GDPR e Termini di Servizio: Come tutelarsi e adeguare il tuo sito

Il tuo sito web è adeguato alle normative vigenti e ai requisiti introdotti da GDPR e Cookie Law? Vediamo insieme tutto quello che devi sapere per adeguare i tuoi siti in materia di privacy policy, cookie e raccolta del consenso per proteggere i tuoi interessi e i tuoi contenuti e, nel caso di un eCommerce, definire le condizioni di vendita.

Silvio Bompan, Content Manager di iubenda, ci mostra i principi fondamentali a come rispettarli, facendo chiarezza sui falsi miti e sui dubbi che ci sono sul tema.

Lo sapevi? SiteGround e iubenda hanno stretto una partnership! Solo per voi è possibile avere uno sconto unico sui servizi iubenda, che vi permetteranno rendere compliant il vostro sito web in modo semplice e veloce.

SCONTO IUBENDA

Come sempre vi chiedo di commentare il webinar, in modo da avere un feedback su come è andato e su come vorreste che fossero i prossimi. Sentitevi liberi di dare suggerimenti e di richiedere gli argomenti futuri che vorreste fossero affrontati. Consiglio di dare uno sguardo anche agli altri nostri webinar e seguirci sul canale YouTube di SiteGround Italia.

Infine, un paio di materiali interessanti:
Slide della presentazione di Silvio
Cookie Solution – Guida all’installazione del plugin per WordPress
Infografica sugli adempimenti richiesti dalla Cookie Law

Nota: come al solito eravate tantissimi e non siamo riusciti a  rispondere a tutti. Abbiamo girato le domande a Silvio e qui di seguito trovate le sue risposte. Queste risposte possono contenere delle semplificazioni e non sono in alcun modo da intendersi come una consulenza legale, né instaurano alcun tipo di relazione avvocato-cliente.

In quali casi è caldamente consigliata una consulenza, ed in quali invece il servizio di iubenda può bastare?

Innanzitutto è bene sottolineare che le nostre soluzioni software sono sviluppate secondo le indicazioni di un team legale internazionale fatto di professionisti che monitorano costantemente le principali normative, come il GDPR e la Cookie Law in Europa, il CCPA statunitense e l’APP australiano.

Ovviamente, essendo una soluzione in self-provisioning, è l’utente finale che procede in autonomia nella configurazione e nell’implementazione dei servizi. Per questo, puoi senz’altro mettere in regola il tuo sito/app utilizzando i servizi di iubenda, a patto che la configurazione venga effettuata correttamente.

Se hai bisogno di assistenza al riguardo, puoi contattare il team di supporto o consultare la documentazione disponibile all’indirizzo www.iubenda.com/it/help

Per avere la certezza di essere in regola al 100%, bisognerebbe poi rivolgersi a un consulente legale per revisionare a 360° non solo il tuo sito/app, ma anche la tua organizzazione. Ricorda infatti che i requisiti di legge non si applicano solo al tuo sito/app, ma all’intera attività.

La Consent Solution è obbligatoria per tutti i siti?

Potrebbe non esserlo se le tue attività rientrano nella base giuridica del contratto o del legittimo interesse (es. un form di contatto con la sola richiesta di informazioni/preventivo/prenotazione o una campagna DEM).

Se invece i tuoi moduli di raccolta dati rientrano nella base giuridica del consenso, dovrai poter dimostrare il consenso in modo inequivocabile, recuperando una serie di informazioni che sono archiviabili con la nostra Consent Solution.

Ti ricordo che la base giuridica non può essere scelta a piacimento, ma è conseguenza delle attività di trattamento che svolgi. Per fugare ogni dubbio (e non correre rischi) il consiglio è quello di rivolgersi a un legale per una consulenza.

Il consenso secondo il GDPR: https://www.iubenda.com/it/help/5424-guida-gdpr#consenso
Consent Solution: https://www.iubenda.com/it/consent-solution

Un sito che utilizzi solo google analytics con anonimizzazione degli IP è tenuto ad avere banner cookie e relativa policy?

Operando in Italia, anonimizzando gli IP ed evitando la condivisione dei dati non effettueremo profilazione (almeno secondo le indicazioni del Garante Italiano) e ci basterà disporre di una privacy e cookie policy dove andremo a indicare che ci serviamo di Google Analytics con IP anonimizzato.

Tieni presente che questa esenzione potrebbe non essere applicabile in tutti i Paesi, in quanto dipende dalla specifica normativa locale. Rivolgendoci ad un’utenza globale è quindi buona prassi disporre anche di un cookie banner e bloccare preventivamente gli script di Google Analytics.

Come anonimizzare gli IP ed evitare la condivisione dei dati in Google Analytics: https://www.iubenda.com/it/help/943-come-anonimizzare-gli-ip-ed-evitare-la-condivisione-dei-dati-in-google-analytics

Introduzione al blocco preventivo dei cookie + Infografica sugli adempimenti richiesti dalla Cookie Law: https://www.iubenda.com/it/help/1627-blocco-preventivo-cookie#infografica

Se cambio il mio provider di email marketing, devo richiedere il consenso di utilizzo dell’email per attività di marketing? Oppure devo solo comunicare il cambio del provider? Oppure non sono tenuto a fare nulla?

Se hai già ottenuto un consenso in linea con i requisiti del GDPR ti basterà aggiornare la tua privacy e cookie policy con una clausola relativa al nuovo provider e rimuovere il precedente.

Con iubenda puoi modificare la tua privacy policy esistente aggiungendo un nuovo servizio che prima non stavi utilizzando, o aggiornare la ragione sociale e l’indirizzo del titolare del trattamento. O ancora, puoi modificare l’elenco dei dati raccolti dal tuo sito web e elencati nell’informativa. Il tutto senza costi aggiuntivi e senza dover modificare il codice di integrazione sul tuo sito/app.

https://www.iubenda.com/it/help/58-modificare-privacy-policy

Nel caso il Titolare del trattamento coincida col Responsabile del trattamento è necessario specificarlo, o se è indicato solo il Titolare è implicito che sia anche il Responsabile?

Il responsabile del trattamento è una persona fisica o giuridica esterna, qualora non sia presente una figura di questo tipo non è necessario nominarla. Un esempio per chiarire la differenza tra titolare del trattamento e responsabile del trattamento: una società può raccogliere informazioni sugli utenti tramite il proprio sito web e memorizzarle utilizzando un servizio in cloud di terza parte. In questo scenario, la società è il titolare del trattamento dei dati, mentre l’organizzazione che eroga il servizio in cloud è il responsabile del trattamento dei dati.

Maggiori informazioni e template per la nomina: https://www.iubenda.com/it/help/7668-gdpr-e-requisiti-di-conformita-offline#dpa

Se ho una lista contatti email consistenti da anagrafica gestionale interna della nostra azienda come posso ovviare al GDPR per utilizzare tali email? Invio prima una richiesta?

Discorso piuttosto delicato, dai un’occhiata qui: https://www.iubenda.com/it/help/5747-gdpr-email-marketing-newsletter#email-conferma-consenso

Usando un anti-spam come RECAPTCHA di Google v1 v2 v3 non può essere usato se non si accettano i cookie di terze parti?

Google reCAPTCHA fa uso di cookie che non rientrano nella categoria di cookie esenti dall’obbligo di consenso. Andrà quindi bloccato preventivamente, ad esempio – se si utilizza la nostra soluzione – ricorrendo al tagging manuale o, se si usa WordPress, tramite il nostro plugin (rientra tra i cookie riconosciuti e bloccati automaticamente).

Introduzione al blocco preventivo dei cookie https://www.iubenda.com/it/help/1627-blocco-preventivo-cookie

Cookie Solution – Guida all’installazione del plugin per WordPress
https://www.iubenda.com/it/help/810-cookie-solution-guida-installazione-plugin-wordpress

Come si fa a bloccare il cookie Nid?

Devi risalire al servizio di Google che ne fa uso (potrebbe ad esempio essere Google Maps, qualora integrassi le mappe sul tuo sito) e bloccare lo script relativo.

Metodi per predisporre il blocco preventivo con la Cookie Solution: https://www.iubenda.com/it/help/1627-blocco-preventivo-cookie

L’utente non dovrebbe poter scegliere a quale tipologia di cookie acconsentire? Non ho capito come poter dare questa possibilità di scelta con il vostro servizio. L’utente mi pare possa solo decidere di acconsentire o meno all’uso di tutti i cookie del sito.

Fermo restando che non è ancora un requisito obbligatorio in Italia, è possibile attivare il consenso per categoria (cookie strettamente necessari, interazioni e funzionalità semplici, esperienza migliorata, misurazione, targeting e pubblicità) tramite il configuratore della Cookie Solution, qui una demo: https://codepen.io/iubenda/live/ExaVKGB (https://codepen.io/iubenda/pen/ExaVKGB/left?editors=1000 per vedere anche il codice)

Sono state mai fatte sanzioni per siti web che non bloccavano preventivamente i cookie?

Sì, anche se in scala minore rispetto al GDPR. Nel 2019 in Europa sono state inflitte multe per la violazione del GDPR per un totale di 410 milioni di euro, con Regno Unito e Italia tra i paesi più attivi. L’Italia è il paese con il maggior numero di provvedimenti, oltre 30, per un totale di circa 4 milioni di euro.

È sufficiente nel cookies banner “accetto” e “maggiori info” oppure deve essere presente esplicitamente “rifiuto tutti icookies”?

Il pulsante “Rifiuta” non è obbligatorio secondo il Garante Italiano, costituisce comunque best practice prevederlo, a maggior ragione se ci rivolgiamo ad un’utenza internazionale (ad esempio è richiesto nel Regno Unito).

Per attivarlo sul nostro cookie banner: https://www.iubenda.com/it/help/1696-personalizzare-cookie-banner#pulsante-rifiuta (trovi anche una demo dedicata)

Il cookie “usprivacy” viene generato dal configuratore iubenda quando si applica il CCPA?

Esatto, la nostra soluzione integra infatti la funzionalità CCPA dello U.S. Privacy Framework di IAB e consente di segnalare lo stato di opt-out di un consumatore all’intera rete di fornitori che supportano il framework di IAB.

https://www.iubenda.com/it/help/21170-ccpa-avviso-raccolta-dati-link-non-vendere

Nel caso di eCommerce fatto in affiliazione, i Termini e Condizioni sono essenziali? Non si vende direttamente nulla e non c’è passaggio di denaro.

Si tratta comunque di una forma di scambio commerciale a cui prendi parte favorendola, come tale è consigliabile disporre di un adeguato documento di Termini e Condizioni che contenga le opportune clausole di limitazione di responsabilità (disclaimer).

Dai un’occhiata a queste due guide:
https://www.iubenda.com/it/help/1757-termini-e-condizioni-a-cosa-servono

https://www.iubenda.com/it/help/19486-cosa-dovrebbero-includere-i-termini-e-condizioni

Come posso bloccare i cookie usando iubenda? Le uniche indicazioni sono per programmatori, ma come posso fare se non sono un programmatore?

Sono disponibili dei plugin per i CMS più popolari: WordPress, Magento, Joomla! e PrestaShop. Una volta installati e configurati, i plugin riconoscono e bloccano in automatico le principali risorse da assoggettare al consenso preventivo (per un elenco completo dei cookie bloccati automaticamente ti rimando alle singole guide dedicate che trovi linkate qui: https://www.iubenda.com/it/help/1627-blocco-preventivo-cookie#plugin).

Tra gli altri metodi ci sono ad esempio Google Tag Manager o il tagging manuale: quest’ultimo (per quanto richieda di intervenire direttamente sul codice degli script) in realtà si riduce a una modifica molto semplice (una classe e un attributo), anche per uno sviluppatore alle prime armi. Qui trovi parecchi esempi https://www.iubenda.com/it/help/674-tagging-manuale-blocco-cookie

Tutti i metodi supportati dalla Cookie Solution sono elencati qui: https://www.iubenda.com/it/help/1627-blocco-preventivo-cookie

Perchè per gli eCommerce servono anche i Termini e Condizioni? Cosa c’entrano i Termini con il GDPR?

Premesso che non sono richiesti dal GDPR, in quanto questo regola il trattamento dei dati personali, pur non essendo in genere obbligatori, i Termini e Condizioni sono essenziali per proteggerci da potenziali responsabilità e abusi, soprattutto nel caso di un e-commerce.

Dobbiamo infatti indicare le condizioni di vendita adottate dal nostro negozio online (quindi tutte le clausole relative ai metodi di pagamento, spedizione, consegna, garanzie, recessi, rimborsi, ecc.), così come previsto dalla disciplina sulla tutela del consumatore.

Qui la nostra soluzione: https://www.iubenda.com/it/generatore-termini-e-condizioni (puoi provare il generatore gratuitamente, ti basta creare un account. L’acquisto di una licenza è richiesto nel momento in cui vorrai integrare il documento all’interno del tuo sito/app)

Devo ottenere e conservare il consenso per un semplice form di contatto su un sito vetrina, se si predispone un form di contatto per rispondere alle richieste degli utenti? Ovviamente userei quella mail solo per tale scopo e non la conserverei per inviargli successivamente delle newsletter.

In questo caso potresti rientrare nella base giuridica del contratto (e non del consenso). Discorso diverso se volessi aggiungere a quel form di contatto la possibilità (facoltativa) di iscriversi alla newsletter: per quel tipo di attività avrai bisogno del consenso dell’utente.

Tieni presente che la base giuridica non può essere scelta a piacimento, ma è conseguenza delle attività di trattamento che svolgi. Per fugare ogni dubbio (e non correre rischi) il consiglio è quello di rivolgersi a un legale per una consulenza.

In caso, qui trovi molti esempi su come adeguare newsletter e form di iscrizione: https://www.iubenda.com/it/help/5747-gdpr-email-marketing-newsletter

Se volessi cominciare a vendere con print on demand o dropshipping, usando il mio sito su SiteGround, devo avere una partita IVA? Bisogna fare dei documenti legali? Iubenda, nel caso, offre questa soluzione?

Partita IVA o società, volendo puoi aprirle con i nostri servizi:

Quanto alla compliance, valgono tutte le indicazioni fatte in materia di GDPR, Cookie Law e Termini e Condizioni:

Per quanto riguarda il dropshipping bisogna comunicare ai clienti che il dati vanno al “fornitore”? Dobbiamo anche specificare chi è il fornitore di dropshipping?

No, non è necessario nominare il fornitore nei Termini e Condizioni. Meglio comunque se ti rivolgi a un legale per una consulenza specifica.

Sto per lanciare un blog di viaggi in lingua inglese, quindi rivolto a pubblico estero (Stati Uniti, Paesi anglofoni e non). Quale tipologia di pacchetto Iubenda sarebbe più idoneo per il mio caso?

Qui trovi un riassunto di cosa ti serve (o ti potrebbe servire): https://www.iubenda.com/it/help/17846-compliance-siti-blog

L’IP è da considerare come un dato personale, nel caso lo ricevo io che ad esempio gestisco un magazine online? Non essendo un internet service provider, sono dati anonimi o pseudo-anonimizzati. È corretto?

Il GDPR lo considera un dato personale, come tale devi assolvere tutti gli adempimenti previsti dal regolamento. Se ad esempio fai uso di un servizio di terza parte che traccia gli indirizzi IP (ad esempio un servizio di statistica come Google Analytics) dovrai informare gli utenti tramite la tua privacy e cookie policy e, all’occorrenza, bloccare preventivamente quel servizio se fa uso di cookie non esenti dall’obbligo di consenso.

Quindi, riferendoci ancora a Google Analytics: operando in Italia, anonimizzando gli IP ed evitando la condivisione dei dati non effettueremo profilazione (questo almeno secondo le indicazioni del Garante Italiano) e ci basterà disporre di una privacy e cookie policy dove andremo a indicare che ci serviamo di Google Analytics con IP anonimizzato.

Tieni presente che questa esenzione potrebbe non essere applicabile in tutti i Paesi, in quanto dipende dalla specifica normativa locale. Rivolgendoci ad un’utenza globale è quindi buona prassi disporre anche di un cookie banner e bloccare preventivamente gli script di Google Analytics.

Come anonimizzare gli IP ed evitare la condivisione dei dati in Google Analytics: https://www.iubenda.com/it/help/943-come-anonimizzare-gli-ip-ed-evitare-la-condivisione-dei-dati-in-google-analytics

Introduzione al blocco preventivo dei cookie + Infografica sugli adempimenti richiesti dalla Cookie Law: https://www.iubenda.com/it/help/1627-blocco-preventivo-cookie#infografica

Francesca Marano

WordPress Community Manager

Francesca è un’oratrice entusiasta e appassionata e potete trovarla in Italia o in giro per il mondo a parlare di WordPress, community, open source, donne e tecnologia, piccole imprese. Fa parte della community WordPress, organizza meetup e WordCamp a Torino e prende parte a numerosi eventi WordPress in tutto il mondo.
Oggi è anche WordPress Community Manager in Siteground.

Webinar

Inizia la discussione

Sei pronto a iniziare il tuo sito?

Scegli un piano di hosting, crea o trasferisci il tuo sito in pochi click e fai crescere la tua presenza online!

Inizia subito Parla con un esperto