Titolari di siti web: i requisiti di legge da rispettare
Privacy e Cookie Policy
Tutti i siti e tutte le app che raccolgono i dati sono obbligati dalla legge a informare gli utenti per mezzo di una cookie e privacy policy.
La privacy policy, in particolare, deve comprendere:
- le tipologie di dati personali trattati;
- le basi giuridiche del trattamento;
- le finalità e le modalità del trattamento;
- i soggetti ai quali i dati personali possono essere comunicati;
- l'eventuale trasferimento dei dati al di fuori dell'Unione Europea;
- i diritti dell'interessato;
- gli estremi identificativi del titolare.
Con la cookie policy, invece, vengono descritti i vari tipi di cookie che il sito installa, le finalità del trattamento e le terze parti eventuali a cui fanno riferimento i cookie in questione, compreso un collegamento ai relativi moduli di opt-out e documenti.
È possibile utilizzare un documento generico?
No, dal momento che ciascuna informativa deve segnalare in maniera precisa le caratteristiche del trattamento dei dati che il sito o l'app eseguono. Inoltre, vanno inserite le varie tecnologie di terza parte che vengono adoperate, come per esempio le mappe di Google Maps o i pulsanti Like di Facebook.
Esistono siti web che non trattano dati?
Questa, in realtà, è una probabilità molto remota. È sufficiente che sia presente un modulo di contatto affinché diventi obbligatorio prevedere un'informativa e mostrarla; lo stesso dicasi per un sistema di analisi del traffico (il più classico esempio è Google Analytics).
Cookie Law
Per fare in modo che un sito web si adegui alla cookie law non basta prevedere una cookie policy, serve anche mostrare, alla prima visita di un utente, un cookie banner che permetta di ottenere l'assenso all'installazione dei cookie stessi. Ci sono cookie che possono essere rilasciati unicamente dopo che gli utenti hanno manifestato il proprio consenso: è il caso di quelli che vengono rilasciati dai pulsanti di condivisione sui social network.
A che cosa serve un cookie
Il compito dei cookie è quello di memorizzare sui browser degli utenti alcune informazioni mentre si naviga su un sito. Essi sono essenziali per far sì che un sito funzioni in maniera adeguata. Anche i widget video di YouTube, e più in generale diverse tecnologie di terza parte che si è abituati a integrare in un sito, si basano sui cookie.
Il consenso per il GDPR
In base a quanto previsto dal GDPR, bisogna raccogliere dagli utenti un consenso informato, specifico e libero nel caso in cui venga messa a loro disposizione la possibilità di immettere in un sito o in un'app dati personali, come avviene – per esempio – nel momento in cui ci si registra a una newsletter o si compila un form di contatto. In più, è necessario anche registrare una prova del consenso inequivocabile.
Che cos'è un consenso informato, specifico e libero
Il consenso deve essere raccolto per le diverse finalità di trattamento: in altre parole, c'è bisogno di un consenso per poter trasmettere materiale promozionale per conto di terzi, di un consenso per spedire una newsletter, e così via. Si possono richiedere i consensi attraverso una checkbox – o anche più di una – non obbligatoria e non pre-selezionata, con testi informativi che permettano agli utenti di capire in che modo i loro dati verranno usati.
Il consenso può essere dimostrato in maniera inequivocabile?
A tale scopo bisogna raccogliere informazioni specifiche tutte le volte che gli utenti compilano un modulo del sito o dell'applicazione. Si tratta di un codice identificativo unico per ciascun utente, di una copia del modulo che viene fornito agli utenti e del contenuto della privacy policy, che ovviamente deve essere stata accettata.
I messaggi di posta elettronica che si ricevono dagli utenti dopo che il modulo è stato compilato bastano a provare il consenso?
No, le mail non sono sufficienti, dal momento che in tal caso non vengono fornite le informazioni che occorrono per confermare l'adeguatezza della procedura con la quale il consenso è stato raccolto: per esempio, la copia del modulo che gli utenti devono compilare.
I termini d'uso e le condizioni di vendita
Ci sono situazioni in cui può sussistere la necessità di proteggere la propria presenza online rispetto a possibili responsabilità: a questo scopo, vale la pena di prevedere un documento di termini e condizioni, in cui in genere sono contenute clausole che riguardano le condizioni di vendita, la limitazione di responsabilità e l'utilizzo dei contenuti (copyright). Un documento di questo tipo, inoltre, consente di segnalare le condizioni obbligatorie imposte dalla disciplina della tutela dei consumatori.
Tra le informazioni che dovrebbero essere presenti nel documento di termini e condizioni ci sono:
- i dati identificativi dell'attività;
- una descrizione del servizio offerto dal sito/app;
- le informazioni su allocazione dei rischi, responsabilità e liberatorie;
- garanzie (se applicabile);
- diritto di recesso (se applicabile);
- informazioni sulla sicurezza;
- diritti d'uso (se applicabile);
- condizioni d'uso o di acquisto (come requisiti di età o restrizioni legate al Paese);
- politiche di rimborso/sostituzione/sospensione del servizio;
- informazioni sui metodi di pagamento.
Il documento di termini e condizioni è sempre obbligatorio?
In tutti gli scenari può esserci bisogno di un documento di questo tipo: per un'app mobile, per un marketplace, per un sito di commercio elettronico o anche solo per un blog. Nella maggior parte dei casi predisporre un documento di questo tipo è ampiamente consigliabile ma non obbligatorio; lo diventa, però, molte volte per gli e-commerce.
Il documento di termini e condizioni può essere copiato da un altro sito?
Questa pratica a dire il vero è piuttosto pericolosa, dal momento che il documento rischia di essere non valido o nullo. Stiamo parlando di un documento che rappresenta a tutti gli effetti un accordo vincolante dal punto di vista giuridico: proprio per questo motivo è essenziale sì possederne uno, ma soprattutto essere certi che esso sia in linea con le prescrizioni di legge, che sia aggiornato in relazione alle norme di riferimento e che descriva sia il modello di business che i processi aziendali in maniera corretta.
Noi e Iubenda ti aiutiamo ad adeguarti alle normative
Iubenda rappresenta la soluzione più professionale, più semplice e più adatta a rispettare le normative.
Generatore di Privacy e Cookie Policy
Iubenda mette a disposizione un generatore di privacy e cookie policy grazie al quale si può realizzare un'informativa personalizzata per qualunque app o sito web. Le policy di Iubenda derivano da un database di clausole che sono compilate e aggiornate in maniera costante da uno staff di legali di ogni parte del mondo.
Cookie Solution
Iubenda offre una Cookie Solution che rappresenta il sistema più completo ed efficace per rispettare la Cookie Law mediante la visualizzazione, alla prima visita di ciascun utente, di un cookie banner. Inoltre, può essere predisposto un sistema di blocco dei cookie di profilazione preventivo. Questa soluzione comprende, poi, la raccolta di un consenso valido degli utenti per l'installazione dei cookie.
Consent Solution
Mediante la Consent Solution di Iubenda si ha l'opportunità di raccogliere e archiviare una prova inequivocabile del consenso, in base a quanto previsto dal GDPR, tutte le volte che un modulo presente su un sito o su un'app (per esempio, un modulo per la registrazione a una newsletter o un form di contatto) viene compilato da un utente.
Generatore di Termini e Condizioni
Iubenda, infine, propone un generatore di termini e condizioni, attraverso il quale è possibile predisporre un documento personalizzato per qualunque sito web o applicazione. Iubenda genera i termini e le condizioni sfruttando una banca dati di clausole scritte da uno staff di esperti del settore internazionali; clausole che vengono costantemente sottoposte a revisione per essere sempre aggiornate alle normative.