Molti proprietari di siti web trascurano l’importanza del sito sul rispetto della normativa sulla privacy ignorando gli obblighi di legge che regolano le attività online. Altri, invece, credono che sia un problema facilmente risolvibile, magari usando un template generico o copiando i testi da una pagina web simile alla loro. Ma la conformità legale di un sito web è importante e non può essere generica, ma specifica per ogni sito web.
Il mancato rispetto delle normative e disposizioni sulla privacy espone il sito web a reclami e sanzioni ed il fatto di non avere una documentazione legale oppure di averla poco chiara o incompleta, può anche danneggiare l’immagine e la reputazione online.
Questo articolo vuole riassumere quali documenti legali sono necessari per avere un sito web a norma di legge e come fare per implementarli. Va anche detto che quanto riportato si riferisce alla data di pubblicazione dell’articolo visto che è una normativa in continua evoluzione.
Dobbiamo innanzitutto partire dalla normativa di riferimento che è il d.lgs. 679/16 conosciuto anche come GDPR, acronimo di General Data Protection Regulation, ovvero il regolamento dell’Unione Europea che disciplina la protezione dei dati personali dei cittadini europei.
Il GDPR prevede delle disposizioni che devono essere messe in atto da tutti i siti web che ricevono visite da membri dell’Unione Europea e che raccolgono dati degli utenti.
Esso prevede che si debbano informare gli utenti sulle motivazioni della raccolta dei dati e sulle modalità di archiviazione ed elaborazione dei dati degli utenti.
Chi non si adegua alle disposizioni previste dal GDPR potrebbe ricevere sanzioni molto pesanti; infatti, le multe possono arrivare fino a 20 milioni di euro oppure le sanzioni previste vanno dal 2% al 4% del fatturato globale annuo.
Se si intende raccogliere dati personali attraverso il sito web come potrebbero essere nomi o indirizzi email dei visitatori bisognerà pubblicare una Privacy Policy per informare gli utenti su come e perché verranno utilizzati i dati raccolti ed ottenere il loro consenso alla raccolta ed elaborazione di questi dati.
La Privacy Policy è uno dei testi giuridici più importanti per la protezione dei dati e serve proprio ad informare gli utenti su quali dati personali vengono raccolti e quali mezzi vengono utilizzati per raccoglierli, che uso se ne farà, le modalità ed i tempi di conservazione. Le informazioni che la Privacy Policy deve assolutamente contenere sono:
- La data dell’ultimo aggiornamento della policy;
- L’identificazione e contatto del titolare del trattamento e del suo responsabile, nonché quello del responsabile della protezione dei dati, se applicabile;
- Le informazioni riguardo alla tipologia di dati raccolti, le modalità utilizzate per raccoglierli e le attività di trattamento;
- Le finalità per la quale raccogli i dati e base giuridica che legittima il trattamento;
- Le misure di sicurezza applicate per proteggere i dati;
- Il periodo di conservazione dei dati;
- Le informazioni sulla comunicazione o trasferimento dei dati a terzi;
- Gli eventuali trasferimenti di dati al di fuori dell’Unione Europea;
- I diritti dell’utente riguardo ai propri dati (accesso, rettifica, cancellazione, limitazione, portabilità e opposizione) e modalità per esercitarli;
Qualora venissero utilizzati cookie di analisi che sono file di piccole dimensioni che i siti web utilizzano per immagazzinare alcune informazioni nel computer di un utente e vengono inviati al browser che a sua volta li memorizza sul computer (per un approfondimento si rimanda all’articolo pubblicato su Amministrare Immobili nr. 252 del marzo 2021) o software come Google Analytics per monitorare la navigazione degli utenti, bisogna necessariamente predisporre una Cookie Policy per informare gli utenti su quali cookie vengono utilizzati e per quale motivo. La cookie Policy può essere incorporata all’interno della Privacy Policy come sezione specifica
Anche la Cookie Policy ha un contenuto minimo che deve contenere:
- Una definizione chiara e breve di cosa è un cookie, in modo che chiunque possa capire di cosa si tratti e decidere se acconsentire o meno al suo utilizzo;
- Le varie tipologie di cookie esistenti classificandoli per categorie;
- I cookie specifici utilizzati nel sito web, specificando se si è il proprietario oppure se sono di terze parti;
- Le istruzioni per la configurazione e l’eliminazione dei cookie;
La normativa sulla privacy prevede anche che i cookie possano essere installati solo dopo aver conseguito il consenso informato, volontario ed inequivocabile dell’utente e per ottenerlo bisogna che appaia un cookie banner quando si accede per la prima volta al sito web.
Il Cookie Banner deve necessariamente contenere:
- Una spiegazione del fatto che il sito web utilizza i cookie;
- Il link alla cookie policy dettagliata;
- Il bottone “accetta” che permette di accettare tutti i cookie;
- Il bottone “rifiuta” che permette di rifiutare tutti i cookie;
- Il bottone di personalizzazione per consentire all’utente di scegliere quali cookie accettare e quali rifiutare;
Stando al GDPR il consenso all’uso dei cookie è necessario per tutte le tipologie di cookie fatta eccezione per i “cookie tecnici” cioè per i cookie indispensabili l’operatività e al funzionamento del sito. Bisognerà quindi predisporre un blocco preventivo automatico dei cookie affinché questi non possano essere installati prima di aver ottenuto il consenso dell’utente.
Qualora si gestisse un negozio online o un e-commerce con sistema di pagamento online, oltre ai documenti finora visti bisognerà pubblicare le condizioni generali di vendita.
In altre parole, si tratta dei termini e condizioni che riguardano tutti gli acquirenti del sito che consiste nel contratto che regola il processo di compravendita o consulenza e il rapporto tra l’amministratore ed i consumatori, compresi diritti e obblighi dell’acquirente, le garanzie, delle politiche di reso, le modalità di pagamento ecc.
I termini e le condizioni devono contenere i seguenti elementi:
- La data dell’ultimo aggiornamento delle condizioni generali di contratto;
- Le caratteristiche dei prodotti o servizi offerti;
- L’identificazione del venditore con dati fiscali di base;
- Il processo di acquisto;
- I metodi di pagamento e modalità e condizioni di spedizione;
- Gli standard di condotta;
- Le politiche di reso e cambio;
- Il diritto di recesso;
- Le informazioni sulla proprietà industriale e intellettuale;
- Le garanzie e limitazione di responsabilità;
Risulta di fondamentale importanza specificare che l’utente non potrà concludere l’acquisto se prima non ha accettato tale documento.
Per rispettare i requisiti legali previsti dalla normativa è necessario che i suddetti documenti legali siano facilmente accessibili in ogni momento dagli utenti e, in particolare, siano ben visibili prima di effettuare una transazione o salvare qualsiasi dato.
Il consiglio quindi è quello di:
- avere una pagina dedicata per ciascun documento sul sito web;
- Aggiungere un link alle pagine nel footer del sito, in modo da rendere le informazioni legali sempre disponibili a tutti gli utenti;
- Inserire collegamenti a queste policy in tutti i form e in tutti i moduli di acquisto del sito consentendo agli utenti di selezionare la casella o cliccare sul pulsante per confermare di essere a conoscenza di tutte le condizioni e accettarle;
Come accennato all’inizio dell’articolo non disporre di questi documenti o pubblicarli incompleti può comportare pesanti sanzioni:
- multe: Il GDPR prevede multe pecuniarie che possono arrivare fino al 4% del fatturato annuo globale dell’azienda o dello studio professionale o fino a 20 milioni di euro.
- Avvertimenti, richiami e ammonimenti: L’autorità di controllo può emettere avvertimenti, richiami o ammonimenti per violazioni meno gravi, al fine di richiamare l’azienda o lo studio professionale alla conformità con il GDPR e di prevenire futuri abusi.
- Limitazioni o divieti di trattamento: In casi gravi violazioni, l’autorità di controllo può imporre limitazioni o divieti al trattamento dei dati personali da parte dell’azienda o dello studio professionale coinvolto, con forti ripercussioni sulle attività promozionali di marketing e vendita.
Conformarsi al GDPR e alle disposizioni previste per garantire il rispetto della privacy online è un obbligo legale. Ecco perché avere una documentazione legale corretta, completa e in linea con quanto previsto dalle leggi sulla privacy è di fondamentale importanza per qualsiasi sito web.
Come detto all’inizio, la privacy policy deve essere realizzata ad hoc per ogni sito, pertanto, si sconsiglia vivamente un “copia incolla” di questa da un sito similare. Bisogna prestare molta attenzione ai servizi offerti online che analizzano un sito per emettere un report delle difformità con il GDPR proponendo un’offerta economica per adeguarla in quanto offrono un servizio standardizzato. Anche in questo caso sarebbe preferibile evitare questa soluzione per affidarsi ad un consulente privacy che possa offrire un servizio personalizzato.