Scopri come possiamo aiutarti ad adeguare il tuo sito o app alle normative
Siti web ed app devono sempre rispettare alcuni obblighi imposti dalla legge. Il mancato rispetto delle norme, infatti, comporta il rischio di ingenti sanzioni.
Per questo abbiamo scelto di affidarci a iubenda, azienda composta da figure sia legali che tecniche, specializzata in questo settore. Insieme a iubenda, di cui siamo Partner Certificati, abbiamo elaborato una proposta per offrire a tutti i nostri clienti una soluzione semplice e sicura alla necessità di adeguamento legale.
I principali requisiti di legge per i proprietari di siti web e app
La legge obbliga ogni sito/app che raccoglie dati ad informare gli utenti attraverso una privacy e cookie policy.
La privacy policy deve contenere alcuni elementi fondamentali, tra cui:
- le tipologie di dati personali trattati;
- le basi giuridiche del trattamento;
- le finalità e le modalità del trattamento;
- i soggetti ai quali i dati personali possono essere comunicati;
- l’eventuale trasferimento dei dati al di fuori dell’Unione Europea;
- i diritti dell’interessato;
- gli estremi identificativi del titolare.
La cookie policy descrive in particolare le diverse tipologie di cookie installati attraverso il sito, le eventuali terze parti cui questi cookie fanno riferimento – incluso un link ai rispettivi documenti e moduli di opt-out – e le finalità del trattamento.
Non possiamo usare un documento generico?
Non è possibile utilizzare documenti generici in quanto l’informativa deve descrivere in dettaglio il trattamento dati effettuato dal proprio sito/app, elencando anche tutte le tecnologie di terza parte utilizzate (es. pulsanti Like di facebook o mappe di Google Maps).
E se il mio sito non tratta alcun dato?
È molto difficile che il tuo sito non tratti alcun dato. Bastano infatti un semplice modulo di contatto o un sistema di analisi del traffico come Google Analytics per far scattare l’obbligo di predisporre e mostrare un’informativa.
Oltre a predisporre una cookie policy, per adeguare un sito web alla cookie law è necessario mostrare anche un cookie banner alla prima visita di ogni utente e acquisire il consenso all’installazione dei cookie. Alcuni tipi di cookie, come quelli rilasciati da strumenti quali i pulsanti di condivisione sui social, vanno infatti rilasciati solo dopo aver ottenuto un valido consenso da parte dell’utente.
Cos’è un cookie?
I cookie servono a memorizzare alcune informazioni sul browser dell’utente durante la sua navigazione sul sito. I cookie sono ormai indispensabili per consentire il corretto funzionamento di un sito. In più, molte tecnologie di terza parte che siamo soliti integrare nei nostri siti, come anche un semplice widget video di YouTube, si avvalgono a loro volta di cookie.
Poiché l’uso dei cookie comporta sia l’elaborazione dei dati dell’utente che l’installazione di tecnologie di tracciamento, è un fattore di notevole importanza nell’ambito della protezione dei dati personali degli utenti. Per questo motivo, se operi nel territorio dell’Unione Europea o ti rivolgi a utenti europei, devi rispettare la Cookie Law. Per adeguarsi con la Cookie Law, ci sono 4 aspetti fondamentali da considerare:
- dotarsi di una cookie policy, che puoi attivare con l’opzione dedicata disponibile nel Generatore di Privacy Policy descritto in precedenza;
- mostrare un cookie banner, che puoi predisporre utilizzando la iubenda Cookie Solution;
- facilitare la raccolta del consenso fornendo agli utenti le opportune informazioni su come prestare, negare o revocare tale consenso;
- bloccare i codici che installano cookie soggetti all’obbligo del consenso preventivo.
Ai sensi del GDPR, se l’utente ha la possibilità di immettere direttamente dati personali sul sito/app, ad esempio compilando un form di contatto, di registrazione al servizio o di iscrizione alla newsletter, è necessario raccogliere un consenso libero, specifico ed informato, nonché registrare una prova inequivocabile del consenso.
Al fine di adeguarsi alle normative sulla privacy, in particolare al GDPR, le organizzazioni devono archiviare una prova del consenso così da poter dimostrare che il consenso è stato validamente raccolto. Tali prove devono includere:
- quando il consenso è stato prestato;
- chi ha prestato il consenso;
- quali preferenze sono state espresse dall’interessato al momento della raccolta del consenso;
- quali documenti o note legali sono state presentate all’interessato al momento della raccolta del consenso;
- il modulo di consenso che è stato presentato all’interessato al momento della raccolta del consenso.
Analogamente al GDPR, anche per la LGPD brasiliana il titolare del trattamento deve dimostrare, attraverso l’archiviazione di una prova, di aver raccolto correttamente il consenso dell’utente.
Cosa si intende per consenso libero, specifico ed informato?
È necessario raccogliere un consenso per ogni specifica finalità di trattamento – ad esempio, un consenso per inviare newsletter e un altro consenso per inviare materiale promozionale per conto di terzi. I consensi possono essere richiesti predisponendo una o più checkbox non pre-selezionate, non obbligatorie ed accompagnate da dei testi informativi che facciano capire chiaramente all’utente come saranno utilizzati i suoi dati.
Come è possibile dimostrare il consenso in modo inequivocabile?
È necessario raccogliere una serie di informazioni ogniqualvolta un utente compila un modulo presente sul proprio sito/app. Tali informazioni includono un codice identificativo univoco dell’utente, il contenuto della privacy policy accettata e una copia del modulo presentato all’utente.
La email che ricevo dall’utente a seguito della compilazione del modulo non è una prova sufficiente del consenso?
Purtroppo non è sufficiente, in quanto mancano alcune informazioni necessarie a ricostruire l’idoneità della procedura di raccolta del consenso, come la copia del modulo effettivamente compilato dall’utente.
Devo adeguarmi alla LGPD anche se la mia organizzazione non ha sede in Brasile?
Rientri nell’ambito di applicazione della LGPD se tratti dati di persone che si trovano all’interno del territorio brasiliano, indipendentemente dalla nazionalità (anche se queste si trovavano in Brasile solo al momento della raccolta dei dati, e da allora si sono spostate).
Il CCPA (California Consumer Privacy Act) impone che agli utenti californiani venga data informazione del come e del perché i loro dati vengono utilizzati, i loro diritti in merito e come possono esercitarli, incluso il diritto di esercitare l’opt-out. Se ricadi nell’ambito di applicazione del CCPA, dovrai fornire queste informazioni sia nella tua privacy policy che in un avviso di raccolta dati mostrato alla prima visita dell’utente (dove necessario).
Per facilitare le richieste di opt-out da parte degli utenti californiani, è necessario inserire un link “Do Not Sell My Personal Information”(DNSMPI) sia all’interno dell’avviso di raccolta dati mostrato alla prima visita dell’utente, che in un altro punto del sito facilmente accessibile dall’utente (una best practice è quella di includere il link nel footer del sito).
La mia organizzazione non ha sede in California, devo comunque adeguarmi al CCPA?
Il CCPA può applicarsi a qualunque organizzazione che tratta o che potrebbe potenzialmente trattare informazioni personali di utenti californiani, indipendentemente dal fatto che l’organizzazione si trovi o meno in California. Poiché gli indirizzi IP sono considerati informazioni personali, è probabile che qualsiasi sito web che riceva almeno 50 mila visite uniche all’anno dalla California rientri nell’ambito di applicazione del CCPA.
In alcuni casi può essere opportuno proteggere la propria attività online da eventuali responsabilità predisponendo un documento di Termini e Condizioni. I Termini e Condizioni di solito prevedono clausole relative all’uso dei contenuti (copyright), limitazione di responsabilità, condizioni di vendita, permettono di elencare le condizioni obbligatorie previste dalla disciplina sulla tutela del consumatore e molto altro.
I Termini e Condizioni dovrebbero includere quantomeno queste informazioni:
- i dati identificativi dell’attività;
- una descrizione del servizio offerto dal sito/app;
- le informazioni su allocazione dei rischi, responsabilità e liberatorie;
- garanzie (se applicabile);
- diritto di recesso (se applicabile);
- informazioni sulla sicurezza;
- diritti d’uso (se applicabile);
- condizioni d’uso o di acquisto (come requisiti di età o restrizioni legate al paese);
- politiche di rimborso/sostituzione/sospensione del servizio;
- informazioni sui metodi di pagamento.
Quando è obbligatorio predisporre un documento di Termini e Condizioni?
I Termini e Condizioni possono rendersi utili in qualunque scenario, dall’e-commerce al marketplace, dal SaaS all’app mobile e al blog. Nel caso dell’e-commerce, non solo è consigliabile, ma è spesso obbligatorio predisporre questo documento.
Posso copiare e utilizzare un documento di Termini e Condizioni da un altro sito?
Il documento di Termini e Condizioni è essenzialmente un accordo giuridicamente vincolante, e pertanto non solo è importante averne uno, ma è anche necessario assicurarsi che sia conforme ai requisiti di legge, che descriva correttamente i tuoi processi aziendali ed il tuo modello di business, e che rimanga aggiornato rispetto alle normative di riferimento. Copiare i Termini e Condizioni da altri siti è molto rischioso in quanto potrebbe rendere il documento nullo o non valido.
Approfondimenti
Come si determina la propria legge di riferimento?
Solitamente, le leggi di un particolare Paese si applicano se:
- la base delle tue attività si trova lì; oppure
- utilizzi servizi di elaborazione o server con sede in quell’area; oppure
- il servizio è rivolto agli utenti di quella data area.
Ciò significa che una normativa locale può essere applicata a te o alla tua attività indipendentemente dal fatto che vi troviate o meno in quell’area. Per questo motivo, è sempre consigliabile approcciare le attività di trattamento dei dati personali tenendo presenti le più severe normative applicabili.
Il Regolamento europeo generale sulla protezione dei dati personali (GDPR) è stato concepito per centralizzare la protezione dei dati per gli utenti europei ed è pienamente applicabile dal 25 maggio 2018. In estrema sintesi, il GDPR chiarisce come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione. Il GDPR si applica quando:
- la base operativa dell’organizzazione si trova nell’Unione Europea (ciò vale indipendentemente dal fatto che il trattamento abbia luogo nel territorio UE o meno);
- l’organizzazione, seppure non avente sede nell’Unione Europea, offre beni o servizi (anche gratuitamente) a cittadini europei. Può trattarsi di enti pubblici, società private o pubbliche, persone fisiche od organizzazioni senza scopo di lucro;
- l’organizzazione, seppure non avente sede nell’Unione Europea, monitora il comportamento delle persone che vi risiedono, a patto che tale comportamento abbia luogo all’interno del territorio UE.
Molte Autorità per la Protezione dei Dati europee hanno rafforzato i loro requisiti e allineato le loro disposizioni su cookie e tracker con quelle del GDPR. In particolare, è obbligatorio registrare e memorizzare le preferenze di consenso dei propri utenti. Il Registro Preferenze Cookie è disponibile con la nostra Cookie Solution.
Dal momento che l’utilizzo di cookie comporta il trattamento dei dati degli utenti e l’utilizzo di tecnologie di tracciamento, si tratta di un’attività di primaria importanza in riferimento al tema della protezione dei dati personali. La Direttiva ePrivacy (o Cookie Law) è stata pensata proprio per affrontare tale questione.
Secondo la Cookie Law, le organizzazioni che si rivolgono ai cittadini dell’UE devono informare gli utenti sulle attività di raccolta dati effettuate e dare loro la possibilità di scegliere se acconsentire o meno. Ciò significa che se il tuo sito/app (o qualsiasi servizio di terza parte utilizzato dal tuo sito/app) utilizza i cookie, è necessario ottenere un consenso valido prima della loro installazione, tranne quando tali cookie rientrano nella categoria dei cookie esenti (l’esenzione dal requisito del consenso si applica con chiarezza solo ai cookie tecnici che non effettuano tracciamento e che sono strettamente necessari al funzionamento dei servizi richiesti dall’utente).
In un prossimo futuro la Direttiva ePrivacy sarà abrogata dal Regolamento ePrivacy che, in quanto tale, opererà di concerto con il GDPR. In ogni caso, è molto probabile che il regolamento confermi disposizioni simili a quelle della direttiva, applicando gran parte delle stesse linee guida.
E-COMMERCE
In genere questi requisiti vengono soddisfatti tramite un documento valido e aggiornato di termini e condizioni (chiamato anche ToS, termini di servizio, termini d’uso, termini di utilizzo o EULA – contratto di licenza per l’utente finale). Oltre agli obblighi di informazione e agli altri requisiti di cui sopra (nonché in base alla normativa di riferimento), se si gestisce un sito web o un’applicazione mobile di e-commerce, si è inoltre soggetti alle leggi sui diritti dei consumatori e alle altre regole di settore applicabili.
E-MAIL E NEWSLETTER
Un indirizzo e-mail è considerato un dato personale. Pertanto, quando si tratta di indirizzi e-mail, si applica la legge sulla privacy. Come già accennato, la maggior parte delle normative richiede di informare gli utenti sui loro diritti, sulle attività di trattamento dei dati e sulle finalità. Generalmente queste leggi si applicano a qualsiasi servizio rivolto ai residenti di un certo Paese: in pratica possono applicarsi alla tua attività indipendentemente dal fatto che la stessa si basi o meno nel Paese di riferimento. Si tratta di un aspetto ancora più importante se si utilizza un elenco di email acquistate in quanto, in tal caso, potrebbe non essere possibile conoscere il Paese di residenza dei destinatari. Per questo motivo, è sempre consigliabile affrontare le attività di trattamento dei dati nel rispetto delle più severe normative applicabili.
MINORI
Ai sensi del GDPR, il consenso è una delle basi giuridiche per il trattamento dei dati dei minori. Se si utilizza questa base giuridica per l’elaborazione dei dati di bambini sotto i 13 anni, è necessario ottenere un consenso verificabile da parte di un genitore o tutore a meno che il servizio offerto non sia un servizio di prevenzione o consulenza.
Come possiamo aiutarti con le soluzioni di iubenda
Crediamo nell’importanza di un approccio onnicomprensivo alla compliance con la normativa sulla protezione dei dati personali. Grazie alla nostra partnership con iubenda, possiamo aiutarti a configurare tutto quanto necessario per mettere a norma il tuo sito/app. iubenda è infatti la soluzione più semplice, completa e professionale per adeguarsi alle normative.
Il team legale di iubenda monitora costantemente le principali normative internazionali e il team tecnico sviluppa soluzioni che tengano conto delle disposizioni più severe, offrendo servizi completi e personalizzabili in base alle proprie esigenze. In questo modo, puoi adempiere agli obblighi di legge (indipendentemente dalla posizione dei tuoi utenti), ridurre il rischio di controversie e proteggere i tuoi clienti, consolidando fiducia e credibilità.
Dotati di una privacy policy per informare gli utenti sul trattamento dei loro dati personali.
Con il Generatore di Privacy e Cookie Policy di iubenda possiamo predisporre per te un’informativa personalizzata per il tuo sito web o app. Le policy di iubenda vengono generate attingendo da un database di clausole redatte e continuamente revisionate da un team internazionale di avvocati.
Hai inoltre la possibilità di includere una cookie policy (necessaria se il tuo sito web o la tua app utilizzano cookie). Le policy sono personalizzate in base alle tue esigenze e vengono gestite da remoto dal nostro team legale.
La Cookie Solution iubenda è conforme alle disposizioni della legge europea sul trattamento mediante cookie. Consente di informare facilmente gli utenti e di ottenerne il consenso, compresa la possibilità di bloccare qualsiasi codice che installa cookie prima di aver raccolto il consenso dell’utente (così come richiesto in molti Paesi UE). La Cookie Solution permette inoltre di adeguarsi al CCPA, mostrando agli utenti californiani un avviso di raccolta dati contenente un link “Non vendere le mie informazioni personali” e facilitando le richieste di opt-out.
Gestisci e archivia in modo dettagliato i consensi.
La Consent Solution di iubenda permette la raccolta e l’archiviazione di una prova inequivocabile del consenso ai sensi del GDPR e della LGPD brasiliana ogniqualvolta un utente compila un modulo – come un form di contatto o di iscrizione alla newsletter – presente sul tuo sito web o app, e di documentare le richieste di opt-out degli utenti californiani in conformità con il CCPA.
La nostra Consent Solution ti aiuta a tracciare ogni aspetto del consenso (inclusi documenti o note legali e moduli di consenso presentati all’utente al momento della raccolta del consenso), nonché le preferenze espresse dall’utente.
Proteggi il tuo business con un documento di Termini e Condizioni.
Con il Generatore di Termini e Condizioni di iubenda possiamo predisporre per te un documento di Termini e Condizioni, disponibile in 9 lingue, personalizzato per il tuo sito web o app. I Termini e Condizioni di iubenda vengono generati attingendo da un database di clausole redatte e continuamente revisionate da un team internazionale di avvocati.
La nostra soluzione è ottimizzata per ogni genere di scenario: dagli e-commerce ai blog e le app, fino ai più complessi marketplace e SaaS.
Gestisci la privacy interna.
Adeguarsi al GDPR nella pratica rappresenta una vera e propria sfida. Ciò è particolarmente vero per la gestione della compliance privacy interna. Per essere conformi, è necessario tenere traccia e descrivere:
- i dati che raccogli;
- le finalità del trattamento;
- le basi giuridiche del trattamento;
- le politiche di data retention per ogni attività di trattamento;
- le parti coinvolte (all’interno e all’esterno della tua organizzazione);
- le misure di sicurezza;
- i trasferimenti di dati extra UE, se presenti;
- altri dettagli a livello aziendale, inclusi quelli relativi ai dati dei dipendenti.
La soluzione iubenda di Internal Privacy Management ti aiuta a registrare e gestire facilmente tutte le attività di elaborazione dei dati all’interno della tua organizzazione, così da soddisfare tutti i requisiti e da adempiere agli obblighi di legge.
L’Internal Privacy Management consente di creare un registro del trattamento:
- definendo le attività di elaborazione effettuate scegliendo da oltre 1600 opzioni pre-configurate;
- descrivendo le proprie aree di trattamento (ovvero, le aree all’interno delle quali le attività di trattamento dei dati sono tra loro omogenee);
- individuando responsabili ed altri soggetti; e
- documentando le basi giuridiche e le altre informazioni richieste dal GDPR.
Le conseguenze del mancato adeguamento
In un mondo in cui i prodotti e i servizi digitali sono sempre più indispensabili, la protezione dei dati è diventata una priorità assoluta. Come risultato, molti Paesi hanno introdotto normative privacy solide e vincolanti alle quali ogni attività è tenuta ad adeguarsi.
Il mancato rispetto di queste norme può comportare non solo gravi conseguenze di natura economica, ma anche danni significativi e di lungo termine alla reputazione e alla fiducia nei confronti dell’organizzazione. È pertanto essenziale assicurarsi che la propria attività rispetti gli obblighi di legge.
L’inosservanza dei requisiti del GDPR può comportare sanzioni fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo (a seconda di quale dei due valori sia il maggiore).
La non conformità con il CalOPPA o con il COPPA può portare i funzionari governativi a intentare causa o a chiedere un risarcimento civile ai danni della tua attività. In questo esempio ai proprietari del sito web Imbee è stata comminata una multa di 130.000 dollari per aver permesso ai minori di 13 anni di registrarsi senza il consenso dei genitori. Sanzioni simili possono essere comminate in base a altre leggi statali e federali.
Esistono ulteriori provvedimenti sanzionatori che possono essere adottati nei confronti delle organizzazioni che violano le norme. Tali provvedimenti comprendono (ma non si limitano a) richiami ufficiali (per violazioni avvenute la prima volta) e verifiche periodiche sulla protezione dei dati. Il GDPR conferisce agli utenti il diritto esplicito di presentare un reclamo presso un’autorità di controllo qualora ritengano che il trattamento dei loro dati personali sia stato effettuato in violazione delle disposizioni del regolamento.
Ad esempio, se viene presentata una segnalazione all’autorità in merito a un’istanza di violazione della normativa, l’autorità può scegliere di effettuare una verifica dei processi di trattamento dei dati da parte dell’organizzazione. Qualora si accerti che alcune attività di trattamento siano state svolte in modo illecito, non solo viene comminata una sanzione pecuniaria, ma all’organizzazione può anche essere vietato di fare ulteriore uso dei dati oggetto del reclamo. Ciò significa che se l’uso improprio riguarda, ad esempio, la raccolta di un indirizzo email, l’organizzazione rischia di non poter utilizzare l’intero database di email in suo possesso.
L’inosservanza del diritto dei consumatori o della concorrenza (atti di concorrenza sleale) può anche comportare sanzioni pecuniarie da parte delle autorità competenti (per lo più nazionali).
È un principio generale del diritto civile: qualsiasi danno ingiusto provocato a qualcun altro – a maggior ragione se violando una legge – va risarcito. Sia il GDPR che il CalOPPA conferiscono ai singoli utenti il diritto di chiedere il risarcimento per danni derivanti da una violazione dei loro diritti. Lo stesso ragionamento si applica a qualsiasi altro atto o legge applicabile, come le disposizioni dell’UE in materia di tutela dei consumatori.
Ricorda che la responsabilità per danni si applica in tutti i rapporti: anche un partner commerciale può avere diritto a un risarcimento se hai violato una disposizione di legge. Ad esempio, la vendita di merci contraffatte attraverso una piattaforma partner come Amazon potrebbe portare l’azienda e gli acquirenti a intraprendere un’azione legale contro di te.
Alcuni servizi di terza parte possono rendere la conformità con normative specifiche una parte integrante dei loro termini di utilizzo; la violazione di tali termini può portare in questi casi alla cessazione del servizio o, potenzialmente, a divieti permanenti.
Ecco un esempio tratto dai Termini e Condizioni di Amazon Web Services per quanto riguarda il consenso:
Per qualsiasi Dato di Terza Parte fornito ad AWS, l’Utente dichiara e garantisce di aver ricevuto tutti i consensi necessari per (a) condividere tali Dati di Terza Parte con AWS e i suoi Affiliati e per (b) utilizzare tali Dati di Terza Parte per contattare i relativi soggetti al fine di commercializzare i nostri beni e servizi e il Programma.
Infine, ma forse l’aspetto più importante: in determinate condizioni potrebbero esserci anche delle conseguenze penali. Se, ad esempio, si violano intenzionalmente o si ignorano le disposizioni in materia di protezione dei dati a fini commerciali (ad esempio, si vendono i dati personali delle persone senza informarle) si possono avere gravi conseguenze. Tuttavia, il diritto penale è in gran parte una questione nazionale: condizioni e conseguenze vanno verificate caso per caso.
Experience Studio è Silver Certified Partner iubenda
Esperti in Compliance GDPR e adeguamenti tecnici.
Contattaci per ricevere una proposta personalizzata →
© Experience Studio™ Srls. Tutti i diritti riservati. 65121 Pescara Via Chieti 21. P.IVA 02300930688. Privacy Policy. Cookie Policy.