L’impatto del Gdpr sui siti web è spesso sottovalutato. Molti ritengono che la redazione di una semplice privacy policy sia sufficiente per rendere conforme al Gdpr il proprio sito web. Il processo di compliance di un sito web, al contrario, parte da un’analisi del sito, delle componenti tecniche di cui è composto e dei dati che vengono raccolti e trattati.

La prima considerazione che occorre fare è legata a quali dati vengono raccolti dal sito e con quali modalità. Un sito web, generalmente, raccoglie molteplici tipologie di dati, sia attraverso i forms destinati alla compilazione da parte degli utenti (generalmente presenti all’interno delle sezioni “contatti” o “lavora con noi”), sia automaticamente per effetto della navigazione delle pagine che lo compongono.

Una volta individuati quali dati il Titolare del trattamento raccoglie attraverso il sito, è necessario definire come questi dati vengono raccolti, per quali finalità, per quanto vengono conservati e a chi vengono comunicati.

I forms di raccolta dati devono essere sempre accompagnati da una specifica informativa ai sensi dell’art. 13 del Regolamento Europeo 2016/679 coerente con le tipologie di dati raccolti e con i relativi trattamenti. Nel caso in cui le tipologie di trattamento lo richiedano, è necessario raccogliere il consenso dell’interessato; tale consenso deve essere non soltanto libero (non sono consentite caselle di spunta pre-flaggate) ma anche specifico per ogni tipologia di trattamento (ciò significa che è necessaria una casella di spunta per ogni trattamento che richieda il consenso dell’interessato).

Un altro principio contenuto nel Regolamento che influenza sia la realizzazione che la gestione dei siti web è quello della minimizzazione. Infatti, il Gdpr prevede che I dati personali debbano essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Questo principio ha come conseguenza la necessità di realizzare i forms di raccolta dati in modo tale da richiedere agli utenti di rilasciare soltanto i dati necessari al raggiungimento delle finalità dichiarate nell’informativa.

L’utente deve essere informato anche circa i dati che il sito raccoglie automaticamente come l’indirizzo IP di collegamento e le pagine visitate da ciascun utente. A tal proposito, la Privacy Policy ha lo scopo di descrivere le modalità di trattamento dei dati personali degli utenti che visitano il sito e deve contenere le stesse informazioni richieste nell’ art.13 del Gdpr.

La progettazione di un sito web è fondamentale per il rispetto della privacy

Per quanto riguarda la gestione dei cookies, l’arrivo del regolamento europeo porta con sé un forte cambiamento nella gestione del banner. Infatti, in virtù dei principi stabiliti nel Gdpr riguardanti il consenso, l’utente deve poter scegliere quali categorie di cookies accettare e deve poterlo fare prima che questi vengano scaricati nel proprio dispositivo.

Oltre ai dati cosiddetti “di navigazione”, quasi tutti i siti web rilasciano cookies, cioè piccoli file di testo salvati sul computer dell’utente che servono per il funzionamento del sito o per raccogliere informazioni riguardanti l’utente stesso. Esistono diverse tipologie di cookies: tecnici o analitici di prima parte, analitici di terze parti, di profilazione di prima e/o di terze parti. A tal proposito qui rimandiamo all’utilissima infografica rilasciata dal Garante della Privacy.