Consulenza GDPR per siti web di professionisti e imprese

consulenza gdpr

Il Regolamento generale sulla protezione dei dati personali (GDPR) è la norma europea che regola il trattamento dei dati personali delle persone fisiche. Interessa direttamente imprese, professionisti ed enti che trattano dati personali e il mancato adeguamento può comportare sanzioni molto elevate da parte del Garante Privacy.

Una consulenza GDPR per siti web di aziende e professionisti quindi è fondamentale per valutare le procedure di trattamento in essere e le informative privacy adottate per capire quali sono i correttivi da apportare affinché un sito web sia in regola con la normativa privacy.

Privacy Policy e Cookie Policy sono tra gli argomenti più noti, ma ci sono anche altri ambiti su cui è necessario intervenire, come i form di contatto e le policy aziendali.

In questo articolo ti spiegherò come adeguare un sito web al GDPR e cosa comprende una consulenza GDPR per siti web.

| Cos’è il GDPR e cosa fare per adeguarsi al GDPR

Diventato applicabile il 25 maggio 2018, il GDPR (General Data Protection Regulation), o Regolamento UE n.679/2016, è il Regolamento generale sulla protezione dei dati personali. È stato pubblicato per la prima volta il 27 aprile 2016 per regolamentare e rafforzare in modo univoco la protezione dei dati personali nei paesi membri dell’Unione Europea.

Il GDPR disciplina il trattamento dei dati personali delle persone fisiche e le informazioni che consentono di identificare univocamente una persona, come dati anagrafici, dati biometrici, dati personali particolari, dati professionali, dati economici eccetera. 

| Chi deve adeguarsi al GDPR?

Che tu abbia un sito e-commerce o un sito vetrina che raccoglie dati personali, ad esempio per creare una mailing list, non puoi assolutamente ignorare il GDPR

Il Regolamento Europeo GDPR infatti, si applica a chiunque svolga un trattamento dei dati personali.

E per trattamento di dati personali si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali”, includendo quindi diverse operazioni, come:

  • la raccolta, 
  • la registrazione, 
  • l’organizzazione, 
  • la strutturazione, 
  • la conservazione, 
  • l’adattamento o la modifica, 
  • l’estrazione, 
  • la consultazione, 
  • l’uso, 
  • la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, 
  • il raffronto o l’interconnessione, 
  • la limitazione, 
  • la cancellazione o la distruzione.

Questo significa che qualunque persona fisica o giuridica che tratta i dati personali degli utenti è tenuta ad adeguarsi al GDPR, per evitare sanzioni per la violazione della normativa privacy.

A chi si applica il GDPR?

Il Regolamento GDPR interessa:

  • tutte le aziende europee, senza distinzione di nazionalità;
  • le aziende che svolgono il trattamento dei dati all’interno dei paesi dell’Unione, anche quelle aventi sede in paesi extracomunitari;
  • le aziende che trattano i dati di chi si trova all’interno dell’Unione Europea, a prescindere da dove venga effettuato il trattamento.

| Cosa significa adeguamento GDPR del sito web

Adeguarsi al GDPR significa applicare il Regolamento Europeo ai sistemi e ai processi che coinvolgono un’azienda. 

Nella pratica, bisogna partire da un’attenta valutazione delle modalità con cui viene effettuato il trattamento dei dati personali, per poi capire quali sono gli interventi da fare per adeguare la tua azienda e il tuo sito web al GDPR.

Se hai un sito di vendita online, ad esempio, è necessario informare gli utenti sulle modalità con cui vengono trattati e le finalità di utilizzo degli stessi, attraverso una Privacy Policy per il sito web. Sarà necessario anche adeguare i form di raccolta dei dati e le checkbox del consenso, quando questo è necessario. Sarà poi necessario rispettare altri adempimenti di adeguamento al GDPR dal punto di vista offline, come vedremo di seguito.

Attraverso una consulenza GDPR per siti web potrai quindi ottenere un adeguamento alla normativa privacy per il tuo sito e per la tua azienda, piccola o grande che sia.

| Consulenza GDPR siti web: cosa comprende

Prima di predisporre un piano di adeguamento al GDPR, è necessario fare è un’analisi del sito e dei processi aziendali di trattamento dei dati per evidenziare le problematiche da risolvere.

Solo dopo aver valutato la documentazione esistente e analizzato i sistemi di gestione dei dati, si possono indicare gli interventi da fare, come la redazione delle Privacy Policy, l’implementazione delle formule del consenso, l’adeguamento dei processi aziendali.

Vediamo alcuni degli ambiti di intervento compresi in una consulenza GDPR.  

| Privacy Policy del sito

L’Informativa sulla Privacy, o Privacy Policy, è un documento legale molto importante per un sito e-commerce, in quanto contiene le informazioni relative al trattamento dei dati personali degli utenti che utilizzano il sito o trasmettono un ordine.

Si può usare la Privacy Policy di un altro sito? Se ti stai facendo questa domanda, ti dico subito che non è possibile usare l’informativa privacy di un altro sito per due motivi: il primo, è che i documenti legali sono coperti dai diritti di proprietà intellettuale. Il secondo motivo è che la Privacy Policy di un sito web, per essere adeguata, deve essere personalizzata per ciascun sito web. Avere un’informativa privacy inadeguata è grave tanto quanto non averla affatto.

Per questo è sempre consigliato rivolgersi ad un legale specializzato nella redazione della Privacy Policy per tutelare il tuo business ed evitare sanzioni.

L’Avvocato dell’ecommerce è un esperto in Privacy e può occuparsi di redigere l’Informativa Privacy per il tuo sito. A differenza di un generatore automatico, un consulente legale tiene conto delle reali caratteristiche del business e redige tutta la documentazione ad hoc, senza utilizzare modelli privacy policy già pronti.

| Cookie Policy del sito

L’Informativa sui Cookie, o Cookie Policy, contiene l’elenco dei cookie utilizzati dal sito e definisce le loro finalità, inoltre, specifica le modalità per la loro disabilitazione.

I cookie sono un argomento in continua evoluzione, di cui il Garante Privacy è tornato più di una volta a occuparsi. Per avere una Cookie Policy a norma, quindi, non è possibile improvvisare o affidarsi a modelli preimpostati. 

Chi fa uso di Cookie deve conoscere le nuove norme sui cookie, le caratteristiche che deve avere la Cookie Policy, le regole che riguardano il Cookie Banner e la richiesta del consenso. 

Affidandoti all’Avvocato dell’Ecommerce, puoi avere una Cookie Policy adeguata al tuo e-commerce, in regola con le ultime indicazioni del Garante.

| Formule del consenso per newsletter e form di contatto

L’iscrizione alla newsletter e la compilazione di un form di contatto sono operazioni che implicano la raccolta di dati. Affinché queste attività avvengano nel rispetto della normativa, è necessario acquisire il consenso degli utenti e, soprattutto, che il consenso dato sia valido.

Non basta che l’utente inserisca i suoi dati nel form?

Assolutamente no!

Ad esempio, il form di contatto deve contenere una formula del consenso con caratteristiche specifiche. Mentre, per l’invio di newsletter, è necessario raccogliere solo i dati strettamente necessari per l’invio (ad esempio non si può richiedere il numero di telefono ma solamente l’indirizzo email).

Inoltre vanno previste procedure per la disiscrizione e il double opt-in per avere una prova del consenso.

L’Avvocato dell’ecommerce è specializzato in ogni aspetto legale relativo ai siti di vendita online: creazione dei form di contatto, raccolta e validità del consenso, procedura del double opt-in, email di conferma.

| Nomine e ruoli privacy

Il GDPR prevede espressamente alcuni ruoli privacy specifici nelle attività di trattamento dei dati personali, che richiedono alcuni adempimenti e nomine.

Infatti, oltre al Titolare del Trattamento, che è colui che sceglie come e perché trattare i dati personali degli utenti e che solitamente coincide con il titolare del sito web, esistono altri soggetti che intervengono nel trattamento dei dati personali, come il Responsabile del Trattamento.

Per esempio, pensiamo alla web agency, che accede al back office, prende visione delle email degli utenti occupandosi dell’email marketing o della manutenzione del sito. La web agency compie attività di trattamento dei dati per conto del Titolare del sito web e diviene Responsabile del Trattamento. 

In questo caso, il GDPR stabilisce che tra il Titolare e il Responsabile del Trattamento sussista obbligatoriamente un accordo scritto, con il quale il titolare del sito web dà indicazioni alla web agency sul come e perché trattare i dati personali dei suoi utenti.

La consulenza GDPR prevede anche la redazione di questo accordo, definito Nomina del Responsabile del Trattamento.

Il ruolo del Responsabile del Trattamento, però, non va confuso con quello del Responsabile per la Protezione dei dati personali, chiamato anche DPO (Data Protection Officer), che va nominato quando si verificano determinate condizioni. Non è per nulla facile capire quando è necessario nominare un DPO per un ecommerce e quali sono i ruoli che gli devono essere affidati. 

Analizzando i trattamenti dei dati effettuati, con la consulenza GDPR è possibile fornire un’interpretazione legale competente per aiutarti a definire i ruoli privacy e condividere le responsabilità tra titolari e consulenti esterni.

| Valutazione d’impatto sui rischi del trattamento

Affinché i dati vengano trattati con trasparenza ma abbiano anche un’adeguata protezione, è fondamentale effettuare valutazioni d’impatto.

La valutazione d’impatto (o DPIA) si rende necessaria quando, dopo una valutazione ponderata, si ritiene che un determinato trattamento dei dati personali può rappresentare un rischio per gli utenti. 

Vi sono poi dei casi in cui è lo stesso GDPR a definire come obbligatoria questa valutazione (per es. trattamento su larga scala di categorie particolari di dati).

Attraverso una consulenza GDPR per siti web, è possibile ottenere tutte le indicazioni e gli adempimenti necessari per rispettare gli obblighi normativi. 

Misure di sicurezza GDPR per siti web

Il Regolamento Europeo GDPR richiede che il trattamento dei dati personali avvenga in maniera da garantire la sicurezza dei dati

Per questo, prevede l’obbligo a carico di Titolare e Responsabile di attuare diverse misure di sicurezza, che possiamo distinguere in due categorie:

  • misure tecniche, di carattere informativo, che comprendono pseudonimizzazione e cifratura dei dati personali;
  • misure organizzative, intese come l’insieme delle politiche riguardanti le regole comportamentali nel trattamento dei dati personali (es. formazione a coloro che accedono ai dati personali del sito web).

| Adeguamento sito web al GDPR dal lato offline

Molto spesso si tende a guardare alla privacy policy e alla cookie policy di un sito web come gli unici adempimenti richiesti dal GDPR.

Al contrario, oltre agli aspetti virtuali, un sito e-commerce ha anche una gestione offline che non è esente dal rispetto della normativa. Il GDPR, infatti, non è solo relativo al contesto online, ma il suo campo di applicazione si estende anche all’organizzazione aziendale. 

Per questo, in una consulenza GDPR per siti web va fatta prima di tutto una valutazione sulle procedure di trattamento in essere, per individuare chi e come accede e tratta i dati personali del sito web, e individuare gli interventi necessari per assicurare la compliance al GDPR del sito

Tra le molteplici attività che riguardano l’adeguamento al GDPR dei siti web, dal punto di vista offline, ricordo alcune come: redazione del registro delle attività di trattamento, nomina dei responsabili del trattamento, redazione dei modelli di consenso informato, redazione delle informative privacy aziendali, valutazione d’impatto sulla protezione dei dati, miglioramento delle misure di sicurezza.

| Redazione delle Policy aziendali  

Infine, sempre dal punto di vista dell’adeguamento al GDPR dei siti web dal punto di vista offline: per attuare le misure di sicurezza richieste dalla normativa privacy, è necessario anche adottare: 

  • policy aziendali sul trattamento dei dati personali, a cui si devono attenere coloro che accedono ai dati personali;
  • sistemi di controllo per valutare che le indicazioni impartite vengano effettivamente rispettate per minimizzare il rischio di violazioni.

| Quanto costa una consulenza GDPR per siti web? 

Il prezzo per adeguare il tuo e-commerce al GDPR varia a seconda degli interventi necessari e del livello di adeguamento a cui si trova l’azienda.

Per avere un preventivo personalizzato che tenga conto delle caratteristiche della tua azienda, richiedi la tua consulenza GDPR per siti web all’Avvocato dell’ Ecommerce utilizzando il form dei contatti.

In questo modo tutelerai il tuo business da eventuali sanzioni e metterai al riparo la privacy dei tuoi clienti e dei tuoi collaboratori.

Il tuo sito web è già adeguato al GDPR? 

Contatta l’Avvocato dell’ Ecommerce per saperlo.

Floriana Capone
Avvocato dell’ Ecommerce
POTREBBE INTERESSARTI LEGGERE ANCHE
Menu
error: Content is protected !!