatto per una questione abbastanza delicata. Gestisco un sito (attualmente oscurato per timore) riguardante un software utile a persone con disabilità. Per questo programma è richiesta una donazione a discrezione dell’utente, comunque non obbligatoria. Il sito è molto semplice e privo di commenti, newsletter e cose similari. Non dispongo di form per contatti ma di un semplice indirizzo mail riportato nell’apposita sezione. L’unico archivio di cui dispongo è rappresentato dalla casella di posta GMail. Conservo le mail degli utenti, necessarie ad attivare il programma, e gli eventuali estratti relativi alle donazioni. L’ammontare annuo di tali contributi non supera i 600€, il numero di utenti totali non supera i 1000 in 10 anni di attività, mediamente 100 nuovi contributori all’anno. Il ricavato viene totalmente reinvestito nell’aggiornamento del programma, nessun lucro quindi.
Mi tocca chiudere questa bella e nobile iniziativa? Non so come dirlo ai “miei” utenti.
La prego mi aiuti, quantomeno a capire cosa fare.
Da settimane leggo articoli ma senza alcuno spiraglio di luce. Leggendo i Suoi interventi la speranza mi è tornata, forse a causa della Sua chiarezza, non saprei.
Confido in Lei, rappresenta davvero la mia ultima spiaggia, dopodiché getterò la spugna.
Grazie in ogni caso e perdoni la prolissità.
Buonasera,
innanzitutto ringrazio per l’articolo esplicativo. Ho una domanda anche io: gestisco il sito di un ristorante in cui vengono dati esclusivamente i contatti telefonici dell’attività. Cosa dovrei fare? Ringrazio e saluto. Francesca
Sono nuova in questo mondo e avrei una domanda. Ho aperto un blog wordpress qualche anno fa. Non dispongo di piano buisness per statistiche, non uso google analytics (almeno a mia conoscenza), pertanto mi basta il plugin gratuito fornito automaticamente da wordpress sui cookie?
Buongiorno,
mi trovo in una situazione paradossale. Ho un sito web dedicato alla flora vascolare della Liguria, in cui:
1) non vi sono banner pubblicitari;
2) non vi sono moduli di contatto;
3) i commenti sono volutamente disabilitati;
4) non utilizzo cookie proprietari;
5) non utilizzo servizi come Google Adsense o Googe Adwards e nemmeno Google Analytics (anche se quest’ultimo mi farebbe comodo);
6) avendo disabilitato i commenti non utilizzo neppure filtri Antispam (Akismet, ecc.) e quindi nessuno traccia gli IP per mio conto, nemmeno quelli degli eventuali “spammoni”…
Tuttavia l’utente ha la possibilità di imbattersi in cookie di terze parti tramite:
1) le gallerie e gli album fotografici che sono ospitati da Flickr (sul server ho molto spazio ma le foto, che sono a risoluzione abbastanza, alta occupando banda rallentano il caricamento delle pagine);
2) i classici pulsanti social (peraltro limitati a Twitter, Facebook e Google+).
Ovviamente nell’informativa estesa sui cookie erano disponibili tutte le informazioni su i cookie di terze parti. Tuttavia rispetto alla Privacy Policy mi trovo di fronte a problemi che la GDPR rende insormontabili, soprattutto se la si interpreta in modo letterale (e non so fare diversamente):
1) chi è il Titolare del Trattamento dati? Visto che il mio sito non raccoglie nessuna tipologia di dati? Ovviamente posso indicare la mia persona fisica (con nome e cognome, residenza, email, ecc.) però mi sembra assurdo indicarmi come “Titolare” di un servizio che sul mio sito non c’è (che dati tratto se non ne raccolgo?);
2) siamo davvero sicuri che come titolare del sito (e qui non ci sono dubbi, purtroppo lo sono…) non debba rispondere dell’utilizzo dei cookie di terze parti, soprattutto se queste operano fuori dallo spazio economico UE? Ovviamente nell’informativa c’erano tutti i collegamenti alle informative cookie e privacy di queste aziende/servizi che, come già indicato, sono Google, Twitter, Facebook e Flickr/SmugMug. Tra l’altro tutte con sede negli USA.
3) siccome il sito è ospitato da un hosting condiviso so comunque che il web host acquisisce alcuni dati (IP, data/ora accesso, referral, tipo di browser, ecc.) senza i quali non potrebbe gestire il servizio e tutelarsi da eventuali hacker. Nell’informativa sulla privacy ho intenzione di indicare che questi dati (elencati dettagliatamente) sono acquisiti e gestiti dal servizio di hosting esterno (precisandone ragione sociale e sede legale) e quindi da un punto di vista dell’informazione fornita sarei esauriente… ma dal punto di vista delle responsabilità legale? Nessun webhost condivide questi dati con il cliente che ha comprato il suo spazio e quindi nessun cliente potrebbe vigilare su un loro eventuale utilizzo illegale che, per quanto improbabile, è in linea teorica possibile…
Resto in fiduciosa attesa di una risposta e ringrazio anticipatamente, nel frattempo tengo oscurato il mio sito e continuo a pagare il servizio di hosting web…
2)
Se non contattate tutti il Garante per la Privacy, sottoponendogli le stesse domande che avete posto qui, non se ne verrà mai a capo. Io l’ho fatto. Non ho avuto risposta, ma sono certo che farà tesoro delle cose che gli ho scritto.
Salve;
mi permetto disturbarLa perché ho avuto modo di leggere la Sua webpage, che trovo davvero molto interessante.
Se non è troppo gravoso per Lei, mi piacerebbe sapere come poter adeguare alla nuova normativa il mio semplice sito-vetrina, che sto pensando di creare, per pubblicizzare la mia attività di traduttore / editor / ghostwriter / correttore di bozze / redattore.
La ringrazio in anticipo, e Le auguro un buon proseguimento di giornata.
Buongiorno, avrei anch’io una domanda: vorrei fare un sito web dove pubblicare dei racconti miei, e dove gli utenti interagirebbero solo lasciando commenti (quindi richiederei solo la mail). Io però in questo sito vorrei rimanere ANONIMO, vorrei cioè che il mio nome/indirizzo non fossero visibili agli utenti. Esiste qualche possibilità, soprattutto in considerazione delle richieste della privacy policy?
Grazie,
Marco
Riguarda tutti i siti. A seconda del livello di trattamenti (solo navigazione, mailing list, profilazione) vcambia il numero è il livello di obblighi da adempiere.
Io consiglio di farsi seguire da professionisti e non sono a conoscenza di software che verifichino il livello di rispetto degli obblighi
Ciao, bell’articolo!
vorrei un consiglio, se possibile: in caso dovessi creare un sito di ambito medico, in cui sia presente un form di contatto con cui gli utenti possano contattare il medico per domande o chiarimenti (quindi un campo di testo aperto), quali procedimenti dovrei attuare per essere in linea con le norme?
Grazie in anticipo della risposta
Sono mesi che attraverso articoli vari, di esperti legali e webmaster, cerco di capire quale possa essere un modo pratico per mettere in atto la GDPR su piccoli siti web ma ho ancora delle perplessità. Sono un grafico e ogni tanto faccio qualche semplice sito “vetrina” col classico modulo contatti, con le stats google e magari qualche pulsante social. La più grossa perplessità è questa: se uso l’email che mi viene fornita in un form e non chiedo altri dati, per rispondere a un preventivo, e non conservo tale email , quindi non conservo questi dati personali e credo si possa dire che nemmeno li tratto e magari ciò viene specificato, perché devo fornire una privacy policy e avere un consenso preventivo all’uso di questi dati se è ovvio che fornendoli dà il suo consenso e lo dà per un uso specifico? Con questa logica anche chiunque mi mandi una email mi fornisce un suo dato personale ma non lo sto raccogliendo, è lui che me lo fornisce e ovviamente me lo fornisce solo ed esclusivamente per rispondergli all’email. Cosa devo rispondergli, “ti faccio il preventivo solo se mi dai l’ok alla mia privacy che trovi nel mio sito web, nel frattempo butto via la tua email e non ti rispondo perché non ho il consenso”? E se mi telefona? Se volessi potrei registrare e “trattare” il suo numero. Anche questo è un dato personale. Leggo addirittura che solo per il fatto di mettere una email di recapito nel sito devo fornire una privacy policy. Un’altra perplessità, i cookie. Devo poter consentire alla persona di scegliere quali cookie installare e quali no. Ma lo deve fare lui attraverso il suo browser o glie lo devo permettere io dal mio sito web? Cordialmente
Ciao Federica,
ho letto attentamente l’articolo e ti ringrazio per essere stata così esaustiva.
Tuttavia, ho una domanda che riguarda il Diritto alla cancellazione («diritto all’oblio»): i dati vanno cancellati dopo tot. tempo (anche se non ne è richiesta la cancellazione da parte dell’utente)? In caso affermativo, c’è un modo per automatizzare la cosa con WP?
Grazie!
Buongiorno Federica,
precedentemente utilizzavo Iubenda, mi hanno riferito che ad esempio in un form di registrazione utente, oltre che mostrare la checkbox con l’ informativa, occorre implementare anche un sistema che registri da qualche parte come in un database il consenso dell’ utente con data e il testo della privacy accettata, è vero?
Grazie mille per quello che scrivi;
Quali sono gli obblighi di un piattaforma web con registrazione che richiede alcuni dati anagrafici (come il codice fiscale) e dati di contatto?
Ho redatto privacy policy e cookie policy; nello specifico ho suddiviso la finalità del trattamento in 3 categorie di cui in ognuna al momento della registrazione raccolgo il consenso al trattamento dettagliato ed ho uno specifico registro del trattamento. Non ho nominato un dpo perché non lo ritengo necessario ed il titolare è la società stessa (persona giuridica).
Cosa devo fare?
per caso…qualche comunicazione al garante? altra cosa … nel registro del trattamento devo inserire tutti i consensi dati dagli utenti?
buongiorno Federica,
sono il proprietario di un ecommerce ovviamente in regola con il GDPR, e con serivizio esterno a pagamento riguardo banner cookies e privacy
il dubbio è che ho molti siti vetrina dove non vengono trattati i dati degli utenti, non traccio nulla, non vendo nulla, sono pagine statiche con qualche foto, un po’ di testo e link verso l’ecommerce
sono in regola oppure devo adeguarmi come per l’ecommerce
grazie