Sangue Blu Filippo Maria Negroni

GDPR: Cookie e Privacy Policy per principianti

G

Che cos’è il GDPR

Il GDPR (General Data Protection Regulation) è una nuova legge che entrerà in vigore a partire dal 25 Maggio 2018. Il regolamento, assieme alla direttiva ePrivacy (ePR), impone severe restrizioni e una maggiore trasparenza circa l’utilizzo dei Cookie, il monitoraggio dei visitatori (raccolta dati personali) e più in generale obbliga i gestori di un determinato sito web a garantire un livello di sicurezza adeguato. 

ATTENZIONE: Questa nuova legge interessa tutti i siti web situati nell’Unione Europea ma anche tutti quei siti che prevedono un traffico di utenze proveniente dai paesi dell’UE. In pratica, tutto il mondo.

Il consenso fornito dagli utenti deve essere preventivo, informato ed esplicito.

Ogni visitatore dovrà essere informato sulle tipologie di dati raccolti e potrà fornire (oppure no) il consenso al trattamento dei propri dati personali. L’utilizzo di una Privacy Policy adeguata è di fondamentale importanza poiché ci permetterà di descrivere quali dati saranno raccolti/memorizzati, da chi e per quanto tempo.

Per tutti coloro che non rispetteranno la normativa, le sanzioni saranno salate (fino ad un massimo di 20 milioni di euro o al 4% del fatturato globale annuo, se superiore). Entro e non oltre il 25 Maggio 2018 ogni Stato dell’Unione Europea dovrà istituire una società in grado di verificare l’adeguamento di ogni sito web. L’autorità chiamata a garantire (e valutare) il rispetto del GDPR in Italia è il Garante della Privacy.

Che cosa si intende per “dati personali”?

Per dati personali si intende qualsiasi informazione che riguarda nello specifico una persona, come ad esempio il suo nome/cognome, il suo indirizzo di residenza, la sua immagine, il suo indirizzo e-mail o il numero di telefono, i post sui social network, gli estremi bancari e persino il suo indirizzo IP. Tutti i Cookie che raccolgono informazioni sulla persona sono quindi soggetti alla normativa GDPR.

IN POCHE PAROLE: si parla di dati personali quando i Cookie sono in grado di identificare un individuo. Qualsiasi “operazione” effettuata su questa tipologia di dati (leggasi: elaborazione dati) costituisce una forma di trattamento dei dati personali.

Le tipologie di Cookie:

I Cookie sono piccoli file di testo che vengono scaricati sul tuo computer, smartphone o tablet mentre navighi su Internet. I Cookie possono essere di tre tipi:

  • Cookie Tecnici: servono ad un sito web per funzionare correttamente (come ad esempio per mantenere attiva la sessione dopo aver effettuato il login o per effettuare la normale navigazione). Senza questa tipologia di Cookie il fornitore del servizio … non potrebbe erogare tale servizio! I Cookie tecnici non vengono utilizzati per scopi ulteriori.
  • Cookie di Profilazione: servono per “tracciare” la navigazione dell’utente e suggerire – ad esempio – messaggi pubblicitari in linea con le sue preferenze d’acquisto. Avete presente quando visitate un sito che vende una determinata tipologia di prodotto e vi compaiono solo banner pubblicitari relativi al medesimo? Ecco. Chiamatelo, se volete, Stalking 2.0!
  • Cookie di Terze Parti: servono per far dialogare il sito con “altri” siti. Sono Cookie impostati da un sito web diverso da quello che si sta attualmente visitando (come ad esempio i “pulsanti social” di Facebook, Twitter, Google Plus, Youtube, etc.).

ATTENZIONE: soltanto i “Cookie di Profilazione” e di “Terze Parti” richiedono il rispetto della normativa GDPR e della Normativa ePrivacy (ePR).

Privacy: cosa viene registrato?
Trasparenza: chi mi sta monitorando?

Arriviamo al dunque, che tipo di modifiche bisogna effettuare per rendere a norma il tuo sito internet? Scopriamo insieme il “fantastico” mondo della Cookie / Privacy Policy.

GDPR, i suoi principi:

Il GDPR introduce una serie di nuovi principi:

  • Privacy by Design: il Database contenente i dati personali dell’utente deve garantire un elevato standard di sicurezza fin dalla sua progettazione.
  • Privacy by Default: i dati vengano trattati solamente per le finalità previste e per il periodo strettamente necessario a tali fini. Less is more, il quantitativo di dati raccolti deve essere ridotto al minimo e deve riguardare solo le informazioni strettamente necessarie alle finalità del sito/servizio.
  • Accountability: il titolare dovrà dimostrare l’adozione di politiche privacy e misure adeguate in conformità al Regolamento.

Cookie Policy:

L’aspetto più importante è quello di poter dare la possibilità ai tuoi visitatori di negare o modificare – in qualsiasi momento – il consenso al trattamento dei dati personali. Tale consenso deve essere richiesto all’utente tramite banner comprensibile, all’interno del quale gli utenti potranno attivare e/o disattivare i vari tipi di Cookie.

Un banner si può definire “a norma di GDPR” solo se possiede le seguenti caratteristiche: deve essere facilmente comprensibile a chiunque, deve essere preventivo (l’utente deve essere informato in anticipo sulle finalità del Cookie), deve permettere la selezione di certi cookie rispetto ad altri, deve essere registrato (l’utente lo deve accettare di sua spontanea volontà) ma soprattutto deve essere reversibile (l’utente deve poter ritirare il suo consenso in qualsiasi momento).

Il sito internet deve funzionare correttamente anche nel caso in cui l’utente rifiuti i Cookie.

Cookiebot per WordPress:

Cookiebot è un plugin per WordPress che rispetta al 100% la normativa GDPR e vi permette di creare un banner molto semplice ma efficace. Cookiebot analizza il vostro sito e raggruppa i cookie in quattro categorie distinte: necessario, preferenze, statistiche, marketing. Si occuperà poi di aggiornare in automatico l’informativa sulla base delle sue rilevazioni, permettendo all’utente di accettare/rifiutare l’utilizzo dei suddetti. Ovviamente i “Cookie necessari” (leggasi: cookie tecnici) non richiedono l’accettazione da parte dell’utente.

FASE 1: Per attivare Cookiebot è sufficiente registrare un account (gratuito con funzionalità base) al seguente indirizzo: Cookiebot.com e configurare il profilo inserendo l’indirizzo del vostro sito. Il pacchetto base-gratuito permette la registrazione di un solo sito web e possiede altre limitazioni ma vi permetterà comunque di configurarlo a dovere. Ricordatevi di far partire subito la scansione sotto la voce “Cookie” all’interno della schermata del vostro account o il plugin non funzionerà a dovere.

Cookiebot scansionerà il tuo sito web alla ricerca di Cookie e genererà un banner adeguato.

FASE 2: Per poter configurare correttamente il plugin (impostazioni WP – Cookiebot) sarà necessario scaricarlo dal repository dei Plugin di WordPress ed inserire all’interno delle sue impostazioni la chiave di registrazione ricevuta via email. 

Conclusioni: dopo la prima scansione, Cookiebot scansionerà con cadenza mensile il vostro sito web alla ricerca di nuovi Cookie e/o Cookie modificati. Se all’interno del vostro sito erano già presenti altri Plugin per la creazione di banner sulla “normativa dei Cookie” vi consiglio caldamente di disattivarli.

Privacy Policy:

Ogni sito web necessita di una Privacy Policy (Informativa sulla Privacy) adeguata. In poche parole ogni sito che raccoglie dati personali – come ad esempio un form per la richiesta di informazioni – ha l’obbligo di informare gli utenti sulle modalità con cui questi dati saranno trattati (finalità e utilizzo). 

Se state pensando di “scopiazzare” la Privacy Policy del vostro Blog preferito (il mio?) state commettendo un grosso errore. Ogni informativa sulla privacy deve essere inerente al proprio sito! La buona notizia è che esiste un ottimo servizio (gratuito con il pacchetto base) che si chiama: IUBENDA

Iubenda per WordPress:

A differenza di Cookiebot, Iubenda non richiede l’installazione di un Plugin dedicato. Sarà sufficiente recarsi nella home page del servizio: iubenda.com e procedere con la registrazione del proprio account. Se il vostro sito web non richiede la registrazione di utenze, non invia newsletter e/o non vende prodotti, probabilmente vi basterà il pacchetto base-gratuito per generare una Privacy Policy adeguata (il pacchetto gratuito permette la registrazione fino ad un massimo di 4 servizi e possiede – ovviamente – alcune limitazioni).

Una volta registrato il vostro sito all’interno di iubenda.com potrete fin da subito creare la vostra informativa sulla privacy. Vi basterà selezionare i servizi utilizzati (come ad esempio: “modulo di contatto” se si utilizza un form di contatto) e una volta generato il codice, integrarlo direttamente all’interno di un widget con editor HTML che potrete posizionare ovunque vorrete (quasi sempre nel vostro footer).

Il costo del pacchetto a pagamento è di soli 19€/anno e vi consentirà di registrare nella vostra policy molti più servizi. Inutile dire che consiglio assolutamente l’acquisto … anche perché – udite utidite – Iubenda è un’azienda 100% italiana!

Conservazione e protezione dei dati:

Ebbene, siamo giunti alle fasi conclusive di questa mini-guida (molto umile) per districarsi nel magnifico mondo del GDPR. L’ultimo aspetto da tenere in considerazione – e che spesso tende ad essere ignorato – è quello relativo alla conservazione e alla protezione dei dati raccolti.

Conservazione:

  • Diritto di accesso: ogni utente deve aver accesso ai propri dati personali e deve sapere per quale motivo vengono memorizzati (normativa sulla privacy).
  • Diritto all’oblio: ogni utente deve poter richiedere la cancellazione dei propri dati personali.
  • Portabilità dei dati: ogni utente deve aver la possibilità di trasferire i propri dati da un sistema all’altro.

Per questo motivo consiglio assolutamente l’aggiornamento di WordPress all’ultima release disponibile (v. 4.9.6) poiché si tratta di una versione in linea con le ultime normative. Sotto la voce “strumenti WP” compariranno infatti due nuove voci di menu, ovvero: “Esporta dati personali” e “Cancella dati personali”, utili ad effettuare questo genere di operazioni senza l’ausilio di plugin aggiuntivi.

ATTENZIONE: ricordatevi sempre che ogni utente ha 40 giorni di tempo per richiedere una copia gratuita dei propri dati dal momento della loro prima registrazione o accesso al sito.

Il consiglio che vi do (e che potrete trovare molto spesso in giro su altri Blog) è quello di limitare il più possibile il numero di dati sensibili raccolti. Ad esempio, l’utilizzo del plugin Contact Form per WordPress è da preferire rispetto ad altri perché non memorizza in nessun modo i dati degli utenti ma si limita ad inoltrarli via email ad un indirizzo specificato. In questo modo non rimarrà traccia nel Database del vostro CMS, fantastico no? Un link diretto alla vostra “Privacy Policy” è altresì consigliato, ricordate sempre che l’unica finalità del form è quella di consentire un contatto.

Protezione (Data Breach):

Se il tuo sito subisce una violazione della sicurezza, hai tempo fino a 72 ore per poterlo comunicare a tutti i tuoi utenti registrati. I consigli per poter avere un sito sicuro sono sempre gli stessi:

  • Utilizzare un servizio di Hosting sicuro (e che magari supporti lo standard HTTPS).
  • Effettuare backup periodici del proprio sito e del proprio Database (esistono Plugin dedicati ma si può fare anche manualmente tramite FTP).
  • Controllare regolarmente il traffico sul proprio sito e notare eventuali “anomalie”.

GDPR – Modulistica:

Per tutti i miei lettori ho realizzato un “modello base” che dovrebbe andare bene per tutte quelle attività/professioni che necessitano di memorizzare/archiviare i dati personali degli utenti. Per poterlo scaricare, vi chiedo soltanto il costo di un “Mi Piace” alla pagina Sangue Blu dove pubblicherò ulteriori notizie e articoli legati al GDPR.

CLICCA QUI: DOWNLOAD DOC

Conclusioni:

Lo scandalo #CambridgeAnalytica ha improvvisamente sensibilizzato l’opinione pubblica sulla questione della Privacy-Online, come se il “furto” di dati sensibili fosse una novità dell’ultimo minuto. Semplicemente, la maggior parte di noi non vuole vedere o non gli interessa, eppure la tutela della nostra Privacy dovrebbe essere uno dei valori più grandi, alla pari di altri diritti fondamentali.

Ebbene, lasciate che vi saluti con un aforisma:

Se non paghi per utilizzarlo, significa che il prodotto sei tu.

Vi ricordo che:

Per restare sempre aggiornati sulle prossime pubblicazioniinterviste, racconti brevi altro, mettete un bel “MI PIACE” alla pagina ufficiale: Sangue Blu – Filippo M. Negroni. È l’unico supporto di cui ho bisogno!

Filippo Maria Negroni

Laureato in Scienze della Comunicazione (BO), tecnico informatico a tempo pieno, graphic designer all'occorrenza e scrittore quando lo Jägermeister mi da una mano.

Sangue Blu Filippo Maria Negroni

Sull’autore:

Filippo Maria Negroni

Laureato in Scienze della Comunicazione (BO), tecnico informatico a tempo pieno, graphic designer all'occorrenza e scrittore quando lo Jägermeister mi da una mano.

MISSION & VISION

Probabilmente vi starete chiedendo chi diavolo è Filippo M. Negroni. Il guaio è che nemmeno io conosco la risposta ma posso dirvi comunque qualcosa su di me: Nessuno.

CONTATTI:

Email: negroni.filippomaria@gmail.com
Cell: 3398123685