search
Il media che reinventa l'impresa
Registrare un software

Come rendere un sito web conforme al RGPD

Come rendere un sito web conforme al RGPD

Da Nathalie Pouillard

Il 28 ottobre 2024

RGPD + sito web... La combinazione di queste due parole vi fa venire i brividi?
In effetti, non può esservi sfuggita questa informazione: il RGPD, il Regolamento Generale sulla Protezione dei Dati Personali, richiede che i vostri strumenti siano conformi, in modo da poter trattare al meglio le informazioni che raccogliete dai vostri clienti, potenziali clienti e altri utenti (partner, dipendenti, ecc.).
In questo articolo ci concentriamo sul RGPD applicato ai siti web.

Sia che la vostra piattaforma web sia semplicemente la vostra vetrina, sia che vendiate online, avete degli obblighi. Sono in gioco la soddisfazione dei vostri clienti e la vostra reputazione online.

La buona notizia è che abbiamo alcune raccomandazioni e strumenti per voi. Facciamo il punto!

RGPD e sito web, quello che c'è da sapere

Ecco un video che riassume cos'è il RGPD e perché è stato introdotto:

☞ Avete una vetrina o un sito di e-commerce?
☞ Utilizzate i cookie, i tracciatori pubblicitari depositati su smartphone, computer e tablet degli utenti?
☞ Offrite moduli di contatto o inviate una newsletter?
☞ Siete un'azienda privata o pubblica, grande o piccola, con sede nell'Unione Europea o la cui attività riguarda residenti europei?

Siete TUTTI interessati alla conformità, perché raccogliete, utilizzate e memorizzate dati personali.

Perché rendere conforme il vostro sito web?

☞ Per rispettare la legge sulla protezione dei dati della CNIL e la sua estensione: il RGPD;
☞ Per proteggere i vostri clienti e potenziali clienti;
☞ Per garantire una e-reputation impeccabile;
☞ Per evitare sanzioni amministrative e penali, che possono arrivare fino al carcere (5 anni) e al pagamento di somme astronomiche (300.000e fino al 4% del fatturato mondiale annuo dell'azienda in N-1, che può rappresentare diverse decine di milioni di euro).

Il sito vetrina

Un sito vetrina è un sito web che presenta la vostra attività ma, nonostante l'obiettivo commerciale, non offre vendite online.
Offre una serie di vantaggi:

  • la vostra azienda si costruisce una reputazione online, di fronte ai vostri concorrenti;
  • coltivate un'immagine di marca che vi aiuti a distinguervi dalla massa;
  • comunicare i propri prodotti e servizi;
  • acquisite contatti, potenziali clienti che un giorno potrebbero diventare tali, grazie a :
    • un modulo di contatto,
    • iscriversi alla vostra newsletter;
  • mantenete il rapporto con i vostri clienti tenendoli informati, ad esempio attraverso una sezione di news o un'area clienti integrata.

Le informazioni raccolte attraverso il sito vetrina sono generalmente indirizzi e-mail, cognomi e nomi, eventualmente indirizzo o area geografica (dipartimento), talvolta età e sesso, azienda, ecc.

I vostri obblighi:

  • mostrate le note legali (di solito nel footer) in modo da poter essere identificati come editore del sito e informare i visitatori dei loro diritti;
  • raccogliete solo le informazioni necessarie e potete giustificarle;
  • informate l'utente delle finalità per cui le informazioni sono raccolte, del trattamento previsto, del periodo di conservazione e degli eventuali destinatari (avvisi CNIL);

Ai sensi dell'articolo 6 del RGPD :

Il trattamento è lecito solo se la persona interessata ha acconsentito al trattamento dei suoi dati personali per una o più finalità specifiche.

  • ottenete il consenso dell'utente in modo esplicito e attivo, senza spuntare alcuna casella;
  • conservate la prova del loro consenso;
  • date loro la possibilità di contattarvi per modificare le loro informazioni, cancellarle o ritirare il loro consenso in modo semplice,
  • informate l'utente della vostra politica di riservatezza (link a una pagina dedicata sul vostro sito).

L'articolo 17 del Regolamento generale europeo sulla protezione dei dati (GDPR) sul "diritto alla cancellazione", o "diritto all'oblio", consente alle persone di richiedere la cancellazione dei propri dati personali alle aziende che li detengono.

RGPD formulaire de contact exemple 1

Il sito di e-commerce

Si tratta di un sito di vendita online, una piattaforma che consente a un rivenditore o a un fornitore di servizi di vendere i propri prodotti o servizi su Internet, indipendentemente dalla posizione geografica. Oltre a generare vendite, e quindi ricavi, è possibile migliorare la conoscenza dei clienti.

Come il sito vetrina, dà visibilità alla vostra azienda e alla sua attività, sviluppa la sua immagine di marca e mira a raccogliere informazioni chiave su :

  • clienti che effettuano acquisti (prodotti preferiti, indirizzo, età, dati bancari, ecc.) ;
  • ma anche i visitatori che possono creare un account, chiedere di ricevere informazioni promozionali e condividere i loro dati di contatto e le loro preferenze, senza passare dal carrello.

I vostri compiti:

  • effettuerete gli aggiornamenti tecnici necessari e controllerete regolarmente la sicurezza del vostro sito:
    • accesso https in tutto il sito,
    • richiesta di una password complessa,
    • transazioni sicure e memorizzazione dei dati bancari tramite una terza parte fidata (vedi gateway di pagamento e pagamenti ricorrenti);
  • come per il sito vetrina, raccogliete solo le informazioni necessarie per elaborare la transazione ed eventualmente la relazione con il cliente che ne deriva (compleanno, per poter fare un regalo in seguito, ecc.);
  • il processo di vendita prevede anche la fornitura di informazioni sul trattamento dei dati, l'ottenimento del consenso e il diritto del cliente di consultare i dati;
  • create una pagina "privacy" o "politica di riservatezza" sul vostro sito, che comunicate sistematicamente e mantenete aggiornata.

I cookie

È possibile inserire dei tracker pubblicitari quando si riceve una visita, sui dispositivi degli utenti, come lo smartphone o il computer.
Questi strumenti strategici vi permettono di analizzare le loro abitudini di navigazione e di consultazione o di consumo, di fornirvi spunti per migliorare la vostra offerta e la struttura del vostro sito (tipo di pubblico, pagine consultate, tempo trascorso per pagina, ecc.) e di inviarvi pubblicità mirata.

Attenzione ai vari servizi accessori del vostro sito, come Google Analytics, che raccolgono ed elaborano dati personali:

  • indirizzo IP
  • identità
  • dati di contatto
  • geolocalizzazione, ecc.

Assicuratevi di disattivarli fino a quando non avrete ricevuto un chiaro consenso da parte dell'utente.

Obblighi dell'utente:

  • A seconda dello scopo del tracker (facilitare il processo di vendita, inviare pubblicità mirata), dovete ottenere il consenso o almeno informare il visitatore prima di inserirlo nel suo terminale;
  • se ce ne sono diversi (marketing, analisi, ecc.), date la possibilità di spuntarli in un elenco e spiegate quali sono obbligatori e perché.

💡 Buono a sapersi: Il consenso è valido per un massimo di 13 mesi per un cookie. Dopodiché è necessario chiedere nuovamente il consenso.

Come si fa a rispettare il RGPD?

Le azioni da intraprendere sono ben riassunte in questa infografica:

Plezi

▶︎ Formazione

L'ideale sarebbe iniziare a formare i vari responsabili del trattamento dei dati (amministratori delegati, dirigenti, responsabili del marketing, delle vendite, dell'IT, ecc.) in modo che tutti abbiano una solida base di conoscenze tecniche e giuridiche e conoscano le migliori prassi.
Oltre ad avvocati ed esperti digitali, la CNIL offre un workshop MOOC gratuito.

▶︎ Privacy by design

Se state creando il vostro sito dopo l'entrata in vigore del RGPD, dovete tenere conto degli obblighi di sicurezza e rispetto dei dati fin dalla fase di progettazione. Si tratta della cosiddetta Privacy by design. Questo vale anche per gli strumenti di CRM.

Ma per chi ha un sito risalente all'era precedente al RGPD, ci sono una serie di elementi da considerare e combinare: ecco la nostra lista di controllo del RGPD.

▶︎ Nominare un DPO ed effettuare un audit

Ai sensi dell'articolo 37 del Regolamento generale sulla protezione dei dati (GDPR), dovete nominare un DPO se soddisfate almeno uno di questi criteri:

  • siete un'autorità pubblica o un ente pubblico;
  • i dati che trattate :
    • richiedono un monitoraggio regolare e sistematico a causa della loro portata e/o finalità;
    • sono sensibili (dati sanitari, dati religiosi, ecc.).

Leggi anche: Le basi del RGPD

Sia che utilizziate un fornitore di servizi esterno (consigliato perché più neutrale) o il vostro responsabile IT, eseguite un audit del vostro sito web.
Avrete presto una serie di specifiche che comprendono :

  • un inventario delle varie operazioni di trattamento dei dati in tutti i vostri reparti,
  • i miglioramenti da apportare, classificati in base all'urgenza e alla sensibilità.

▶︎ Aggiornare il vostro sito web

Attenzione: che usiate WordPress, Joomla, Drupal, Wix o qualsiasi altro CMS, questi utilizzano plug-in che non sono necessariamente aggiornati alla normativa europea.
Per quanto riguarda video, player e mappe interattive, assicuratevi di gestire le richieste di consenso, poiché anche questi servizi raccolgono dati, a volte senza consenso.

Prima del RGPD

  1. Creare o aggiornare la pagina "Informativa sulla privacy";
  2. Adattare i vostri moduli per includere le informazioni obbligatorie;
  3. Adattare il banner dei cookie: esistono strumenti per creare un banner dei cookie conforme (cookiesecure, cookiebot, ecc.);
  4. Creare un modello di gestione delle preferenze degli utenti Internet se si inviano diverse newsletter o notifiche tematiche;
  5. verificare la conformità di tutti gli strumenti accessori del sito (plug-in, ecc.).

💡 Da sapere: Per quanto riguarda le informazioni obbligatorie, è possibile indicarle in ogni singola pagina o in una pagina dedicata, ben visibile e facile da consultare.

▶︎ Utilizzare un software per gestire la conformità

Uno strumento può rendere la vita molto più facile quando si tratta di gestire e monitorare la conformità.
Questi strumenti non garantiscono che il vostro sito sia conforme, ma piuttosto che abbiate una linea guida per organizzarvi meglio, centralizzare la documentazione, vedere il lavoro in corso e lavorare in collaborazione con tutti i vostri team di risorse umane, contabilità e marketing.

Questo è il caso di Data Legal Drive.

Il software di governance della conformità RGPD consente di :

  • centralizzare i documenti che attestano la responsabilità della vostra azienda,
  • elencare le operazioni di trattamento dei dati personali effettuate,
  • compilare un registro del trattamento dei dati,
  • effettuare una diagnosi interattiva della vostra azienda,
  • visualizzare i progetti di conformità del vostro sito web e il loro stato di avanzamento, in tempo reale,
  • registrare le richieste delle persone interessate dal trattamento dei loro dati,
  • monitorare le violazioni identificate internamente o segnalate da un subappaltatore,
  • beneficiare dell'esperienza dell'editore in materia di informatica e diritto dei dati.
    Inoltre, un responsabile del successo e un esperto legale sono a disposizione per rispondere alle vostre domande e determinare se avete bisogno di un servizio interno.

Un'altra soluzione degna di nota: il capitano DPO

La soluzione offre :

  • gestione collaborativa della conformità,
  • generazione di report in pochi clic,
  • un cruscotto dinamico,
  • la possibilità per il vostro DPO di tenere diversi registri,
  • gestione delle richieste di rettifica,
  • integrazione del software CNIL,
  • connessione diretta dei vostri subappaltatori alla piattaforma,
  • un elenco di subappaltatori che utilizzano i vostri dati, ecc.

Esistono altri software: Smart Global Compliance Booster, myDPO, Axeptio, ecc.
Non esitate a chiedere diverse dimostrazioni o versioni di valutazione.
Oltre alla funzionalità, la facilità d'uso, il prezzo e l'assistenza reattiva possono essere fattori decisivi per la vostra scelta.

Considerate l'RGPD come un'opportunità, non come un vincolo

Viviamo in un'epoca di etica, consumo di qualità e rispetto della privacy. Il vostro coinvolgimento sarà premiato con informazioni di qualità sui vostri clienti o potenziali tali, in uno spirito di rispetto reciproco e di piena conoscenza dei fatti. L'antitesi del GAFA, insomma.

Se il vostro sito è conforme al RGPD, c'è meno rischio di hackeraggio o di fuga di dati (ricordate il "FacebookGate", lo scandalo dei dati recuperati dalla società Cambridge Analytica): la vostra reputazione online è preservata e i vostri clienti possono stare tranquilli!

L'altro vantaggio fondamentale è che, nonostante lo sforzo finanziario e organizzativo inizialmente richiesto, il ritorno sull'investimento è garantito grazie a una raccolta dati più meticolosa e mirata: le vostre newsletter e notifiche vengono inviate a persone interessate e disponibili, e il processo di acquisto è più amichevole e rassicurante.

Un ultimo consiglio: rendete i vostri nuovi moduli e le impostazioni di gestione delle preferenze (newsletter o notifiche) più ammiccanti e facili da usare. Gli utenti di Internet sono molto sotto pressione al giorno d'oggi e sono tentati di rispondere negativamente. Fate in modo che vogliano seguirvi con frasi originali, distinguetevi, è il momento giusto!

visto su @blogduwebdesign (a sinistra) e © maddyness (a destra)

La fedeltà è alla fine del tunnel! E soprattutto, non sei un fuorilegge. 🤠

Articolo tradotto dal francese