0

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Regolamento Privacy (GDPR): guida per siti web

30/05/2018

Regolamento Privacy (GDPR): guida per siti web

 

Il Regolamento Privacy (noto come GDPRè in vigore dal 25 maggio 2018.


E' il testo legale di riferimento per per generare una informativa privacy a norma. 


Questa guida spiega il contenuto del GDPR, con un taglio pratico e dal punto di vista di web agency e siti web. 


Se poi vuoi ricevere assistenza legale in ambito GDPR e privacy, puoi sempre contattarci!


Ti ricordiamo che per essere sempre aggiornato sulle ultime novità legali del mondo ecommerce puoi seguire i nostri canali YoutubeFacebook e LinkedIn!

Scopri anche i nostri articoli più letti:

a. perchè Legalblink è una alternativa a Iubenda e una alternativa a Cookiebot

b. come generare termini di vendita a norma

c. come generare una privacy policy a norma per siti web e App.

 

 

Cos'è il Regolamento Privacy (GDPR)


Il c.d. "GDPR" (noto anche come Regolamento Privacy) è il Reg. (UE) 679/2016 in materia di protezione dei dati personali, entrato in vigore in tutta Europa il 25 maggio 2018.


E' un testo normativo molto importante in quanto regola la privacy in tutto il territorio europeo.


Prima del Regolamento Privacy, infatti, ogni Paese appartenente all'Unione europea aveva la propria normativa nazionale in materia di dati personali.


Il GDPR, invece, in quanto "Regolamento" Europeo è applicabile fin da subito (vale a dire dal 25 maggio 2018) in tutti in Paesi dell'Unione, senza attendere alcuna normativa di recepimento.


Pertanto, a partire dal 25 maggio 2018 il GDPR si applica in tutta Europa.


Purtroppo, il GDPR non è una legge specifica per l'ambito digitale.

Infatti, si ritiene che l'ecommerce e il mondo digital verranno disciplinati in modo più preciso da un altro importante Regolamento Europeo (già battezzato Regolamento ePrivacy), che si auspica verrà pubblicato nel 2021.


Prima della eventuale entrata in vigore del Regolamento ePrivacy, dunque, il GDPR rappresenta il testo privacy da seguire per pubblicare una informativa privacy a norma.
 

Scopri perchè LegalBlink è una valida alternativa a Iubenda.


Il GDPR non è il Regolamento ePrivacy


In questo blog abbiamo già parlato del Regolamento ePrivacy.


Questo Regolamento regolerà in modo particolare la privacy nel mondo digitale.


Il GDPR è l'attuale normativa in materia privacy.


Per avere un regolamento sulla privacy per il mondo digitale, dovremo aspettare però l'entrata in vigore del Regolamento ePrivacy.


Ambito di applicazione territoriale del Regolamento Privacy


Per rispettare il GDPR , è molto importante sapere che esistono 3 criteri di applicazione territoriale del Regolamento Privacy.


I criteri di applicazione territoriale sono i seguenti:

  • attività stabilita in Europa (art. 3, comma I, del GDPR) (il c.d. principio dello stabilimento)
  • offerta di beni e servizi in Europa (art. 3, comma II, lett. a) del GDPR)
  • monitoraggio del comportamento di persone che abbia luogo all’interno dell’Unione Europa (art. 3, comma II, lett. b) del GDPR)


Principio dello stabilimento


Se l'azienda è collocata in Europa, il GDPR si applica sempre.


Ad esempio, l'azienda del tuo sito ecommerce ha sede in Europa ma tratta dati personali di utenti statunitensi oppure australiani?


In questo caso il Regolamento Privacy  si applica in quanto l'azienda è stabilita in Europa


Facciamo un altro esempio.


La tua azienda ha sede in Italia ed ha i server in USA. Alloca i dati personali di cittadini statunitensi.


Anche in questo caso, il GDPR si applica per il solo fatto che l'azienda ha sede in Italia.


Offerta di beni e servizi


Anche una società che non ha sede in Europa può trovarsi nella condizione di dover rispettare il GDPR.


Infatti, il Regolamento Privacy si applica anche a tutte quelle aziende che offrono i loro beni e servizi in Europa(anche se non hanno sede in Europa).


Questo significa che se la tua azienda non ha sede in Europa ma offre beni e servizi a cittadini europei, il GDPR trova applicazione.


Nel nostro contesto, quando un sito offre beni e servizi in Europa?


Ad esempio:

  • è sufficiente che il sito ecommerce o sito vetrina sia online?
  • basta che l'utente abbia contattato il sito ecommerce/vetrina?
  • è necessario avere pubblicato il sito nella lingua dell'utente?


Ebbene, il Regolamento Privacy  indica alcuni criteri per capire se un sito offre beni e servizi in Europa.


Ecco quelli più comuni:

  • permettere di acquistare beni e servizi anche tramite l'Euro
  • rendere disponibile una versione del sito in una lingua ufficiale dell'Unione europea (es.: l'inglese)
  • effettuare comunicazioni di marketing direttamente verso cittadini dell'Unione europea.    


Se sono presenti uno o più degli elementi sopra indicati, il sito ecommerce/vetrina sta offrendo i prodotto/servizi a cittadini europei.


Ad esempio, un sito internet che permetta di pagare in euro, con pagine tradotte in inglese, implica l'intenzione di dirigere l'attività in Europa.


In questo caso è corretto che l'impresa rispetti il GDPR.


Pertanto, l'informativa privacy per ecommerce o sito vetrina dovrà tenere conto di tutti gli impegni previsti dal Regolamento Privacy.


Quando il sito non offre beni/servizi in Europa


Al contrario, se il sito non offre di acquistare in valuta europea e non presenta pagine in inglese (o in un'altra lingua ufficiale dell'Unione europea), non sta dirigendo l'attività in Europa. 


Pertanto, l'azienda non deve rispettare il Regolamento Privacy.


In questo caso è lo stesso utente che accetta di effettuare acquisti a suo "rischio e pericolo".


Si pensi a un cliente europeo che acceda a un ecommerce con pagine scritte solo in cinese e che offra solo la valuta cinese come moneta d'acquisto. In questo scenario, è lo stesso utente ad aver "trovato" il sito. Pertanto, se l'utente decide di acquistare su questo sito, non può poi reclamare l'applicazione del GDPR. Il sito, infatti, non sta fornendo prodotti/servizi in Europa.


Un sito del genere, non sarà quindi obbligato a pubblicare una privacy policy ai sensi del Regolamento Privacy.


Monitoraggio del comportamento degli utenti


Un terzo principio per valutare l'applicazione del GDPR riguarda il monitoraggio del comportamento degli utenti.


Questo requisiti è stato introdotto per essere certi che le grandi piattaforme online che monitorano il comportamento degli utenti rispettino il Regolamento Privacy. Stiamo parlando ad esempio di realtà quali Google, Facebook, Amazon etc: insomma, le grandi piattaforme online.


Ciò posto, il principio può ovviamente applicarsi a qualsiasi sito ecommerce, sito vetrina o App.


Il GDPR si applica a qualsiasi azienda che monitori il comportamento degli utenti online


Ovviamente, a prescindere dalla collocazione dell'azienda.


Quindi, il GDPR trova applicazione se la tua azienda è collocata fuori dalla UE ma monitora il comportamento di utenti europei.


Ecco qualche esempio di "monitoraggio":

a. controllo del comportamento degli utenti per finalità pubblicitarie o statistiche

b. monitoraggio del comportamento degli utenti e vendita di queste informazioni a terzi

c. controllo del comportamento degli utenti per migliorare il servizio offerto agli utenti stessi


In questi casi, gli utenti vengono "monitorati" online. Ebbene, se la vostra azienda ha sede fuori dall'Unione europea ma effettua una attività di monitoraggio su utenti che si trovano in Europa, l'azienda stessa è soggetta al Regolamento Privacy.

 

Quando il Regolamento Privacy non si applica


Il GDPR ovviamente non trova sempre applicazione.


Infatti, se nessuno dei principi appena descritti non è soddisfatto dalla tua azienda, il Regolamento Privacy non troverà applicazione.


Il GDPR non si applica quindi se la tua azienda:

  • ha sede fuori dall'Unione europea
  • non offre beni e servizi a persone fisiche che si trovano in Unione europea
  • non monitora il comportamento di persone fisiche che si trovano in Unione Europea


Un esempio può essere offerto da un ecommerce con sede negli U.S.A. che non monitori il comportamento di cittadini europei e che permetta di acquistare solo in dollari.


In questo caso, nessuno dei criteri sopra descritti porta alla applicazione del GDPR. Pertanto, l'informativa privacy potrà essere redatta in base alla normativa dello Stato americano ove ha sede l'ecommerce. 

 

I soggetti del GDPR


Il GDPR qualifica particolari "figure privacy". 


Per qualsiasi web agency, sito ecommerce o vetrina, è molto importante conoscere il proprio ruolo privacy.


E' importante perchè solo se si inquadra il proprio ruolo, è possibile conoscere i propri obblighi privacy.


Di seguito, quindi, analizziamo le figure previste dal GDPR. La descrizione comprende  esempi concreti per capire quali ruoli possono assumere le web agency, i siti ecommerce/vetrina e le App.  


Titolare del trattamento


E' definito dall'articolo 4, comma I, n. 7 del GDPR come colui che decide i mezzi e le finalità del trattamento.


Nel nostro contesto, il titolare del trattamento è l'ecommerce.


E' lui, infatti, che decide:

  • se trattattare i dati personali degli utenti (aprire un sito internet oppure no)
  • con quali mezzi trattare i dati degli utenti (email piuttosto che posta cartacea)
  • per quali finalità trattare i dati degli utenti (es.: marketing oppure profilazione).


Co-titolare


Su internet avrai sentito parlare di "co-titolare". Con questo termini ci si riferisce al caso in cui vi siano 2 o più "titolari del trattamento".


In ambito ecommerce è abbastanza raro e quindi non dedicheremo molto spazio e questa figura.


Ad ogni modo, è sufficiente sapere che nel caso di "contitolarità", le aziende devono firmare un accordo dove specificano i rispettivi ruoli e responsabilità. Un estratto di questo accordo deve essere poi reso disponibile all'utente (interessato) che ne faccia eventualmente richiesta.


Responsabile del trattamento


E' definito dall'articolo 4, comma I, n. 8 del GDPR come colui che tratta i dati personali per conto del titolare del trattamento.


Nel nostro contesto, il responsabile del trattamento è la web agency oppure la software house.


La web agency può sempre definirsi Responsabile del trattamento?


Non sempre. Ad esempio, si consideri il caso della web agency che si è limitata a prepare il sito offline e del cliente che ha poi continuato a gestire da solo il sito.


In questo caso, la web agency non tratta dati personali degli utenti  (proprio perchè si è limitata a creare il sito). In questo scenario la web agency non sarà considerata Responsabile del trattamento (con le conseguenze che verranno descritte in seguito quando parleremo della nomina a responsabile).


Interessato


Ai sensi del GDPR, l'interessato è la persona fisica a cui i dati personali si riferiscono.


Pertanto, per "interessato" si intende l'utente del sito ecommerce e vetrina.


Ad esempio:

  • il cliente che ha effettuato acquisti
  • qualunque persona che ha contattato il customer care (indipendentemente dall'aver in precedenza comprato un prodotto o un servizio)
  • qualunque persona fisica che ha lasciato sul tuo sito un dato personale. 


RICORDA: ai sensi del Regolamento Privacy, l'interessato può essere solo una persona fisica. Le società e le ditte non possono mai essere "interessati" ai sensi del GDPR.


Questa precisazione è importante. Infatti, l'informativa privacy deve essere presentata solo agli utenti-persone fisiche. Non è richiesta per aziende o società.


Le clausole contrattuali standard per i trasferimenti extra-Ue


Può accadere che il titolare del sito web trasferisca i dati personali dei suoi utenti a un responsabile avente il server fuori dalla Unione Europea.


Se il trasferimento avviene in un Paese per il quale la Commissione europa ha espresso un giudizio di adeguatezza, può essere utile applicare le clausole contrattuali standard.

 

La definizione di dato personale


Il GDPR definisce il concetto di "dato personale".


E' molto importante sapere cosa si intenda per "dato personale" perchè solo per questi dati si applica il GDPR.


Se scopri che la tua azienda non tratta "dati personali", il GDPR non si applicherà.


Oppure si applicherà, ma solo con riferimento a quelli che avrai definito come "dati personali".


Per dato personale si intende:

qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.


Dalla definizione di "dato personale" offerta dal Regolamento Privacy si capisce che:
 

  • il dato personale si riferisce solo a una persona fisica
  • per dato personale si intende qualsiasi informazione che permetta di identificare una persona fisica
  • il dato personale può essere qualsiasi informazione rilasciata su internet che permetta l'identificazione di una persona fisica.


Ecco alcuni esempi di "dato personale" ai sensi del GDPR:
 

  • email che rechi nome e cognome dell'utente
  • numero di telefono
  • indirizzo 
  • codice fiscale
  • dati di pagamento
  • dati che identificano il comportamento online dell'utente.


Cosa non sono dati personali ai sensi del Regolamento Privacy


Sono tutte quelle informazioni che si riferiscono a persone giuridiche.

Ad esempio:

  • capitale sociale
  • sede legale
  • partita iva (se riconducibile a persona giuridica)
  • iscrizione a Camera di Commercio
  • dati del bilancio.


Il GDPR non si applica con riferimento ai dati delle persone giuridiche.


Questo ovviamente non significa che i dati delle persone giuridiche non siano oggetto di protezione.


Questi dati sono protetti da uno specifico accordo: l'accordo di riservatezza. Questo tipo di contratto vincola una parte a non rivelare a terzi i dati di una azienda. In questo modo, importanti dati aziendali trovano protezione e non vengono condivisi.


Tutto ciò, però, non riguarda gli obblighi previsti dal Regolamento Privacy. Questo testo normativo infatti si applica solo con riferimento ai "dati personali" di persone fisiche. 


I dati personali devono essere indicati nella Privacy Policy?


Un dato molto importante per pubblicare una privacy policy che voglia rispettare il GDPR è questo: il Regolamento Privacy non richiede di inserire nella privacy policy le categorie di dati personali trattati dal sito.


Questa è una informazione utile perchè molti siti ecommerce o siti vetrina investono molto tempo nell'indicare i dati personali degli utenti. Il rischio è quello di dover poi modificare la descrizione dei dati personali ogni volta che il sito tratta nuovi dati. Con notevole investimento di tempo e costi (sopratutto legali).

 

Come ottenere un valido consenso privacy ai sensi del GDPR


Il Regolamento Privacy descrive le caratteristiche che deve possedere il consenso affinché possa ritenersi "valido".


Solo in presenza di un valido consenso privacy, infatti, la tua azienda potrà effettuare marketing ai propri utenti.


Quindi, è molto importante conoscere le caratteristiche del consenso per evitare sanzioni del Garante Privacy oppure reclami degli utenti.


Secondo il GDPR il consenso deve essere:
 

  • informato
  • libero
  • espresso
  • granulare


Consenso informato


Il consenso è informato quando è stato ottenuto in base ad una valida informativa privacy.


Una valida privacy policy, quindi, è il primo requisito per poter dire di aver ottenuto un valido consenso.


Ovviamente, la privacy policy sarà valida solo se redatta ai sensi del GDPR.


Consenso libero


Ai sensi del GDPR il consenso è libero quando non è sottoposto a "condizione".


Ipotizziamo un sito che permetta di scaricare un e-book solo se l'utente presta il consenso a ricevere comunicazioni di marketing.


Oppure pensiamo a un sito che permette l'iscrizione solo a chi presti il consenso al marketing.


In questi casi, il consenso non è libero. Infatti, l'utente è stato "costretto" a prestare il consenso SOLO per poi effettuare ciò che voleva (es.: scaricare l'e-book).


Pertanto, ai sensi del GDPR, non bisogna mai subordinare il consenso al marketing per permettere all'utente di svolgere determinate attività.


L'utente deve essere sempre libero di prestare o meno il consenso, senza rischiare "ritorsioni" da parte del titolare del sito internet.


Consenso espresso


Per esprimere il consenso l'utente deve poter svolgere un'azione positiva.


Questo significa che il sito internet non deve presentare caselle "pre-flaggate".


Ad esempio, il sito rispettare il GDPR se pubblica una formula del consenso che l'utente deve cliccare per esprime il consenso all'invio di comunicazioni pubblicitarie.


Se invece questa casella è già pre-flaggata l'utente non esprime un consenso "espresso", proprio perchè la casella non è stata "fleggata" dall'utente, ma dal sito stesso.


E' come se fosse stato il sito a decidere per conto dell'utente. Ciò ovviamente non rispetta il GDPR.


Al contrario, per rispettare il Regolamento Privacy, non devono essere presenti caselle pre-flaggate sul sito.


Le caselle alle quali stiamo facendo riferimento sono le formule al consenso per ricevere comunicazioni promozionali e newsletter.


Consenso granulare


Per consenso granulare si intende questo principio:
 

il sito deve richiedere un consenso diverso per ciascuna finalità per la quale è richiesto il consenso dalla legge.


In altri termini, se il GDPR richiede diversi consensi, il sito non può richiedere un unico consenso per diverse finalità.


Per quali e quante finalità è richiesto il consenso dell'utente? A questa domanda daremo risposta nel punto successivo.


Quando serve richiedere il consenso 


Chiarite le caratteristiche del consenso, vediamo quando è richiesto.


In altri termini, quando un sito è obbligato a richiedere il consenso dell'utente per svolgere determinate attività?


Con specifico riferimento all'ambito digitale, ai sensi del GDPR, il consenso è necessario per:

  • inviare comunicazioni di marketing (compreso l'invio di newsletter)
  • profilare l'utente
  • cedere i dati personali dell'utente a terzi.


Devi chiedere il consenso dell'utente per effettuare uno o più di questi trattamenti sul sito.


Non solo. Per ogni trattamento di questo tipo, devi ottenere uno specifico consenso. Infatti, come detto al punto precedente, il consenso è "granulare".


Quindi, se vuoi inviare comunicazioni di marketing e cedere i dati dell'utente, devi richiedere due diversi e specifici consensi.


In difetto, non rispetti il Regolamento Privacy e rischi sanzioni dal Garante Privacy oppure reclami da parte degli utenti.

 

La profilazione ai sensi del Regolamento Privacy


Il GDPR fornisce una definizione anche di "profilazione".


E' stata una novità importante. Infatti, anche prima della entrata in vigore del GDPR i siti internet effettuavano "profilazione". In assenza però di una definizione normativa, non erano sempre chiari i limiti di questa attività.


Il rischio era quello di incappare in sanzioni anche senza una reale intenzione di violare la normativa privacy.


Invece, una delle novità del Regolamento Privacy è stata proprio quella di definire la "profilazione", agevolando quindi il comportamento dei siti che vogliono rispettare la normativa privacy.


Il GDPR definisce la profilazione come:
 

qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica


Con specifico riferimento all'ambito ecommerce o digitale, la profilazione si verifica quando il sito crea gruppi di utenti in base ai loro interessi o caratteristiche.


La creazione di questi gruppi di utenti può avere diverse finalità. Le finalità più comuni sono le seguenti:

  • inviare comunicazioni promozionali 
  • finalità statistiche.


Pertanto, per avere "profilazione", il titolare del sito ecommerce oppure sito vetrina deve:

  • differenziare gli utenti in base a determinate caratteristiche. Ad esempio, differenziare gli utenti in base alle loro abitudini di acquisto
  • trattare i dati personali ottenuti da questa differenziano per determinate finalità.


Il caso più frequente di profilazione ai sensi del GDPR riguarda l'ambito pubblicitario.


Si pensi al sito che differenzia i propri clienti in base ai loro interessi per poi inviare comunicazioni pubblicitarie coerenti con questi interessi.


Come descritto ai punti precedenti, per trattare i dati personali degli utenti per finalità di profilazione, è necessario ottenere il consenso dell'utente.


Pertanto, vìola il Regolamento Privacy il sito che invia comunicazioni promozionali personalizzate senza il consenso (espresso e granulare) dell'utente.

 

Le sanzioni del GDPR


In questa guida per web agency e siti non poteva mancare una sezione dedicata alle sanzioni.


Il Regolamento Privacy prevede infatti pesanti sanzioni per i siti che non rispettano la normativa.


Infatti, il GDPR prevede sanzioni fino a un massimo di 20 milioni di euro, oppure fino al 4% del fatturato per le aziende.


Una sanzione "indiretta" è poi rappresentata dal "danno di immagine".


Infatti, una eventuale sanzione del Garante Privacy verrebbe pubblicata online. In questo caso, la tua azienda subiremo un evidente danno di immagine visto che sarebbe "additata" come una impresa che non rispetta i dati personali dei suoi utenti.

 

Come LegalBlink aiuta web agency e siti web a rispettare il Regolamento Privacy


LegalBlink è un generatore professionale di documenti legali.

E' la soluzione perfetta per pubblicare siti web a norma. Infatti, LegalBlink offre una suite con tutti i documenti legali utili per essere online a norma di legge.

Ecco alcuni documenti che puoi generare con LegalBlink:

  • condizioni di vendita
  • privacy policy
  • cookie policy
  • nomina a responsabile del trattamento
  • modulo sul recesso
  • accordo di drop shipping.


Documenti legali sempre aggiornati quando cambia la legge.

Registrati sul sito e scegli il pacchetto Fast Legal per generare una privacy policy a norma GDPR.


Con il pacchetto Easy Merchant, invece, curano tutto i nostri legali.


Per qualsiasi informazione su come rispettare il GDPR oppure su i nostri servizi, contattaci!


Team LegalBlink