Analizza gratis il tuo sito

Come gestire l’adeguamento GDPR del tuo sito senza errori

Scopri come gestire l'adeguamento GDPR del tuo sito web senza stress. Una guida (+ checklist) per mettere a norma Privacy Policy, Cookie e newsletter.
Come gestire l’adeguamento GDPR del tuo sito senza errori | Cover articolo No Digital Brain | NDB

Diciamoci la verità: nessuno lancia un sito web con l’entusiasmo di redigere una Privacy Policy. 

Per chi fa impresa, il GDPR è spesso percepito come l’ennesimo ostacolo burocratico, perché – a conti fatti – è un labirinto di termini legali che sembra fatto apposta per far montare la frustrazione.

Quindi, ti capiamo. Tra la gestione dei clienti, le strategie di marketing e la crescita del business, l’ultima cosa di cui vorresti occuparti è controllare quanto il pixel di tracciamento sia a norma o se il banner dei cookie risulti abbastanza “evidente”.

Non abbiamo soluzioni per la frustrazione (forse, almeno). Ma per tutto il resto sì. In altre parole, in questa guida cercheremo di abbassare i livelli di stress. Vedremo allora insieme, con parole semplici e passi concreti, come adeguare il tuo sito alla normativa GDPR senza perderci la testa.

Privacy Policy e Cookie Policy, i due pilastri

Partiamo, allora, da qui. Dai due documenti fondamentali che reggono l’intera impalcatura legale del tuo sito. Parliamo della Privacy Policy e della Cookie Policy. Documenti che spesso vengono confusi, o addirittura accorpati, ma che hanno – invece – funzioni distinte.

Cos’è la Privacy Policy?

La Privacy Policy è il documento che spiega all’utente cosa ne farai delle informazioni che hai raccolto su di lui. Per questo motivo, deve dichiarare con chiarezza quali dati raccogli, perché ti servono, per quanto tempo li conserverai e, non per ultimo, con quali soggetti esterni hai intenzione di condividerli.

Cos’è, invece, la Cookie Policy?

La Cookie Policy è, invece, leggermente più tecnica. Descrive infatti quali piccoli file di testo (i cosiddetti cookie) vengono installati nel browser dell’utente, e quindi anche a cosa servono e se appartengono a terze parti come Google o Meta.

Di base, la finalità dei Cookie è duplice. Da un lato serve infatti a raccogliere dati statistici e/o di marketing (così da proporre all’utente una pubblicità pertinente ai suoi interessi). Dall’altro, i Cookie contribuiscono a migliorare l’esperienza di navigazione, per esempio tenendo in memoria quali prodotti ha incluso nel carrello.

Ma è tutto qui? Non proprio

Privacy Policy e la Cookie Policy sono due pilastri del GDPR. Senza di essi, non ci sarà mai conformità alla normativa. Tuttavia la faccenda è complicata perché, purtroppo, non basta scrivere qualche riga sul sito, da dimenticare poi lì fino alla successiva ristrutturazione del sito.

La gestione di questi due documenti è infatti un’operazione dinamica, se così possiamo definirla. Un’operazione che richiede una mappatura costante delle funzionalità del sito. Bisogna, in altre parole, monitorarlo di continuo. Hai installato un nuovo sistema di chat? Bene, devi aggiornare la Policy. Vuoi tracciare le conversioni con un nuovo pixel, magari di Meta o TikTok? Devi aggiornare la Policy. Si tratta, quindi, di un lavoro di manutenzione che va gestito con una bella dose di attenzione.

Ma cosa va inserito in questi due documenti, nel dettaglio? Rispetto alla Privacy Policy, gli elementi essenziali sono questi qua sotto:

  • chi è il Titolare e chi il Responsabile del trattamento
  • quali categorie di dati raccogli
  • cosa ti autorizza a raccogliere questi dati (es. l’esplicito consenso)
  • per quanto tempo li terrai conservati
  • chi può consultarli, oltre al Responsabile
  • se i dati vengono trasferiti fuori dall’UE
  • quali sono i diritti dell’utente a tal proposito

Per quanto riguarda i Cookie, invece, è d’obbligo che l’utente abbia possibilità di scelta. Per cui chi dà il consenso deve poter distinguere tra cookie tecnici (cioè quelli necessari a far funzionare il sito e, quindi, a migliorare l’esperienza utente) e cookie di profilazione o di marketing.

Questi ultimi, del resto, sono tra quelli ‘più invasivi’ perché sbirciano le abitudini degli utenti, il loro comportamento, allo scopo di indirizzare pubblicità mirata. Ecco perché è importante che vengano separati.

A questo punto, però, dobbiamo aggiungere qualcosa. I documenti-pilastro dell’adeguamento GDPR, infatti, sono gli stessi per tutti; ma la sostanza cambia radicalmente in base alla tipologia di sito web. Pensa, per esempio, a un blog personale. I dati che passano da lì non sono gli stessi di un ecommerce che conserva informazioni sugli acquisti. 

Vediamo allora cosa cambia, caso per caso.

Il GDPR sul blog personale

È facile pensare che se un sito non vende nulla, allora certe regole sulla privacy non si applicano. Tuttavia non è così che funziona; e la regola vale anche per i blog personali.

In altre parole, la legge non guarda al volume d’affari generato dal tuo sito, ma alla protezione delle persone. Pertanto, che tu gestisca un colosso dell’e-commerce o un piccolo blog di settore, la responsabilità sui dati resta identica.

Ecco allora che un blog, anche se amatoriale, può trovarsi a gestire una mole di dati non indifferente senza nemmeno rendersene conto.

Pensa ai commenti. Ogni volta che un lettore scrive la sua opinione sotto un tuo post, ti sta lasciando il suo nome e la sua email. O anche alle statistiche. Se usi Google Analytics o altri sistemi per capire quante persone ti leggono, stai tracciando indirizzi IP e comportamenti di navigazione. 

Certo, è chiaro: nel caso di un blog personale non avrai bisogno di un’informativa di venti pagine. C’è bisogno però di una comunicazione chiara, per dire – per esempio – che se chiedi l’indirizzo email a chi lascia un commento o vuole iscriversi alla newsletter, quella email non la venderai mai a soggetti terzi che ne faranno altro. A meno che non venga esplicitato nel consenso, ovviamente.

In più, anche qui il consenso deve essere libero. L’utente deve poter decidere liberamente se essere tracciato o meno, senza che questo gli impedisca di godersi i tuoi contenuti.

L’informativa privacy negli e-commerce

Con gli e-commerce la responsabilità sui dati raccolti sale di livello. Del resto, se vendi online, gestisci indirizzi email, ma anche di casa; numeri di telefono e abitudini d’acquisto. Possiamo immaginare l’e-commerce come una sorta di mega-archivio di dati personali.

Cosa succede allora? Succede che la tua informativa privacy non può più essere un documento generico, ma deve trasformarsi in una mappa precisa di ogni spostamento che quel dato compie. Quando un cliente preme il tasto Acquista, i suoi dati iniziano un viaggio che coinvolge diversi attori, e sei tu (o, meglio, il Titolare dei dati del sito) a guidare tutto il percorso.

A questo punto, per adeguare il tuo sito alla normativa GDPR, è importante che la Privacy Policy deve spiegare con chiarezza:

  • che il trattamento dei dati riguarda sia l’esecuzione del contratto che gli obblighi legali (in altre parole: la vendita della merce e l’emissione di una fattura)
  • che i dati dell’utente devono necessariamente passare a soggetti terzi (es. il corriere o anche il gateway di pagamento) e, soprattutto, quali sono questi soggetti terzi
  • che l’utente riceverà email di servizio (come la conferma ordine o l’aggiornamento di spedizione) senza che sia necessario il suo consenso

Come puoi immaginare, a questo punto l’informativa – così precisa e trasparente – è più di un obbligo di legge. La conformità normativa alla GDPR va rispettata, è certo; ma in ultima analisi, il suo compito è rassicurare il cliente in una fase estremamente delicata del suo customer journey: cioè proprio la fase dell’acquisto.

Non a caso, lo stesso regolamento GDPR indica requisiti precisi sulla forma della Privacy Policy. Perché le informazioni – già per legge – devono essere chiare e accessibili, scritte insomma con un linguaggio semplice e conciso. 

Come gestire le mailing list secondo le regole

Se il sito web è il tuo spazio personale (per pubblicare o per vendere), la mailing list è probabilmente il tuo asset più prezioso. Ma attenzione! Perché è anche il terreno dove si rischiano gli scivoloni legali più pesanti.

Il principio base del GDPR in questo ambito è drastico nella sua semplicità. In poche parole: non possono esserci iscrizioni forzate. Bisogna dimenticare una volta per tutte le strategie basate sull’inganno o sulla distrazione dell’utente – quelle che, purtroppo, erano tanto in voga prima della normativa sul trattamento dei dati.

Il flusso allora, qui inteso appunto come percorso che l’utente compie o è spinto a compiere, deve essere pulito, a norma. E perché lo sia non bisogna trascurare alcuni passaggi fondamentali, dalle checkbox che devono essere rigorosamente vuote.

Cosa vuol dire? Vuol dire che l’utente deve compiere attivamente un gesto per dirti che, sì, vuole iscriversi alla tua newsletter.  Una casella già spuntata (il cosiddetto opt-out) è quindi illegale; il consenso va offerto, non lo si può ‘strappare’. Allo stesso modo, non puoi obbligare qualcuno a iscriversi alla newsletter solo perché vuole scaricare un PDF gratuito o un codice sconto. 

Se vuoi offrire un contenuto in cambio dell’email, devi informare chiaramente l’utente che sta entrando in un servizio di marketing. E, idealmente, separare il consenso per il download da quello per l’invio di offerte commerciali.

In questo contesto, il Double Opt-in resta la best practice per eccellenza. Un corretto adeguamento di un sito alla GDPR richiede che, per entrare in una mailing list, l’utente deve prima ricevere una mail di conferma, poi cliccare su un link. Solo allora potrà entrare ufficialmente in lista.

 È un passaggio in più che riduce leggermente il numero di iscritti, è vero. Ma ne alza enormemente la qualità e costituisce la tua prova inconfutabile di consenso.

E una volta che l’utente è finalmente in lista? La gestione del consenso continuerà ad essere di tua responsabilità.

Per questo il link di disiscrizione deve essere sempre presente e, soprattutto, funzionante. Se riesci, dovresti poter offrire anche una gestione delle preferenze, che permetta all’utente di scegliere la frequenza o la categoria dei contenuti. È il modo migliore per rispettare la sua casella di posta. E per non sembrare molesti.

Da dove iniziare? Dalla verifica GDPR del sito

Ora che abbiamo capito cosa dice la legge, passiamo alla parte pratica: mettiamo le mani nel sito. Inutile avere documenti legali perfetti se poi – a livello tecnico – la raccolta dati è fuori controllo. Il primo passo per adeguarsi alla GDPR è allora fare un check-up onesto della tua presenza online.

Prendilo come un inventario necessario per capire come sei messo adesso prima di fare qualunque aggiustamento. 

Ecco una checklist per riprendere il controllo.

  • Quanti moduli di contatto hai sul sito?
  • Chiedi solo i dati necessari?
  • Quali servizi esterni utilizzi?
  • Sai dove finiscono i dati? 
  • La Privacy Policy è aggiornata?
  • La Cookie Policy è completa? 
  • Il banner cookie funziona?
  • Il consenso è specifico per ogni servizio?
  • Conservi una prova del consenso?
  • Hai un registro dei trattamenti?
  • L’accesso ai dati è limitato? 
  • Hai una procedura per le cancellazioni?

Ecco, rispondendo a queste domande avrai un punto di partenza utile per capire come muoverti. Specialmente se hai letto tutto l’articolo fino a qui.

È vero, ci sono anche altre cose da tenere in considerazione. Per esempio se il tuo sito usa un protocollo di sicurezza HTTPS, oppure se hai una strategia per proteggerti dai data breach. Tuttavia già qui siamo nel campo della gestione dei dati avanzata, che meriterebbe un approfondimento a parte.

Intanto hai abbastanza strumenti per affronta la conformità GDPR un passo alla volta – senza farsi prendere dal panico.

E se non adegui il sito alle norme GDPR?

Qui è bene essere realistici. Perché ignorare il GDPR comporta dei rischi che – per un’impresa soprattutto – possono diventare pesanti, visto che si traducono facilmente in sanzioni.

Il primo problema è che oggi chiunque può segnalare un sito non a norma. Può farlo un utente scontento, può farlo un concorrente che vuole crearti problemi. In certi casi, addirittura, non serve nemmeno una segnalazione. Lo stesso Garante della Privacy (o persino la Guardia di Finanza) può avviare dei controlli che portano via tempo, energie e, nei casi peggiori, risorse economiche. Di quelle che avresti potuto investire nel marketing o nello sviluppo del tuo prodotto.

C’è poi un aspetto che molti sottovalutano, e cioè il rischio reputazionale. Un sito che forza l’accettazione dei cookie o che bombarda di email chi non ha mai dato il consenso comunica trasandatezza. Se non ti prendi cura dei dati dei tuoi clienti, perché dovrebbero credere che ti prenderai cura delle loro necessità? Oggi la fiducia nelle aziende è merce rara; se lavori male con i dati raccolti di fatto regali un vantaggio enorme alla concorrenza.

Per una piccola o media impresa, un intoppo  – anche apparentemente minimo – nella gestione dei dati può pesare molto più che per un grande gruppo. L’adeguamento GDPR del tuo sito, quindi, è una mossa obbligata. Eviti i controlli, comunichi serietà e dimostri che il tuo business è solido e rispetta le persone.

Evita le sanzioni, costruisci un sito a norma di legge

Come hai visto, l’adeguamento GDPR del tuo sito web è un percorso fatto di passi concreti e pure, ammettiamolo, di buon senso imprenditoriale. Quando metti il tuo sito a norma fai (anche) un investimento sul tuo valore percepito, sulla tua personalità. 

Però lo sappiamo: è un lavoro enorme, e se non hai le competenze tecniche necessarie, o il livello di esperienza che serve, rischi di perderti ai primi passaggi.

Per questo No Digital Brain vuole darti una mano. Così che tu possa smettere di preoccuparti dei pixel di tracciamento, o della conformità dei tuoi form, per tornare a concentrarti esclusivamente sulla crescita del tuo business.

Richiedi una verifica GDPR per iniziare subito!

Contattaci tramite il nostro form

Leggi anche...

Conosciamoci