Hai un sito web? Mettersi in regola per il GDPR è un obbligo.
Come sarai certamente venuto a conoscenza il 2018 ha visto importanti cambiamenti normativi in merito alla privacy e al trattamento dei dati personali.
“In un mondo in cui i prodotti ed i servizi digitali sono sempre più indispensabili, la protezione dei dati è diventata una priorità assoluta, il mancato rispetto di queste norme può infatti comportare non solo gravi conseguenze di ordine finanziario, ma anche danni significativi e di lungo termine alla reputazione ed alla fiducia nei confronti dell’organizzazione. È pertanto essenziale assicurarsi che il proprio sito rispetti gli obblighi di legge.”
Testo unico sicurezza lavoro-Dlgs 81-08.coord.pdf
Fai crescere la tua attività con

GDPR siti web: ecco cosa bisogna fare per mettersi in regola
Pertanto ti comunichiamo che a seguito dell’entrata in vigore delle nuove normative sulla privacy, dal 25/5/18 è necessario mettere in regola il proprio sito web dotandosi di una privacy policy, una coockie policy edeffettuando interventi tecnici volti al blocco preventivo dei cookies, oltre ad ulteriori adempimenti in altri casi particolari.
Data la complessità tecnica di molti aspetti che hanno messo in difficoltà aziende, liberi professionisti e artigiani il garante ha comunicato un periodo di 6 mesi di “grace period” entro il quale non verranno eseguiti controlli e sanzionate le aziende.
Se ancora non aveste provveduto, vi invitiamo a contattarci per la regolarizzazione delle informative e i dati obbligatori per legge e per l’ implementazione dei certificati di sicurezza ssl.
GDPR e siti wordpress? Ecco i migliori plug in per la privacy
Esistono molti plugin in commercio che adempiono diverse funzioni necessarie per adeguare il proprio sito alla GDPR. Purtroppo non è sempre semplice per un utente normale, capire il corretto funzionamento di tutto per impostare tutto l’occorrente. In particolare quando si entra in merito alla cookie law e al blocco preventivo questo è di difficile realizzazione anche per chi ha dimestihezza con l’informatica. Per questo vi consigliamo di risparmiare tempo e denaro, approfittando della consulenza di un esperto capace di offrirvi soluzioni complete e garantite.
Se proprio volete fare da voi ecco i migliori siti che offrono i servizi di GDPR professionali:

iubenda è il Modo più Semplice e Professionale per Generare una Privacy Policy. Genera subito una policy. Scelto da 35.000+ Clienti. Prova il Plugin WordPress.
OTTIENI IL 10% DI SCONTO SU IUBENDA!
https://bit.ly/2ptswNt

Ottieni piena conformità GDPR e con la legge sui cookie con la nostra soluzione. Disegna il tuo banner. Conformità al GDPR. Report automatico cookie. Servizi: Informativa sui cookie, Scansione automatica, Banner di consenso, Cookie Control API, Repository dei cookie.
Privacy e siti web: cosa cambia dopo il Regolamento europeo GDPR
Il 24 maggio 2016 è entrato ufficialmente in vigore il regolamento dell’Unione Europea numero 679 del 2016 che ha ad oggetto la protezione delle persone fisiche in relazione al trattamento dei dati personali, nonché alla libera circolazione degli stessi.
Questa normativa va ad abrogare la Direttiva 46 del 95 e quindi andrà a riformare (o sostituire?) il codice della Privacy del 2003. Il regolamento 679 del 2016 diventa applicabile in maniera diretta in tutti i paesi membri dell’Unione Europea a partire dal 25 maggio 2018.
Cosa cambia quindi dal 25 maggio? E cosa bisogna fare per allinearsi alla nuova normativa? Quali adempimenti per le piccole e grandi imprese? Ve lo spieghiamo qui di seguito.
Regolamento europeo 679/2016 GDPR: quali novità?
Il Regolamento europeo in materia di privacy ha introdotto moltissime innovazioni, in quanto tale fonte europea introduce nuovi diritti ed obblighi per cittadini, imprese ed enti pubblici. Le più importanti novità riguardano:
- il diritto all’oblio, che include il diritto di chiedere e ottenere la cancellazione dei propri dati personali da parte del titolare del trattamento, ma solo se ricorrono determinate condizioni previste dallo stesso regolamento. Il consenso dell’interessato non è eterno, quindi è suscettibile di modifiche.
- il diritto alla portabilità dei propri dati personali, che si applica ai trattamenti automatizzati, ma sono previste delle particolari condizioni per essere esercitato, infatti sono portabili solo i dati trattati con il consenso dell’interessato oppure sulla base di un contratto stipulato con l’interessato stesso, purché si tratti sempre di dati che servono forniti dall’interessato al titolare del trattamento. È importante che il titolare del trattamento sia in grado di trasferire i dati portabili ad un altro titolare del trattamento
- la nascita di una nuova figura, il responsabile della protezione dei dati (DPO), che avrà il compito di occuparsi di una corretta gestione dei dati personali nelle imprese e negli enti in modo da porsi quale referente principale presso ogni struttura. La designazione di un responsabile della protezione dei dati, che si occupa della attuazione del regolamento, della sensibilizzazione e formazione del personale e della sorveglianza sullo svolgimento della valutazione di impatto previsto all’articolo 35 del regolamento, è obbligatoria in alcuni casi previsti dall’articolo 37 e si tratta di una figura caratterizzata da indipendenza, spiccate competenze manageriali e autorevolezza.
I diritti degli interessati per il GDPR: quali tutele?
La normativa europea mira a tutelare la trasparenza e i diritti degli interessati prevedendo una serie di posizioni soggettive di vantaggio a favore degli interessati a cui corrispondono degli obblighi in capo a chi effettua il trattamento dei dati. In particolare, si mira a garantire:
- L’esercizio dei diritti da parte degli interessati: gli articoli 11 e 12 del regolamento prevedono che l’interessato può far valere tutti i suoi diritti ottenendo una risposta entro 30 giorni dalla richiesta. La richiesta va fatta per iscritto o anche attraverso un format online, ma può anche essere effettuata oralmente. Ciò che risulta di fondamentale rilevanza è che la risposta sia coincisa, trasparente e in un linguaggio semplice e chiaro.
- Il diritto ad un’informativa dal contenuto molto più tassativo: gli articoli 13 e 14 del regolamento prevedono obblighi sempre più stringenti per il titolare del trattamento, per eventuali trattamenti da parte di terzi e ulteriori informazioni per specificare il periodo di conservazione dei dati.
Inoltre, l’informativa deve prevedere anche il diritto di presentare un reclamo all’autorità di controllo e l’obbligo di specificare se il trattamento comporta un’eventuale profilazione nei processi decisionali automatizzati.
Nel caso in cui i dati personali non vengano raccolti direttamente presso l’interessato, allora l’informativa deve essere fornita entro un termine che non può superare i 30 giorni dalla raccolta.
L’informativa deve essere coincisa, trasparente e facilmente accessibile. Deve essere per iscritto o in formato elettronico. Se i dati non vengono raccolti presso l’interessato, allora l’informativa deve riguardare anche le categorie dei dati personali oggetto di trattamento.
Ovviamente, il titolare del trattamento deve specificare non solo la propria identità, ma anche quella del rappresentante nel territorio italiano, le finalità del trattamento, l’identità del responsabile del trattamento, i diritti degli interessati e i destinatari dei dati.
- Il diritto di accesso, che implica il diritto di ottenere una copia dei dati personali oggetto del trattamento. Nella copia deve essere indicato il periodo di conservazione previsto e le garanzie da applicare in caso di trasferimento dei dati verso paesi terzi.
Obblighi per il titolare del trattamento.
Il Regolamento Europeo prevede una forte responsabilizzazione (accountability) del titolare, del responsabile del trattamento e del responsabile della protezione. Essi hanno l’obbligo di adoperarsi nella misura in cui devono assicurare l’adozione di tutte le misure finalizzate all’applicazione e alla tutela del contenuto del regolamento.
Il regolamento prevede dei criteri specifici per la tutela dei diritti degli interessati. In primis, il criterio del “data Protection by default and by design” secondo cui il trattamento deve essere configurato fin dall’inizio tenendo conto a priori di tutte le varie fasi di tutela del trattamento prevedendo quindi una sorta di analisi preventiva fondata su attività specifiche che vanno dimostrate e documentate.
Infatti, è necessario un processo di valutazione che vada ad analizzare il rischio inerente al trattamento in modo da non avere risvolti negativi sulle libertà e diritti degli interessati. Solo dopo questa valutazione aprioristica, il titolare potrà decidere se iniziare il trattamento dei dati oppure consultare l’autorità di controllo per capire come gestire un eventuale rischio che si profila. L’intervento, però, della autorità di controllo sarà ex post, cioè successivo.

Base legale del trattamento: il consenso
Alla base del trattamento dei dati deve sussistere un fondamento legale importante. Si individuano diverse tipologie di base legale del trattamento, tra questi figura il consenso dato dalla persona interessata. Tale consenso non necessariamente deve risultare da una forma scritta, malgrado essa rappresenti il modus operandi che va a configurare un consenso inequivocabile.
Per i dati sensibili l’articolo 9 del Regolamento Europeo prevede che il consenso debba essere esplicito. La forma esplicita è prevista anche per i trattamenti automatizzati così come stabilisce l’articolo 22 del regolamento nei casi di profilazione web.
Per i minori, il consenso è valido se hanno già compiuto 16 anni (anche se la legge nazionale può abbassare il limite a 13 anni). In caso contrario, sarà necessario il consenso dei genitori o del tutore.
Il consenso deve essere in tutti i casi libero, inequivocabile, incondizionato, gratuito e informato: non è ammesso un consenso tacito o presunto. Ovviamente, il regolamento pone a carico del titolare l’obbligo di dimostrare che l’interessato abbia dato il proprio consenso al trattamento dei dati.
In caso di vertenza legale avente ad oggetto il consenso, il trattamento dei dati si ritiene presuntivamente illecito, quindi incombe sul titolare dimostrare la prova che il consenso sia stato prestato, in rispetto al principio generale di responsabilità che deve sempre caratterizzare la condotta del titolare.
Adeguarsi al Regolamento europeo: cosa devono fare le imprese.
Dopo questa carrellata di novità e cambiamenti, bisogna capire come allinearsi alla nuova normativa. Il rispetto delle nuove regole europee è fondamentale sia per la propria immagine professionale sia per le sanzioni che sono molto aspre, perché prevedono un esborso pecuniario pari al 4% del fatturato annuo o fino a 20 milioni di euro.
Per non incorrere in sanzioni, quindi bisogna aggiornare e regolarizzare il proprio sito web per il GDPR. Come fare? Innanzitutto, le imprese devono dotarsi di:
- Privacy policy, che consiste in un documento legale indicante le modalità in cui il sito web raccoglie, elabora, memorizza, condivide e protegge i dati degli utenti, insieme con un’indicazione relativa alle finalità del trattamento ed ai diritti degli utenti.
- Cookie policy, cioè un documento legale che si occupa del trattamento e tracciamento dei dati mediante tecniche di profilazione.
Quali adempimenti implicano una privacy policy e una cookie policy? Bisogna effettuare delle distinzioni, tenendo conto che il sito web potrebbe appartenere a una piccola o grande impresa.
Privacy policy: obblighi per le piccole imprese….
Le piccole imprese, che hanno un sito web, un blog o un e-commerce di minuscole dimensioni, avranno l’obbligo di trattare la raccolta dei dati mediante moduli, format d’iscrizione senza ricorrere a caselle pre-spuntate.
Basterà prevedere:
- un consenso informato dove l’interessato possa inserire il proprio consenso attraverso un checkbox,
- un ulteriore consenso informato ed esplicito se si vuole raccogliere i dati a scopo commerciale
- un ulteriore checkbox per il consenso al trattamento di dati sensibili.
L’informativa sulla privacy, in ossequio agli articoli 13 e 14 del regolamento, dovrà essere chiara, coincisa e trasparente, prevedere la possibilità di inserire i dati del titolare del trattamento con i relativi contatti, i dati del responsabile del trattamento, indicare gli scopi per cui sono raccolti i dati e l’interesse del titolare al trattare gli stessi.
Non bisogna dimenticare di indicare il periodo di conservazione dei dati e la possibilità di trasferire all’estero gli stessi.
GDPR e privacy per le grandi imprese.
Se, invece, a raccogliere i dati è una grande o media azienda, per adeguarsi alla normativa bisognerà ottemperare a obblighi più stringenti e complessi.
Quelle aziende che hanno più di 250 dipendenti hanno l’obbligo di redigere un registro dei trattamenti e prevedere le misure di sicurezza per tutelare gli utenti, quindi dotarsi di particolari software di gestione e di raccolta dei dati.
Senza contare l’obbligo di prevedere corsi di formazione per il personale e l’assunzione di appositi programmatori che si occupino della gestione dei dati.
Privacy e Google Analytics.
Se si usa Google Analytics per la raccolta dei dati, sarà necessario un consenso esplicito quando è possibile identificare quella determinata persona.
Nel caso in cui invece i dati non consentano di identificare l’utente, allora non sarà necessario un consenso preventivo ed esplicito, purché sia certo che i dati vengano raccolti e gestiti in maniera anonima.
Non deve quindi essere presente un IP irriconoscibile o un user-ID in grado di collegare un determinato dato ad una determinata persona fisica/giuridica reale. Inoltre, non vi è l’obbligo di un consenso esplicito quando:
- il codice di Analytics sia stato reso anonimo
- vengono disattivate le funzioni relative a Google AdWords e alla pubblicità
- sono state selezionate le caselle che vanno ad abilitare l’incrocio tra dati e vari prodotti di Google.
Privacy e cookies: tra Regolamento e Cookie Law.
Se si opera nel territorio dell’Unione Europea o ci si rivolge a utenti europei, è d’obbligo rispettare la Cookie Law (entrata in vigore nel 2015), se l’uso dei cookie incide sia nell’installazione di tecnologia che si occupano di trattamento di dati sia nell’elaborazione degli stessi.
Gli utenti infatti devono vedere garantita la propria privacy e il trattamento dei propri dati personali, poiché esistono dei cookies che monitorano e profilano gli utenti durante la navigazione studiando i loro movimenti e abitudini (infatti, in questo caso, si parla di Cookie di profilazione).
Il Regolamento Europeo non esclude l’applicabilità della Cookie Law, visto che i cookie di profilazione sono abbastanza invasivi e possono avere una certa ingerenza nella vita privata degli utenti. Adeguarsi alla normativa sulla privacy significa anche adeguarsi alla cookie Law, predisponendo una cookie Policy che sia rispettosa di tutte le esigenze normative previste.
Per questo, è necessario che, quando si accede ad un sito web, debba essere immediatamente visibile un banner, che indichi che il sito utilizza i cookie di profilazione per inviare messaggi pubblicitari, collegato ad un informativa ampia dove sia possibile negare il consenso senza che ciò vada ad incidere sulla navigazione all’interno del sito web: rifiutare i cookies non dovrà più rendere impossibile la navigazione nel sito compromettendone le funzionalità.
Inoltre, bisogna dotarsi di un blocco preventivo per tutte le risorse che installano cookies, il consenso deve essere espresso da parte dell’utente attraverso il clic sul pulsante accetta o rifiuta i cookies. Tuttavia, non basterà più accettare i banner con il semplice scroll del sito e bisognerà rendere modificabile il consenso.
Adeguarsi al Regolamento europeo e alla Cookie Law: adempimenti tecnici
Tutte queste novità valgono non solo per i grandi siti che hanno diverse pagine, ma anche per semplici siti che non si occupano di profilazione, ma che hanno delle semplici pagine con form dei contatti.
Dal punto di vista tecnico il lavoro è molto complesso, per questo motivo di solito ci si affida a degli esperti in materia che offrono un sistema di programmazione ottimale e sempre in costante aggiornamento.
Il lavoro tecnico prevede un sito implementato da un sistema crittografato con un archivio blog che si occupi del tracciamento del consenso delle informazioni ricevute e di un’area riservata all’utente che può accedere ai suoi dati in modo da modificarli, rimuovendone il consenso, o cancellarli.
Senza contare che è necessario un servizio di backup, una Policy cookie e una Policy privacy con un’elencazione dei cookie con le diverse profilazioni, informazioni e possibilità di disattivarli.
Tutto ciò è di difficile attuazione per chi non ha esperienza nell’ambito informatico, per questo bisogna rivolgersi a dei legali specializzati in materia di privacy e di impresa oppure a dei consulenti informatici.
GDPR Siti quanto costa? Ecco la nostra offerta per i servizi di consulenza GDPR per i siti web
Adeguarsi in modo “fai da te” ai nuovi adempimenti europei e nazionali in materia di privacy non è sicuro, perciò Doctor web, specialista nel web marketing a servizio delle imprese, Vi propone un’offerta competitiva ad un costo allettante che tiene conto di tutte le novità del panorama internazionale, garantendo un aggiornamento costante su più fronti.
Se non sai dove iniziare per regolarizzare il tuo sito web è consigliabile rivolgersi a dei professionisti esperti. Qui di seguito presentiamo la nostra proposta per chi ancor non fosse in regola con i nuovi requisiti.
Effettueremo noi tutti i controlli e le implementazioni al fine di rendere il sito in regola secondo le normative Italiane in vigore, ed in particolare riguardo a:
- PRIVACY
- COOCKIES
- DATI OBBLIGATORI
- GESTIONE REGISTRI
- COMUNICAZIONI AL GARANTE
- SICUREZZA SSL
Attività previste: ecco la cecklist per il controllo del GDPR e degli ulteriori requisiti obbligatori per legge
- Analisi Cookie
- Blocco preventivo dei Cookie
- Generazione Coockie Policy e banner
- Generazione Privacy policy
- Implementazione Privacy policy
- Generazione registri e comunicazioni al garante (opzionale)
- Analisi programmi terze parti
- Anonimizzazione ip Analytics
- Controllo dati obbligatori per legge
- Certificati di sicurezza SSL e https
I costi del servizio di consulenza GDPR per siti web, cookie e sicurezza
I costi del servizio GDP possono variare in funzione della complessità del sito, del numero di componenti, o del traffico da esso generato. Per questo per avere un idea di costo più precisa consiglio di contattarci per poter esaminare il caso. Più in generale Il costo del servizio base, valido per la maggior parte dei siti, si compone di canone annuale comprensvo di configurazione iniziale e mantenimento per gli anni successivi.
Costo canone GDPR 499€ – In offerta solo per poco a sole 299€ / anno
Ricordiamo che il canone annuale varia in funzione del numero di visite del sito. Per visite superiori alle 25.000 mensili vi invitiamo a contattarci per maggiori informazioni.
Per siti web di vendita e che profilano gli utenti sarà invece necessario effettuare una valutazione e un preventivo su misura.
Invitiamo coloro che ancora non avessero provveduto a regolarizzarsi al più presto contattando lo studio.
Per maggiori informazioni mettiamo a disposizione il gdpr pdf Guida all applicazione del Regolamento UE 2016 679
Ed il link ufficiale della commissione europea https://ec.europa.eu