GDPR: privacy e dati obbligatori per i siti web. Scopri cosa sono e come adeguarsi per il trattamento dei dati sensibili

Posted by on Apr 18, 2023

GDPR: privacy e dati obbligatori per i siti web. Scopri cosa sono e come adeguarsi per il trattamento dei dati sensibili

Cos’è il GDPR? Scopri il suo significato

Il GDPR, acronimo di General Data Protection Regulation, è un regolamento dell’Unione Europea entrato in vigore il 25 maggio 2018, che disciplina la protezione dei dati personali dei cittadini europei.

L’obiettivo principale del GDPR è quello di garantire un maggior controllo delle persone sui propri dati personali, fornendo loro maggiori diritti, e di assicurare un livello uniforme di protezione dei dati in tutta l’Unione Europea.

Il GDPR ha introdotto regole rigide sulla raccolta, l’elaborazione, la conservazione e la gestione dei dati personali, a carico di tutte le organizzazioni, incluse aziende e organizzazioni pubbliche, che raccolgono e gestiscono dati personali di cittadini dell’UE.

“Avere un sito web e implementare strategie di web marketing è oggi essenziale per far crescere la propria attività in un mercato sempre più digitale.

Un sito professionale, oltre ad essere esteticamente accattivante e funzionale, deve essere anche in linea con le normative sulla privacy e gli obblighi di legge relativi ai siti web.

Rispettare queste norme è fondamentale per garantire la sicurezza dei dati dei clienti e evitare pesanti sanzioni.”

Dott. Luca De Santis

In questa newsletter a cura del Dott. De Santis Luca titolare di Doctor Web Agency, esperto Web Marketer, affronteremo tutti questi aspetti.

Cosa si intende per dati personali e non personali secondo il GDPR

Secondo il GDPR, i dati personali si riferiscono a qualsiasi informazione che identifica o che può essere utilizzata per identificare una persona fisica. Ciò può includere informazioni come nome, indirizzo e-mail, indirizzo IP, dati genetici, biometrici o relativi alla salute, nonché opinioni politiche o orientamento sessuale.

Inoltre, il concetto di dati personali non si limita alle informazioni direttamente identificative, ma si estende anche ai dati che, se combinati con altre informazioni, potrebbero portare all’identificazione di una persona.

Invece, i dati non personali sono quei dati che non possono essere utilizzati per identificare direttamente o indirettamente una persona fisica. Ad esempio, i numeri di registrazione della società e gli indirizzi di posta elettronica generici non sono considerati dati personali ai sensi del GDPR.

Chi è soggetto al GDPR?

Il GDPR si applica a:

  • organizzazioni che operano nell’Unione Europea
  • che offrono beni o servizi a cittadini europei, indipendentemente dalla loro sede legale.

In particolare, il GDPR si applica se l’organizzazione ha una base operativa nell’UE, offre beni o servizi a cittadini europei, o monitora il comportamento delle persone all’interno dell’UE.

La portata così ampia dell’applicazione del GDPR significa che virtualmente tutte le attività possono essere soggette a questo regolamento.

Infatti, molte aziende statunitensi, anche se non hanno una base operativa nell’UE, hanno fatto del GDPR una priorità nella protezione dei dati dei loro clienti europei, come rivelato da un sondaggio condotto da PwC.

Quando il GDPR non si applica: una guida alle aziende escluse dal regolamento europeo privacy

Il GDPR non si applica a tutte le aziende, ma solo a quelle che soddisfano determinati criteri. In particolare, il GDPR non si applica a:

  • Aziende che non hanno una base operativa nell’Unione Europea e che non offrono beni o servizi a cittadini europei.
  • Aziende che non trattano dati personali di cittadini europei, ad esempio aziende che si occupano esclusivamente di dati non personali.
  • Aziende che trattano dati personali di cittadini europei solo occasionalmente e in modo marginale rispetto alle loro attività principali.

In generale, il GDPR si applica a tutte le aziende che trattano dati personali di cittadini europei in modo sostanziale e regolare.

Se un’azienda non soddisfa questi criteri, il GDPR non si applica a essa. Tuttavia, è sempre importante prestare attenzione alle leggi sulla protezione dei dati applicabili nel proprio paese o regione.

Requisiti chiave per la protezione dei dati personali

Il GDPR ha introdotto una serie di requisiti chiave per la protezione dei dati personali, tra cui la definizione di dati personali, il consenso, la sicurezza dei dati, la trasparenza e il diritto all’oblio.

Le organizzazioni devono soddisfare una serie di requisiti chiave:

  • In primo luogo, devono definire i dati personali che raccolgono e gestiscono, insieme alla base legale per la loro raccolta e trattamento. Ciò significa che le organizzazioni devono avere una chiara comprensione dei dati che raccolgono, di come li utilizzano e di come li proteggono.
  • In secondo luogo, le organizzazioni devono ottenere il consenso esplicito degli individui per la raccolta e il trattamento dei loro dati personali. Il consenso deve essere libero, specifico, informato e inequivocabile. Le organizzazioni devono inoltre garantire che gli individui possano revocare il loro consenso in qualsiasi momento.
  • In terzo luogo, le organizzazioni devono garantire la sicurezza dei dati personali che raccolgono e gestiscono. Ciò significa che devono adottare misure tecniche e organizzative appropriate per proteggere i dati personali contro la perdita, l’accesso non autorizzato, la divulgazione e la distruzione.
  • In quarto luogo, le organizzazioni devono fornire informazioni trasparenti sul trattamento dei dati personali. Ciò significa che devono informare gli individui sulla base legale per la raccolta e il trattamento dei loro dati personali, nonché sui loro diritti in merito alla protezione dei dati. Le organizzazioni devono inoltre fornire informazioni chiare e complete sulle loro politiche e procedure per la protezione dei dati.
  • Infine, le organizzazioni devono rispettare il diritto all’oblio degli individui. Ciò significa che devono consentire agli individui di richiedere la cancellazione dei loro dati personali se non sono più necessari per il loro scopo originale o se l’individuo revoca il suo consenso.

Che misure devono adottare secondo il GDPR le organizzazioni che raccolgono e gestiscono dati personali sensibili?

Il GDPR impone alle organizzazioni che raccolgono e gestiscono dati personali di adottare una serie di misure tecniche e organizzative per garantire la conformità al regolamento.

In particolare, le organizzazioni:

  • Devono nominare un responsabile per la protezione dei dati (DPO):

Il DPO è responsabile per la conformità al GDPR all’interno dell’organizzazione. Questo ruolo è obbligatorio per le organizzazioni che svolgono attività di monitoraggio su larga scala dei dati personali o che trattano dati personali sensibili come quelli relativi alla salute.

Tuttavia, anche le organizzazioni più piccole possono decidere di nominare un DPO per garantire la conformità al GDPR e la protezione dei dati.

Il DPO deve avere conoscenze specialistiche sulla protezione dei dati e sulla normativa applicabile. Deve essere in grado di fornire consulenza alle altre funzioni dell’organizzazione sulla protezione dei dati e sulla conformità al GDPR, di monitorare la conformità al GDPR e di collaborare con l’autorità di controllo per la protezione dei dati.

  • Effettuare una valutazione dell’impatto sulla protezione dei dati (DPIA) e implementare politiche e procedure per la protezione dei dati.

La valutazione dell’impatto sulla protezione dei dati (DPIA) è un’analisi dei rischi per la protezione dei dati che possono derivare da un’attività di trattamento dei dati.

La DPIA è obbligatoria per le attività di trattamento dei dati che comportano un rischio elevato per i diritti e le libertà degli individui, come il trattamento di dati sensibili o il monitoraggio su larga scala. La DPIA deve valutare i rischi per la protezione dei dati e proporre misure adeguate per mitigarli.

Le politiche e le procedure per la protezione dei dati sono fondamentali per garantire la conformità al GDPR e la protezione dei dati.

Le organizzazioni devono definire politiche e procedure per la raccolta e il trattamento dei dati personali, la gestione delle richieste degli individui in merito alla protezione dei dati, la gestione delle violazioni dei dati e la formazione dei dipendenti sulla protezione dei dati.

Quali sono le basi giuridiche del trattamento dei dati personali?

Il GDPR stabilisce che il trattamento dei dati personali può essere effettuato solo se è presente almeno una base giuridica del trattamento. Esistono diverse basi giuridiche del trattamento, che includono le seguenti:

  • Il titolare del trattamento può effettuare il trattamento dei dati personali solo se l’utente ha espresso il proprio consenso per una o più specifiche finalità.
  • Il trattamento dei dati personali è necessario per l’esecuzione di un contratto al quale l’utente ha aderito o per intraprendere azioni preliminari alla stipula del contratto.
  • Il trattamento dei dati personali è necessario per adempiere a un obbligo di legge al quale il titolare del trattamento è soggetto.
  • Il trattamento dei dati personali è necessario per tutelare gli interessi vitali dell’utente o di terzi.
  • Il trattamento dei dati personali è necessario per l’esecuzione di un’attività di interesse pubblico, o che rientra nell’ambito dei poteri pubblici conferiti al titolare del trattamento.
  • Il trattamento dei dati personali è necessario per il legittimo interesse del titolare del trattamento o di terzi, a meno che gli interessi, i diritti e le libertà dell’utente, in particolare se l’utente è un minore, prevalgano su questi interessi.

Ottenere il consenso per il trattamento dei dati personali: le regole per le organizzazioni

Al fine di effettuare il trattamento dei dati personali, l’organizzazione deve ottenere un consenso chiaro e inequivocabile da parte dell’utente interessato.

Se l’utente interessato è un minore, l’organizzazione deve ottenere il consenso da un genitore o un tutore del minore in modo verificabile, a meno che il servizio offerto non sia di prevenzione o consulenza.

L’organizzazione deve altresì impegnarsi a verificare che la persona che presta il consenso detenga effettivamente la responsabilità genitoriale del minore, adottando ogni tecnologia disponibile per tale verifica.

Per ottenere il consenso al trattamento dei dati, l’organizzazione non deve utilizzare termini troppo complessi o incomprensibili, come il linguaggio giuridico o il gergo tecnico inutile.

Per questi motivi, le politiche sulla privacy devono essere scritte in modo chiaro e comprensibile, utilizzando termini semplici e chiari, in modo che gli utenti siano consapevoli di ciò a cui acconsentono e delle conseguenze del loro consenso.

Ad esempio, puoi leggere la nostra politica sulla privacy per avere un’idea di come una politica sulla privacy dovrebbe essere scritta in modo chiaro e leggibile.

Vietate le Check box preselezionate per l’accettazione della privacy policy

Le check box preselezionate per l’accettazione della privacy policy sono vietate perché non costituiscono un consenso valido e inequivocabile da parte dell’utente interessato.

Il Regolamento Generale sulla Protezione dei Dati (GDPR) stabilisce che il consenso per il trattamento dei dati personali deve essere prestato liberamente, specifico, informato ed inequivocabile.

Ciò significa che l’utente deve avere la possibilità di prestare il proprio consenso in modo esplicito, senza alcuna forma di coercizione o precompilazione automatica.

Le check box preselezionate, in cui l’utente deve deselezionare la casella per rifiutare il consenso, violano questo principio perché l’utente potrebbe non accorgersi che la casella è già preselezionata e acconsentire senza rendersene conto.

Ciò potrebbe comportare una mancanza di consapevolezza da parte dell’utente sull’effettivo trattamento dei propri dati personali e sui diritti ad essi connessi.

Cookie Law: cos’è e cosa prevede la normativa europea sulla gestione dei cookie

La Cookie Law (o Legge sui cookie) è un termine utilizzato per riferirsi alla normativa europea in materia di privacy digitale. In particolare, si tratta del GDPR dell’Unione Europea, che include anche disposizioni specifiche sui cookie e sulle tecnologie di tracciamento simili.

La Cookie Law richiede che i proprietari di siti web informino gli utenti sull’uso dei cookie e chiedano il loro consenso per l’installazione di questi file sul loro dispositivo. I cookie sono file di testo che i siti web inviano ai browser degli utenti e che vengono archiviati sui loro dispositivi.

Questi cookie possono contenere informazioni sulle preferenze degli utenti, sulle loro attività sul sito web e su altre informazioni rilevanti.

La Cookie Law si applica a tutte le organizzazioni che operano in Europa o che offrono beni o servizi a utenti nell’Unione Europea. Inoltre, la legge richiede che i siti web forniscono informazioni dettagliate sui cookie utilizzati, inclusi lo scopo dei cookie, il tipo di dati raccolti e l’identità dei terzi che hanno accesso ai dati.

La Cookie Law è stata introdotta per garantire la trasparenza e la protezione della privacy degli utenti online. Con l’aumento dell’uso di internet, la raccolta di dati tramite i cookie è diventata sempre più diffusa, quindi era importante garantire che gli utenti fossero informati sulle pratiche di raccolta dei dati e avessero la possibilità di scegliere se acconsentire o meno all’uso dei cookie.

Cos’è il registro delle preferenze sui cookies? È obbligatorio?

Ogni gestore di un sito web o di un’applicazione che raccoglie dati personali degli utenti, inclusi gli indirizzi IP, deve conformarsi alle normative sulla privacy dei dati applicabili ed è obbligato a tenere un registro con gli indirizzi IP degli utenti che si sono registrati e hanno accettato la cookies policy.

Secondo il GDPR, il gestore del sito web deve essere in grado di dimostrare il consenso degli utenti alla raccolta e all’elaborazione dei loro dati personali, inclusi gli indirizzi IP. Il registro degli indirizzi IP degli utenti che hanno accettato la cookies policy può quindi essere utilizzato come prova del consenso degli utenti.

Inoltre, in caso di violazione della normativa sulla privacy dei dati, il registro può essere utilizzato per dimostrare che il gestore del sito web ha adottato misure adeguate per proteggere i dati personali degli utenti e che ha rispettato le proprie obbligazioni legali in merito alla protezione dei dati.

GDPR-cose-significato

Diritti dell’utente per quanto riguarda i cookies

Ecco un punto elenco riassuntivo dei principali diritti degli utenti in relazione alla Cookie Law:

  • L’utente ha il diritto di essere informato in modo chiaro e completo sull’uso dei cookie sul sito web che sta visitando.
  • L’utente deve poter prestare il proprio consenso all’utilizzo dei cookie in modo esplicito e attivo, tramite una scelta consapevole e libera.
  • L’utente ha il diritto di revocare il proprio consenso in qualsiasi momento, senza alcuna limitazione o conseguenza negativa.
  • L’utente ha il diritto di modificare le proprie impostazioni relative ai cookie, ad esempio disabilitandoli o eliminandoli dal proprio dispositivo.
  • L’utente ha il diritto di accedere ai propri dati personali raccolti tramite i cookie e di richiederne la cancellazione o la modifica, se del caso.
  • L’utente ha il diritto di opporsi all’utilizzo dei cookie per finalità di profilazione o di marketing, o di richiedere una maggiore trasparenza e controllo sulle attività di monitoraggio del proprio comportamento online.
  • L’utente ha il diritto di presentare un reclamo alle autorità competenti se ritiene che i propri diritti non siano stati rispettati da un sito web o da un’organizzazione che gestisce i propri dati tramite i cookie.

Cos’è la Consent solution?

La consent solution è un termine usato per descrivere un insieme di strumenti e procedure utilizzati da siti web e applicazioni per ottenere il consenso degli utenti alla raccolta e all’utilizzo dei loro dati personali, inclusi i cookie.

In generale, la consent solution comprende una serie di elementi, tra cui:

  • Una politica sulla privacy che descrive il tipo di dati raccolti e il modo in cui verranno utilizzati
  • Un banner o una finestra pop-up che informa gli utenti sulla presenza di cookie e richiede il loro consenso per l’utilizzo dei cookie
  • Un elenco dei diversi tipi di cookie utilizzati dal sito web e delle relative finalità
  • Uno strumento di gestione delle preferenze dei cookie che consente agli utenti di scegliere quali cookie accettare e quali rifiutare
  • Una funzione di rinuncia al consenso che consente agli utenti di revocare il loro consenso in qualsiasi momento.

La consent solution è particolarmente importante per conformarsi alle normative sulla privacy dei dati, come il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea, che richiede il consenso esplicito degli utenti per l’utilizzo di determinati tipi di cookie.

Inoltre, la consent solution può aiutare a creare un rapporto di fiducia con gli utenti, poiché fornisce loro informazioni trasparenti sul modo in cui vengono utilizzati i loro dati personali e offre loro la possibilità di gestire le proprie preferenze in merito alla privacy online.

Differenze tra Cookies Solution e Consent Solution        

La differenza tra una “cookie solution” e una “consent solution” sta nel fatto che la prima si concentra specificamente sulla gestione dei cookie, mentre la seconda include anche altre forme di raccolta di dati personali.

Una cookie solution è un insieme di strumenti e procedure utilizzati dai siti web e dalle applicazioni per gestire l’utilizzo dei soli cookie.

D’altra parte, una consent solution è un insieme di strumenti e procedure utilizzati per ottenere il consenso degli utenti alla raccolta e all’utilizzo dei loro dati personali, inclusi i cookie. In questo caso, la soluzione può includere una politica sulla privacy, un banner o una finestra pop-up che richiede il consenso degli utenti e strumenti per gestire le preferenze dei cookie e di altre forme di raccolta dei dati personali.

In sintesi, mentre la cookie solution si concentra specificamente sulla gestione dei cookie, la consent solution è più ampia e include anche la gestione di altri tipi di dati personali. In ogni caso, entrambe le soluzioni sono importanti per garantire la conformità alle normative sulla privacy dei dati e per creare un rapporto di fiducia con gli utenti.

Conseguenze del mancato adempimento alle regole del GDPR

Il GDPR dell’Unione Europea ha stabilito norme rigorose sulla protezione dei dati personali dei cittadini dell’UE. Il mancato adempimento a tali norme comporta conseguenze gravi per le organizzazioni che gestiscono dati personali.

Di seguito sono riportate alcune delle conseguenze più significative del mancato adempimento alle regole del GDPR:

  • Sanzioni amministrative: Il GDPR prevede sanzioni amministrative molto elevate per le organizzazioni che non rispettano le regole sulla protezione dei dati personali. Le sanzioni possono arrivare fino al 4% del fatturato globale annuo dell’organizzazione o a 20 milioni di euro, a seconda di quale cifra risulti più alta.
  • Perdita di reputazione: Una violazione del GDPR può causare danni significativi alla reputazione dell’organizzazione coinvolta. La pubblicità negativa generata da una violazione può causare danni permanenti all’immagine dell’organizzazione, e ciò può influire negativamente sulla capacità dell’organizzazione di attirare nuovi clienti e partner commerciali.
  • Azioni legali da parte degli interessati: Gli interessati ai dati personali hanno il diritto di agire legalmente contro le organizzazioni che hanno violato il GDPR. Ciò può comportare una serie di conseguenze, come l’obbligo di risarcire i danni subiti dagli interessati e di rimuovere i dati personali.
  • Indagine da parte delle autorità di controllo: Il GDPR prevede che le autorità di controllo indaghino sulle violazioni segnalate o scoperte. Le autorità di controllo hanno il potere di emettere sanzioni e di richiedere alle organizzazioni di prendere misure specifiche per adeguarsi alle regole del GDPR.
  • Perdita di clienti: Il mancato adempimento alle regole del GDPR può causare la perdita di clienti per l’organizzazione coinvolta. Gli utenti sono sempre più consapevoli dei loro diritti in materia di protezione dei dati personali e possono scegliere di utilizzare solo i servizi di organizzazioni che rispettano le norme del GDPR.

In sintesi, il mancato adempimento alle regole del GDPR può avere conseguenze significative per le organizzazioni che gestiscono dati personali. È essenziale che le organizzazioni comprendano le loro responsabilità ai sensi del GDPR e si adoperino per garantire la protezione dei dati personali dei loro utenti.

La tua azienda è in regola con le norme GDPR? Scopriamo quali sono i dati aziendali obbligatori in homepage

Secondo il D.P.R. 633/1972, ogni titolare di partita IVA è tenuto a pubblicare il numero di partita IVA sulla homepage del proprio sito web. Questo è l’unico dato che richiede tale obbligo di pubblicazione e vale per tutte le tipologie di attività, che sia una società, ditta individuale o persona fisica.

In genere, la partita IVA viene inserita nel footer della homepage, ovvero il piè di pagina del sito. Qualora la stessa attività disponga di più siti web, la partita IVA deve essere pubblicata sulla homepage di ciascun sito. Qualora si violi tale obbligo, ci si espone a una sanzione amministrativa che va da € 258,23 a € 2.065,83, come indicato dall’art. 11 del D.P.R. 472/97.

Inoltre è obbligatorio garantire agli utenti i dati presenti nel documento termini e condizioni del sito web. Solitamente anch’essi vengono indicati nel footer, ma possono avere anche una pagina destinata alle note legali.

Dati obbligatori per un sito web di una ditta individuale

Oltre alla partita IVA, chi ha aperto una ditta individuale è obbligato a pubblicare sul proprio sito web:

  • nome
  • cognome
  • denominazione indirizzo della sede legale ufficio del registro delle imprese d’iscrizione numero di repertorio economico amministrativo (REA).

Pur se non espressamente obbligatorio, è consigliabile mettere a disposizione anche un indirizzo di posta elettronica certificata o PEC, in modo da fornire all’utente un contatto più qualificato.

Ulteriori dati obbligatori per un sito web di una SPA o SRL

Le SPA e le SRL, oltre agli stessi dati previsti per le ditte individuali, devono pubblicare le seguenti ulteriori informazioni (art. 2250 del Codice Civile):

  • capitale sociale versato indicazione di socio unico per SPA ed SRL unipersonale
  • eventuale stato di liquidazione in seguito a scioglimento della società ragione sociale del soggetto alla cui attività di direzione e di coordinamento la società è eventualmente soggetta (art. 2497-bis c.c.)

Altri dati specifici sono richiesti nel caso in cui tramite il sito si vendono alimenti sul web. Se vuoi saperne di più sul tema, puoi consultare la nostra guida completa sulla vendita di prodotti alimentari online.

Conclusione

In conclusione, il GDPR rappresenta un importante passo avanti nella protezione dei dati personali e sensibili degli utenti.

Grazie alle norme e alle procedure previste, le organizzazioni e le aziende sono tenute a garantire una maggiore trasparenza e sicurezza nel trattamento dei dati, rispettando i diritti degli utenti e riducendo il rischio di violazioni.

È fondamentale comprendere i concetti chiave del GDPR e assicurarsi di rispettare le norme, evitando sanzioni amministrative e reputazionali.

Inoltre, è importante che gli utenti siano consapevoli dei loro diritti e della possibilità di esercitarli, richiedendo informazioni sul trattamento dei propri dati e chiedendo la cancellazione in caso di violazioni o trattamenti illeciti.

Con la corretta applicazione del GDPR, possiamo garantire l’utilizzo responsabile e sicuro delle informazioni digitali.