GDPR siti web: la checklist

gdpr siti web

GDPR siti web: la checklist

Checklist GDPR per il tuo sito web

Il mio sito web è a norma per il GDPR?
Questa è la domanda che ci sentiamo porre più spesso dai marketer.
Anche se in azienda o in agenzia le attività formali base per l’adeguamento al GDPR sono già state fatte, spesso i marketer non si sentono sicuri che il sito web sia completamente a norma GDPR.
Ci sono tanti dettagli e tecnicismi legati al sito web, che spesso non sono facili da capire e verificare, neanche per i più esperti in materia di privacy.

Vogliamo aiutarti a fare un po’ di chiarezza.
Scopri di seguito la checklist GDPR per il tuo sito web!

1) Informativa privacy

Ormai lo avrai sentito fino allo sfinimento: l’informativa privacy del sito deve essere coerente con quanto previsto dal Regolamento Europeo sulla Protezione dei Dati Personali (pena sanzioni in caso di controlli, occhio!)

Se vuoi rinfrescarti la memoria su cosa deve contenere l’informativa privacy del tuo sito web, leggi l’articolo “Informativa privacy sito web GDPR“.

Il punto che ti vogliamo evidenziare oggi è un altro.
Il sito web non è un magazine, che una volta stampato, non cambia più.
Il sito web è uno strumento vivo, viene aggiornato frequentemente, si aggiungono nuovi tool di analisi, nuove funzionalità, nuovi modi per raccogliere i dati personali.

Allora la cosa che ti vogliamo suggerire oggi è: alza la mano!

Alza la mano quando il sito web viene modificato con nuove funzioni che possono avere influenza sul trattamento dei dati personali degli utenti che lo visitano.
Fermati un attimo e verifica con la tua agenzia o con il tuo consulente privacy se la nuova funzionalità, o il nuovo tool che vuoi collegare al sito hanno influenza lato GDPR, e chiedi come va adeguata o integrata l’informativa privacy e cookie del tuo sito web.

2) Informativa cookie e banner consensi

Non è strettamente correlata al GDPR, perché l’informativa sui cookie è regolamentata dalla cosiddetta “Cookie Law”, entrata in vigore in Italia nel 2014.

In ogni caso facciamo un breve ripasso su cosa c’è da fare:

  • Informativa cookie
    Va predisposta una pagina con l’informativa sull’utilizzo dei cookie, se il tuo sito installa cookie (e nel 99% dei casi è così).
  • Banner e richiesta consenso ai visitatori
    Ci sono solo 3 casi in cui puoi non mettere il banner per il consenso all’installazione di cookie ai visitatori del tuo sito:
          1. Se usi solo cookie tecnici o analitici di prima parte (ovvero senza ricorrere a tool esterni)
          2. Se usi solo cookie analitici di terze parti (es. Google Analytics) solo nel caso in cui siano adottate misure per ridurre il potere identificativo dei cookie (es. anonimizzazione degli IP) e nel caso in cui la terza parte (ovvero Google Analytics) non incroci le informazioni raccolte con altre di cui già dispone
          3. In entrambi le situazioni insieme, A+B

 

In qualsiasi altro caso, il tuo sito deve presentare pagina informativa cookie + banner per il consenso.
Punto 🙂

Se vuoi approfondire l’argomento, leggi l’articolo “Cookie e GDPR: il tuo sito è in regola?

3. Moduli di contatto

Naturalmente i moduli di contatto del tuo sito, per esempio per iscriversi alla newsletter, o per richiedere informazioni alla tua azienda, devono essere conformi alle indicazioni del GDPR.

Tutto si concentra sulla modalità di raccolta dei consensi.
In questo articolo trovi tutte le info utili per creare moduli di raccolta dati nel tuo sito conformi al GDPR.

Bonus
Nelle tue verifiche, tieni in considerazione anche dove vanno a finire quei dati personali, una volta che l’utente compila il modulo:

  • Vengono inseriti automaticamente nel CRM?
  • Vengono inseriti automaticamente nel software di email marketing?
  • Ti arrivano via mail?

 

Tienine conto per:
a. Integrare l’informativa privacy del sito
b. Integrare la richiesta dei consensi nel form (es. trasferimento dati fuori UE nel caso usi software extra europei per CRM o per email marketing)

4. Hosting del sito

Questo aspetto a volte passa in sordina, ma è molto importante.

Per essere tranquillo con il GDPR, ti consiglio di verificare se il tuo sito è ospitato su server con sede in Unione Europea.

Se i server sono fuori dall’Unione Europea, chiedi di verificare che il fornitore / provider offra garanzie adeguate (es. Privacy Shield per fornitori USA), e verifica se è stato nominato responsabile esterno (es. da tua agenzia web).

5. Nomina a responsabile esterno per l’agenzia web

Se il tuo sito web è gestito da un’agenzia esterna (come nel 99,9% dei casi), la tua azienda deve conferire all’agenzia la nomina di responsabile esterno al trattamento dei dati personali.
Va fatto sempre?
Dipende 🙂
Da che dipende?
Jarabe De Palo ti risponderebbe “da che punto guardi il mondo tutto dipende”, ma in realtà dipende da un fattore molto semplice.

Devi capire se la tua agenzia, in qualità di gestore/sviluppatore del tuo web, tratta dati personali dei tuoi utenti per tuo conto.
Ricorda che quando si parla di “trattamento di dati personali” nel gergo del GDPR si intendono tutta una serie di attività che si fanno sui dati personali, come ad esempio la registrazione, l’organizzazione, la conservazione, l’estrazione, la consultazione, e altre ancora.
E che il dato personale, non è semplicemente il nome o l’email di una persona, ma qualsiasi informazione riguardante una persona fisica, comprese le informazioni che rendono la persona identificabile come ad es. un numero di identificazione, dati relativi alla sua ubicazione, o identificativi online (es. uno username di un’area riservata).

Ecco alcune domande per capire se la tua agenzia web tratta dati personali del sito per tuo conto:

  • Il tuo sito web memorizza dati personali nel backoffice?
  • Se sì, la tua agenzia può potenzialmente accedere a tali dati personali? (anche per motivi di assistenza tecnica nei tuoi confronti)
  • Alla tua agenzia arrivano in qualche modo (via mail/ crm/ software email marketing/ altro) dati personali dei tuoi utenti dopo compilazione dei form del tuo sito? (es. newsletter, richiesta di contatto, …)
  • La tua agenzia web ti fornisce anche l’hosting del tuo sito?

 

Se hai risposto sì ad almeno una domanda, allora è necessario fare la nomina di responsabile esterno alla tua agenzia web.

6. Tool di terze parti collegati al sito

Anche a te piace sperimentare e testare sempre nuovi tool per il digital marketing?

Se desideri interfacciare / collegare il tuo sito a strumenti di terze parti come:

  • Software di marketing automation (es. Hubspot)
  • Software di tracking per la user experience (es. Crazy Egg, Hotjar)
  • CRM
  • Software di Email Marketing
  • Tool di analytics avanzati (es. Yandex.Metrica)
  • Tool di Live Chat
  • Pulsanti e widget sociali
  • Plugin di social authentication (per es. il Login con Facebook)
  • ….

Dopo aver verificato la conformità al GDPR, è importante che li segnali nell’informativa privacy e cookie del sito web.

Per facilitare l’analisi del tuo sito, ti suggerisco un’utilissima estensione di Chrome che ti segnala quali tool sono presenti in un sito web: Wappalyzer.

Basta aprire l’estensione sulla schermata del tuo sito web, e ti indicherà quali tool sono collegati!
Figo, eh? 😉

7. Certificato SSL per la sicurezza del sito web

Ormai è una condizione imprescindibile per la sicurezza dei siti web, grazie anche al fatto che i browser segnalano l’alert “non sicuro” per i siti che non sono dotati di certificato di sicurezza SSL per navigare il sito in https.


In soldoni, che significa?
Con il protocollo https, quando un utente invia i propri dati personali tramite un modulo del tuo sito web, durante il “viaggio” dei suoi dati personali verso il server del tuo sito, tali dati sono crittografati, permettendo di garantire la riservatezza delle informazioni inviate.
Principio di Accountability? Yes!

8. Google Analytics

Google Analytics offre nuove funzionalità di configurazioni per le aziende soggette al GDPR, come per esempio l’impostazione della scadenza temporale per la conservazione dei dati di utenti ed eventi, la sottoscrizione dell’emendamento sull’elaborazione dei dati, …

Per verificare se il tuo Google Analytics è configurato correttamente dal punto di vista del GDPR, leggi questo articolo in cui facciamo chiarezza anche su come configurare Google Analytics nel sito, prima che l’utente dia il consenso all’installazione di cookie sul suo dispositivo.

Ti segnaliamo un paio di punti su cui fare attenzione, in particolare quando avvii nuove campagne di digital marketing (es. di annunci Google Ads, o campagne di remarketing)

  • Fai remarketing con Google Analytics?
  • Condividi i dati di Google Analytics con altri tool di Google?

 

9. Remarketing / Retargeting

Oltre a Google Analytics, le piattaforme social tipicamente più utilizzate dai marketer per il remarketing sono Facebook e Linkedin.

Per quanto riguarda Facebook, lo strumento che si utilizza per il remarketing è il famoso Facebook Pixel.
Nelle normative di Facebook, è indicato che, se utilizzi il pixel di Facebook nel tuo sito, devi mettere una notifica chiara e ben visibile su ogni pagina web in cui vengono usati i pixel di Facebook, che rimandi a una pagina dove spieghi chiaramente che:

  • Terzi, tra cui Facebook, possono usare cookie, web beacon e altre tecnologie di archiviazione al fine di raccogliere o ricevere informazioni dai siti web o da Internet e usare tali informazioni per fornire servizi di misurazione e per definire i destinatari delle inserzioni
  • come gli utenti possono disattivare la raccolta e l’utilizzo delle informazioni per la targetizzazione delle inserzioni
  • dove l’utente può accedere al meccanismo per compiere tale scelta (ad es. tramite un link a http://www.aboutads.info/choices e http://www.youronlinechoices.eu/).

 

Inoltre, per le aziende UE, prima di poter usare gli Strumenti di Facebook Business che consentono a Facebook di memorizzare cookie o altre informazioni sul dispositivo di un utente finale e di accedervi, è necessario assicurarsi, in modo verificabile, che un utente finale fornisca il consenso necessario all’installazione di cookie.

Veniamo ora a Linkedin.
Per campagne di remarketing a partire dai visitatori del tuo sito web, con Linkedin puoi utilizzare il LinkedIn Insight Tag.

Il LinkedIn Insight Tag crea un cookie di LinkedIn nel browser del visitatore e abilita la raccolta dei seguenti dati per quel cookie:

  • metadati tra cui indirizzo IP
  • data e ora
  • eventi della pagina (come le visualizzazioni della pagina).

 

Anche qui, come per il Facebook Pixel, devi:

  • notificare nel banner dei cookie che utilizzi cookie di terze parti per l’invio di pubblicità mirate, al di fuori del tuo sito web.
  • indicare nell’informativa cookie e privacy che utilizzi il tag di Linkedin per il remarketing
  • spiegare come e dove l’utente può rimuovere i cookie per il remarketing di Linkedin.

 

Speriamo che questo articolo ti sia stato utile.
Se desideri approfondire questi temi, o vuoi fare un’analisi dettagliata sul tuo sito web per verificare se è tutto ok sotto il punto di vista del GDPR, chiamaci per un caffè!



Utilizziamo cookie propri e di terze parti per gestire, migliorare e personalizzare la tua esperienza di navigazione del sito. Utilizziamo anche cookie di profilazione per inviarti messaggi pubblicitari in linea con le tue preferenze. Per maggiori informazioni su come utilizziamo i cookie e su come rimuoverli, consulta la nostra politica sui cookie. Cliccando sul pulsante “Accetto” o continuando a navigare il sito o questa pagina, acconsenti all’utilizzo dei cookie.