Adeguamento GDPR sito web: come creare moduli di raccolta dati a norma?

adeguamento gdpr sito web

Adeguamento GDPR sito web: come creare moduli di raccolta dati a norma?

Quando sul tuo sito web predisponi dei moduli di raccolta dati come il form di iscrizione alla newsletter, il form di contatto, o ancora il form di registrazione all’area riservata, stai organizzando quella che viene definita una “raccolta di dati”. Se tra i dati che raccogli per mezzo di questi moduli ci sono anche dati personali (cosa probabile considerando che anche solo l’email è considerata dato personale) dovrai assicurarti di seguire le regole imposte dal GDPR allo scopo di proteggerli.
La raccolta di dati personali, infatti, è uno dei sedici trattamenti previsti dal GDPR, e in quanto tale deve sottostare ai suoi principi fondamentali: liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.

Tutto chiaro? Lo sarà di più tra poco, quando scopriremo assieme che sono proprio questi principi a fornirci le indicazioni per creare dei moduli di raccolta dati perfettamente conformi.
Quello che non devi mai dimenticare è che rispettare i principi del GDPR per il trattamento di raccolta è fondamentale per costruire un database di contatti conforme e utilizzabile, perché se la raccolta non è fatta in modo corretto, e quindi non lecita, ogni successivo trattamento di quei dati sarà illecito a sua volta.

Nell’ambito del web, le raccolte di dati personali più delicate sono quelle che hanno come finalità quella del marketing, per le quali il GDPR stabilisce come base giuridica il consenso. Ciò significa che se effettui una raccolta di dati personali per l’invio di newsletter (finalità di marketing) o per attività di telemarketing (altra finalità di marketing), dovrai richiedere il consenso esplicito all’utente per poter fare uso dei suoi dati.
La delicatezza sta nel fatto che per essere considerato valido e lecito, il consenso deve avere determinate caratteristiche, che si riflettono a cascata sulle caratteristiche che dovranno avere i moduli del tuo sito web.

Secondo quando stabilito dal GDPR, il consenso al trattamento dei dati personali deve essere:

• Informato
La formula usata per richiedere il consenso deve essere comprensibile, semplice e chiara. Ogni raccolta deve essere associata ad una specifica informativa, che informi l’utente sulla finalità per cui i suoi dati sono raccolti, quali sono i tempi di conservazione e quali sono le modalità con cui i suoi dati saranno trattati.

• Specifico
Il consenso deve essere granulare, vale a dire raccolto in modo puntuale per ciascuna delle finalità scelte e per le modalità di trattamento previste. Se le finalità per le quali raccogli i dati sono N, dovrai ottenere N consensi.

• Libero
Il consenso deve essere manifestato tramite una “dichiarazione o azione positiva inequivocabile”, ad esempio tramite la spunta manuale di una casella (check-box), che non deve essere pre-spuntata.

• Revocabile
Si deve predisporre un sistema per permettere all’utente di revocare il consenso in qualsiasi momento e in modo semplice, così come è stato semplice darlo.

• Documentato
Il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato consenso a uno specifico trattamento, per cui in fase di raccolta è consigliabile raccogliere e memorizzare i dati che possono aiutare a documentarlo, ad esempio indirizzo IP, data e informativa privacy aggiornata al momento del consenso.

Seguendo i principi fondamentali della protezione dei dati, combinati alle caratteristiche di un consenso lecito, è possibile capire quali caratteristiche dovrà avere un modulo di raccolta dati di un sito web.

Come creare moduli di raccolta dati a norma

Siamo arrivati al dunque. Come si concretizzano le indicazioni teoriche del GDPR? Quali sono le caratteristiche che deve avere un modulo di raccolta dati conforme?
Qualsiasi sia il fine per il quale raccogli i dati personali sul tuo sito, devi accertarti che i moduli di raccolta dati raccolgano un consenso lecito, e che la raccolta avvenga nel pieno rispetto dei principi fondamentali del GDPR.

Link a informativa privacy

Il consenso che raccogli con il tuo modulo deve essere “informato”. Nel modulo di raccolta dati devi quindi inserire il link all’informativa privacy del sito, luogo in cui l’utente può “informarsi” e capire bene a quale scopo stai chiedendo i suoi dati, come andrai ad utilizzarli e conservarli, per quanto tempo li conserverai.
Nel rispetto del principio di correttezza e trasparenza la formula usata per richiedere il consenso dovrà essere comprensibile, semplice e chiara. In altre parole, l’utente deve capire facilmente quello che gli stai comunicando, senza dover fare nessun sforzo interpretativo.
Solitamente si prevede una casella apposita del tipo “acconsento all’utilizzo dei miei dati personali secondo quanto stabilito dall’informativa privacy”, completa di link, per accertarsi che l’utente accetti l’informativa.

Richiesta del consenso non preimpostato sul sì

Affinché il consenso possa ritenersi “informato” e “libero” dovrà essere manifestato tramite una “dichiarazione o azione positiva inequivocabile”, come lo può essere una spunta manuale su una casella (la cosiddetta “check-box”). Inoltre, dovrà essere esplicito (non tacito o presunto) e non potrà quindi essere raccolto attraverso caselle già pre-spuntate.
I moduli del sito devono quindi:

  • Prevedere delle caselle spuntabili dall’utente
  • Tali caselle devono essere impostate su “no” o essere vuote: non puoi prevederle già spuntate sul sì.

adeguamento gdpr sito web consensi

Richiesta del consenso raggruppato per tipologia

Il consenso deve essere “specifico”, vale a dire che la casella per l’accettazione dell’informativa privacy deve essere separata da quella relativa ad altre finalità. Ogni fine per cui raccogli i dati dovrà avere la sua casella da spuntare.
Dovrai prevedere, ad esempio:

  • Un consenso solo per l’accettazione dell’informativa privacy
  • Un consenso separato per l’iscrizione alla newsletter
  • Un consenso separato per il contatto commerciale

adeguamento gdpr sito web tipologia consenso

Richiesta del consenso granulare

Gli utenti devono poter fornire un consenso separato per i diversi tipi e modalità di trattamento dei dati. Se per esempio prevedi di contattare l’utente via telefono piuttosto che via email o SMS, potrai dare all’utente la possibilità di scegliere la modalità preferita.

adeguamento gdpr sito web contatto commerciale

Semplicità nella gestione e revoca dei consensi

Nel rispetto dei diritti degli utenti, è importante dare loro la possibilità di gestire i propri consensi. Dovrai permettergli di modificarli, di decidere la frequenza dei contatti (se previsto), di revocarli.
Il consenso deve infatti essere “revocabile”, e deve essere facile per l’utente rimuovere i suoi consensi così come è stato facile per lui darli. Nel caso dell’iscrizione alla newsletter, è fondamentale inserire il link alla cancellazione (che corrisponde alla revoca del consenso) in ogni newsletter che invii.
Puoi eventualmente anche inserirlo nello stesso form di iscrizione.

adeguamento gdpr sito web gestione consensi

Consenso a condivisione e trasferimento di dati a terze parti

In nome della trasparenza, se prevedi di trasferire o condividere i dati raccolti con altri soggetti, devi identificare chiaramente ciascuna terza parte. Non è sufficiente fare riferimento ad “organizzazioni di terze parti”; le terze parti vanno specificate con il nome della società.
Questo per te è rilevante soprattutto quando ti appoggi a consulenti o agenzie esterne per alcune attività di digital marketing, come ad esempio l’invio di newsletter, o utilizzi tool e software per la condivisione e la gestione dei dati. Se questi partner sono extraeuropei e memorizzano i dati personali che gli dai in pasto su server extra UE, è ancora più importante notificarlo agli utenti e richiedere il loro consenso (dopo essersi assicurati che rispettino le garanzie minime in materia di protezione dei dati.

adeguamento gdpr sito web trasferimento dati

Minimizzazione dei dati

Il principio di minimizzazione dei dati del GDPR prevede che non vengano trattati più dati rispetto a quelli necessari. Ciò significa che dovresti controllare per ogni modulo del tuo sito che i dati raccolti non siano ridondanti, e che siano i soli necessari per la finalità per cui li stai raccogliendo.
Se la finalità di raccolta è quella di invio di newsletter potresti considerare di richiedere solamente l’indirizzo email. Nel caso in cui tu voglia raccogliere altri dati, ad esempio la data di nascita, dovrai specificarne il motivo (es. per comunicazioni o promozioni legate al compleanno dell’utente). Valuta di impostare come obbligatori solamente i dati strettamente necessari.

Conformità al GDPR oltre il form

• Protocollo HTTPS per un trasferimento sicuro
Il protocollo HTTPS permette di rendere sicuro l’invio di informazioni personali tra browser e server web. Nel passaggio che va dal modulo di raccolta del sito al server che li ospiterà, i dati vengono cifrati diventando inalterabili e intercettabili da terzi.

• Dove vengono conservati i dati raccolti?
Quando si raccolgono dati personali è necessario stabilire delle misure di sicurezza per la loro conservazione, come stabilito dal principio di integrità e riservatezza del GDPR. Per poter documentare il consenso raccolto, dovresti memorizzare assieme al dato anche alcune informazion, come ad esempio indirizzo IP dell’utente, data e ora del consenso, informativa privacy accettata dall’utente, …

• Gestire la scadenza del dato
Altro principio base del GDPR è la limitazione della conservazione. Quando si raccolgono dei dati per una precisa finalità è importante stabilire il periodo di conservazione, indicandone la scadenza. Alla scadenza del dato dovrai cancellarlo da tutti i tuoi database, a meno che lo stesso dato non venga sostenuto da una finalità diversa, non ancora scaduta.



Utilizziamo cookie propri e di terze parti per gestire, migliorare e personalizzare la tua esperienza di navigazione del sito. Utilizziamo anche cookie di profilazione per inviarti messaggi pubblicitari in linea con le tue preferenze. Per maggiori informazioni su come utilizziamo i cookie e su come rimuoverli, consulta la nostra politica sui cookie. Cliccando sul pulsante “Accetto” o continuando a navigare il sito o questa pagina, acconsenti all’utilizzo dei cookie.