Che tu sia un’azienda o un privato, se hai a che fare con siti web, e-commerce o blog, vuol dire che stai trattando, e magari addirittura tracciando, i dati personali dei tuoi utenti e quindi hai assolutamente bisogno di una politica sulla gestione privacy.
Se termini come cookie, privacy policy o GDPR ti sono estranei continua a leggere questo articolo e vedrai che ti saranno tutti molto più chiari!
Privacy policy: cos’è e quando ti serve
Quando si trattato i dati personali degli utenti è importante che questi vengano informati su quali sono i dati che vengono raccolti, in che modo e cosa se ne fa.
Per questo è nata la privacy policy o informativa sulla privacy: un documento che dichiara quali sono i dati che stai trattando, a che scopo e soprattutto come questi vengono protetti. Questo documento deve essere presente e visibile all’interno della tua pagina web, o come una pagina esterna a cui si accede tramite un link, oppure all’interno di una pagina informativa. Non è importante dove viene collocata, basta che sia presente e ben visibile.
Un documento sulla gestione privacy deve essere scritto e formulato con un linguaggio semplice e chiaro.
È necessario che tu abbia una privacy policy se monitori i dati dei tuoi utenti, se hai un box per le domande e chiedi nome e email o anche soltanto se monitori i movimenti che fanno all’interno del tuo sito.
Cosa si intende per dati personali?
I dati personali di cui devi tenere conto per la gestione privacy si dividono in due categorie: dati sensibili e dati identificativi.
I primi rappresentano tutte le informazioni relative all’etnia, all’orientamento religioso, politico, sessuale, economico e sociale.
I secondi, invece, sono tutti quei dati che, appunto, possono identificare una persona, come i dati anagrafici e l’indirizzo di residenza. Secondo le normative del nuovo GDPR, tra i dati identificativi rientrano anche la geolocalizzazione, l’indirizzo IP, l’e-mail e i cookies.
Cos’è il GDPR?
GDPR è un acronimo e sta per General Data Protection Regulation, si tratta di un regolamento europeo generale sulla protezione dei dati e serve a disciplinare il modo in cui le aziende li trattano. Con il GDPR, la Commissione europea si è posta come obiettivo quello di rafforzare la protezione dei dati personali di tutti gli utenti facenti parte o residenti dell’UE.
Il regolamento sulla gestione privacy nasce nel 2016, ma è entrato in vigore solo a partire dal 25 maggio 2018. Da lì in poi sono state apportante diverse modifiche, fino alle ultime risalenti al 2022.
Questa legislazione tutela la gestione privacy dei dati sia trattati in modo diretto, da un’azienda o da un libero professionista, sia in modo indiretto, come ad esempio con il tracciamento degli insight di Facebook o Google Analytics.
In questo modo ogni individuo è a conoscenza di come vengono utilizzati i propri dati; perciò è molto importante che la privacy policy sia scritta in modo chiaro diretto e trasparente.
Inoltre, le aziende devono avere sempre una copia del consenso dato dagli utenti. Questo serve sia in caso di controlli, che nel caso in cui l’individuo decida di revocare il proprio consenso.
Un’altra sicurezza che il GDPR dà agli utenti è che, nel caso in cui ci sia una violazione dei dati, le aziende sono tenute a informare sia le autorità che le persone interessate entro 72 ore.
Chi esegue i controlli?
L’autorità responsabile del controllo dell’applicazione del GDPR in tutta l’Europa è l’EDPB (European Data Protection Board), il quale è composto dai rappresentanti che si occupano della protezione dei dati di ogni membro dell’UE.
Le organizzazioni che non rispettano il regolamento rischiano sanzioni fino a un massimo di 20 milioni di euro, o al 4% del fatturato annuo.
Quali sono le nuove normative GDPR 2022?
Le nuove normative e linee guida sull’utilizzo dei cookie sono entrate in vigore a gennaio 2022, ma cosa è cambiato?
I cookie permettono di capire se un utente ha già visitato una pagina web in cui atterra e, inoltre, possono dare informazioni circa le attività svolte su quel sito.
Ora vediamo insieme, nello specifico, alcune delle novità introdotte con l’aggiornamento del regolamento GDPR avvenuto quest’anno.
Utilizzo dei banner per l’acquisizione del consenso dell’utente
Da ora in poi il banner è riconosciuto come una modalità valida per richiedere il consenso all’utente, a condizione che contenga un’informativa breve sull’uso dei cookie tecnici, un link diretto alla cookie policy, e, inoltre, deve essere chiaro all’utente quale azione che sta eseguendo. Infine, devono obbligatoriamente essere presenti i tasti “accetta” e “rifiuta”.
Validità del consenso
A differenza di prima, una volta che una persona ha espresso il proprio consenso e preferenze queste sono valide per sei mesi e modificabili solo dall’utente stesso nell’area dedicata del sito web. Una nuova richiesta di consenso può essere effettuata solamente se le condizioni sono cambiate o se sono passati almeno sei mesi.
Prova del consenso
Secondo le nuove disposizioni, l’azienda deve essere in grado di dimostrare di aver ottenuto un consenso valido che segua gli standard del GDPR. Ricordiamo che tale consenso deve sempre essere prestato dall’utente in maniera completamente libera ed autonoma.