Informativa sulla privacy gdpr per il tuo sito web: come scriverla correttamente

Uno dei capi saldi del GDPR è l’informativa sulla privacy, che rappresenta il primissimo step dell’adeguamento di un sito web. Vediamo in cosa consiste e come scriverla correttamente.

Informativa sulla privacy

L’informativa privacy gdpr è un documento, cartaceo o digitale, che il Titolare dei dati deve consegnare a tutti gli interessati per informarli sulle modalità del trattamento. Questa comunicazione deve avvenire, ovviamente, anche in rete, tant’è che all’interno di ogni sito web deve essere presente una pagina che la riporti.

Questa pagina, inoltre, deve essere linkata da tutte le altre pagine del tuo sito e per tale ragione, di solito, si inserisce un link sul footer.

Un utente leggendo l’informativa può ritenersi istruito sul trattamento e questo farà si che la sua navigazione sul tuo sito sarà considerata lecita. Senza l’informativa l’utente non ha modo di sapere quali sono i dati che stai tracciando e sarai a rischio sanzione.

Ma cosa deve contenere l’informativa privacy gdpr?

L’articolo 13 del GDPR elenca dettagliatamente tutti i contenuti dell’informativa:

• i dati di contatto del Titolare e del Responsabile del Trattamento, se presente;
• i dati di contatto del DPO, se presente;
• un elenco esaustivo delle categorie di dati raccolti;
• le finalità per cui vengono raccolti questi dati;
• base giuridica su cui si basa il trattamento e se il conferimento dei dati è dovuto per un obbligo legale o contrattuale;
• i destinatari a cui possono essere inviati questi dati;
• dove applicabile, la volontà del titolare di trasferire questi dati verso un paese terzo e dichiararne le politiche privacy;
• periodo di conservazione dei dati;
• elenco dei diritti dell’interessato (visione, recesso, oblio, portabilità ecc..)
• informazioni riguardo l’eventuale presenza di un sistema di profilazione;

Ora che hai capito cosa deve contenere la tua informativa, non ti resta che crearla.

Ci sono vari modi per farlo.

Scrivere manualmente l’informativa con WordPress

Il primo metodo per scrivere un’informativa sulla privacy è ovviamente farla di tuo pugno. Devi sapere, infatti, che non devi per forza affidarti a un avvocato per avere un’informativa privacy gdpr corretta. Con un po’ di impegno puoi scrivere da te l’informativa, stando ben attento a inserire tutti i contenuti che ti ho citato sopra.

Ovviamente se farai tutto da solo ti prenderai ogni responsabilità di ciò che scriverai, ma il Titolare dei dati, per il principio di accountability dettato dal GDPR, rimane comunque responsabile anche se si affiderà a terzi.

In tuo aiuto arriva però WordPress che dall’aggiornamento 4.9.6 ha messo a disposizione degli utenti una fantastica opzione per la gestione della privacy. La puoi trovare sotto Impostazioni > Privacy.

WordPress ti da la possibilità di selezionare una pagina già esistente per impostarla come pagina privacy policy, un po’ come succede per la pagina degli articoli. Se invece devi ancora scriverla, cliccando sul bottone Crea una nuova pagina, ne verrà creata direttamente una nuova con dei suggerimenti che ti guideranno nella scrittura:

• chi siamo: qui puoi indicare il nome del Titolare e i suoi dati di contatto;
• quali dati raccogliamo: viene fatto un elenco dei dati raccolti a seconda del servizio utilizzato (commenti, media, moduli di contatto, cookie, analytics ecc…). WordPress ne mette alcuni di default poi dovrai aggiungere tu quelli che mancano;
• con chi condividiamo i dati: qui inserirai tutte le persone o categorie di persone che possono ricevere i dati raccolti dal sito;
• per quanto tempo conserviamo i dati: WordPress inserisce già un testo predefinito riguardo i commenti. Dovresti invece inserire il tempo di conservazione degli altri dati, come per esempio le email;
• quali diritti hai sui tuoi dati: WordPress scrive solo 2 righe a riguardo. In realtà dovresti inserire un elenco esaustivo di tutti i diritti di cui gode l’interessato (accesso, modifica, oblio, portabilità ecc…). Non è complicato, li puoi trovare facilmente su internet;
• dove spediamo i tuoi dati: campo generalmente inutile ma che puoi utilizzare per scrivere se è previsto un trasferimento extra EU dei dati raccolti;
• le tue informazioni di contatto: inserisci qui i dati di contatto, come il telefono o l’email, del Titolare o del Responsabile del Trattamento, che gli utenti possono utilizzare per esercitare i loro diritti;
• informazioni aggiuntive: qui WordPress è abbastanza chiaro, ti basta completare rispondendo alle varie sottovoci già inserite.

WordPress mette anche a disposizione una guida rapida per capire i concetti fondamentali sull’informativa sulla privacy. La puoi trovare a questo indirizzo [www.miosito.it]/wp-admin/tools.php?wp-privacy-policy-guide. Ovviamente si tratta di una guida molto semplice che dimentica di spiegare molte cose, ma può chiarirti alcuni punti principali.

In definitiva utilizzando WordPress per gestire la propria informativa:

PRO

• è completamente gratuito

CONTRO

• devi fare tutto tu, per cui la correttezza dei contenuti si basa sulla tua preparazione sull’argomento.

Iubenda: generatore di privacy policy

Un altro metodo è quello di affidarti al servizio di generatore di privacy policy di Iubenda. Tramite il loro sito potrai generare l’informativa privacy gdpr in modo molto semplice, ti basta compilare i campi richiesti.

Per prima cosa visita il sito di Iubenda ed esegui l’accesso o la registrazione, poi entra nella dashboard.
Qui troverai il pulsante “Inizia la generazione”.  Cliccaci sopra per avviare la procedura.

Iubenda ti chiederà di indicare la URL del sito o il nome della tua app (come vedi puoi generare un’informativa privacy gdpr anche per un app e una pagina facebook). Seleziona poi la lingua (se hai un sito multilingua dovrai fare una privacy policy per ogni lingua) e premi di nuovo “Inizia la generazione”.

A questo punto dovrai scegliere cosa generare. Iubenda ti da la possibilità di selezionare 3 opzioni:

• Privacy e Cookie Policy: scegliendo quest’opzione potrai creare l’informativa privacy e la cookie policy, richiesta dalla legge ePrivacy;
• Cookie Solution:  se vuoi gestire il blocco dei cookie con Iubenda senza usare altri plugin di wordpress questa è l’opzione che fa per te;
• Content Solution: è la nuova opzione di Iubenda in linea con la normativa GDPR. Questa scelta ti permette di tenere traccia dei consensi degli utenti.

Iniziamo con la generazione della Privacy e Cookie Policy.

L’immagine sopra è la schermata che ti apparirà:

1. la generazione dell’informativa è divisa in 3 step. All’inizio dovrai inserire i servizi che il tuo sito utilizza, successivamente i dati del Titolare (se il sito appartiene a te sei tu) e infine integrarla nel sito;
2. tramite questo pulsante potrai inserire i servizi utilizzati;
3. tramite questo blocco potrai sempre vedere un’anteprima della tua informativa, man mano che inserirai dei servizi questa si arricchirà di blocchi di testo;
4. qui puoi selezionare la categoria dei tuoi utenti, se hai un utenza prevalentemente europea seleziona Utenti UE, altrimenti clicca Tutti;
5. infine puoi gestire le lingue. Come ti dicevo sopra se hai un sito multilingua dovrai inserire un’informativa privacy per ogni lingua del tuo sito.

Ora non ti resta che inserire i servizi. La schermata che ti si aprirà è molto intuitiva.

Nella colonna di sinistra hai tutte le categorie di servizi, come i sistemi di accesso agli account social degli utenti, form di contatto, gestione dei commenti ecc… Quando clicchi su una categoria, sulla colonna di mezzo troverai le varie funzionalità. Infine sulla colonna di destra hai i servizi più utilizzati e la possibilità di creare un servizio manualmente se il tuo sito utilizza un plugin particolare che non trovi nell’elenco.

Quello che devi fare è aggiungere tutto ciò che utilizza il tuo sito. Quindi devi controllare cosa può fare l’utente quando visita il sito. Può commentare? Può loggarsi con facebook per esempio? Hai un e-commerce che può memorizzare il metodo di pagamento? Analizza tutte le funzionalità e di conseguenza aggiungi il servizio relativo.

Noterai che a fianco di alcuni servizi ci sarà la label “Pro”. Iubenda mette a disposizione il suo tool online in modo gratuito, ma di base è un servizio a pagamento. Quando noterai la scritta Pro vuol dire che dovrai sottoscrivere un abbonamento per potere utilizzare quella funzione.

Una volta inserito tutto ciò che dovevi inserire potrai continuare con il secondo step.

Qui non dovrai fare altro che inserire il tuo nome, indirizzo, P.iva o C.F. e la tua email a cui gli utenti potranno contattarti in caso vogliano esercitare un loro diritto privacy.

Infine il terzo step è l’integrazione della policy sul sito.

Nella versione gratuita potrai solo usare il widget fornito direttamente da Iubenda da inserire nel footer. Nella versione a pagamento potrai invece utilizzare un link diretto a una pagina esterna che contiene la tua policy oppure potrai integrarla direttamente in una pagina del sito, tramite una funzione javascript che ti fornisce direttamente Iubenda.

PRO

• molto semplice da usare;
• si può gestire sia la privacy policy che la cookie policy con il blocco;
• costo annuale per la privacy policy limitato;

CONTRO

• versione gratuita molto limitata;
• costi per il pacchetto gdpr molto alti;
• servizio generico pensato per adattarsi ad ogni situazione, poco personalizzabile

Rivolgiti a un esperto

Il terzo metodo per creare l’informativa privacy gdpr è ovviamente quello di rivolgerti a un avvocato o a un consulente. Come ti dicevo non sei obbligato, anche perchè la responsabilità rimarrà comunque in capo al Titolare, tuttavia se proprio non sai come scriverla, rivolgersi ad un esperto del settore può essere una buona idea.

Come esperto privacy, quando gestisco i siti dei miei clienti, mi occupo anche dell’adeguamento del loro sito alla normativa privacy scrivendo l’informativa e controllando anche altri aspetti, come i form di contatto, i checkbox, cookie ecc…

Se hai dei dubbi o vuoi dei chiarimenti non esitare a contattarmi.

PRO

• soluzione personalizzata alle tue esigenze e ai servizi che usi;
• persona di fiducia a cui fare sempre riferimento;

CONTRO

• costi più alti rispetto a tool online.

Non solo privacy: la Cookie Policy

Quando si parla di privacy e siti web, inevitabilmente, si arriva a parlare di Cookie.

Questi non sono altro che file temporanei che vengono memorizzati sul pc dell’utente e che inviano dati personali, tra cui per esempio l’IP.

Ti sarà sicuramente capitato di voler condividere su Facebook l’articolo di un blog (come questo di gdprcondomini per esempio!), clicchi il bottone e come per magia già vedi la tua immagine di profilo e tutti i tuoi dati. Questo accade perchè Facebook, come altri siti, hanno installato sul tuo pc dei cookie, con una durata più o meno lunga, che memorizzano certi tipi di dati che poi possono venire riutilizzati da altri siti.

Adesso magari ti verrà in mente una domanda: ma cosa c’entrano questi dannati cookie con la legge sulla privacy?
In realtà questi file sono regolati dalla normativa detta ePrivacy, ma dato che vanno a memorizzare e comunicare dati rientrano anche loro nella gestione della privacy dettata dal GDPR.

Però non temere, il discorso, almeno in linea teoria, è molto semplice. I Cookie si dividono un tre categorie:

• Cookie tecnici: questi sono i cookie di sessione, che permettono al sito di funzionare. WordPress di base ne installa circa 2-3. Se usi esclusivamente Cookie Tecnici non dovrai fare altro che scrivere l’informativa sulla privacy, facendo menzione a questi cookie. Per questa categoria non esiste nemmeno l’obbligo di inserire il classico banner di notifica sul sito. Esempi di questa categoria sono i cookie che salvano i prodotti nel carrello oppure la preferenza della lingua di un sito;
•  Cookie di profilazione: questi permettono di monitorare la navigazione dell’utente permettendo così di creare una pubblicità personalizzata e mirata tramite altri servizi. Utilizzando questi cookie dovrai inserire obbligatoriamente il banner informativo, avvisando gli utenti che li stai profilando e dovrai impostare un blocco preventivo, ossia bloccare tutti i cookie fino a che l’utente non clicchi sul bottone di accettazione del banner. Ovviamente dovrai anche menzionarli nell’informativa sulla privacy e sui cookie. Esempi di questi cookie sono il pixel di facebook per fare remarketing o servizi come Smartlook, Hotjar ecc…
• Cookie statistici: non sono una vera e propria categoria, perchè la normativa li considera esattamente come quelli di profilazione, ma hanno una finalità diversa, ossia quella di avere dati statistici sulla navigazione del sito (per esempio che pagine vengono visualizzate maggiormente, il tempo di sessione ecc..). Il più usato per questo tipo di servizio è senz’altro Google Analytics.

Per Google Analytics il discorso è un po’ più ampio, per cui consiglio di leggerti GDPR e siti web: la guida definitiva per adeguare il tuo sito wordpress, dove tratto in modo più approfondito la tematica.

Ti lascio infine qui sotto una tabella riassuntiva scritta direttamente dal Garante della Privacy sui Cookie.

Conclusioni

In questo articolo abbiamo fatto una rapida carrellata dei metodi più efficaci per scrivere correttamente un’informativa sulla privacy:

• a mano: se ti sei informato e hai capito perfettamente il GDPR;
• Iubenda: se vuoi affidarti a un tool online comodo e molto semplice da usare, spedendo anche qualche soldino;
• Consulente Privacy: se vuoi andare sul sicuro e ottenere la soluzione più adatta a te.

E tu hai trovato difficoltà nello scrivere l’informativa. Fammi sapere la tua nei commenti!