Come rendere il tuo sito web conforme al GDPR

Pubblicato: 2021-07-19

I requisiti del GDPR continuano ad applicarsi durante il periodo di recesso Brexit del Regno Unito e per tutte le aziende che commerciano con l'UE. Ecco 10 modifiche che dovresti apportare al tuo sito web ora per rimanere dalla parte giusta della legge e per mantenere felici i tuoi clienti.

In questo post, voglio trattare in modo specifico l'area ristretta di come rendere il tuo sito web conforme al GDPR e fornire consigli per le modifiche specifiche che dovrai apportare.

Che dire della Brexit e del 2020... il GDPR è ancora un requisito?

Il Regolamento generale sulla protezione dei dati (GDPR) si applica a tutte le società con sede nell'UE e a quelle con cittadini dell'UE come clienti. Per le imprese del Regno Unito, l'accordo di recesso dalla Brexit non modificherà la necessità di conformarsi durante il periodo di transizione, né cambieranno i requisiti per le imprese che commerciano all'interno dell'UE.

Inoltre, il Regno Unito si impegna a mantenere gli elevati standard del GDPR (e il governo prevede di incorporarlo nella legge britannica dopo la Brexit.

L'attuale regolamento GDPR è entrato in vigore il 25 maggio 2018.

È interessante considerare l'applicazione delle normative GDPR e il sito Web GDPR Enforcement Tracker fornisce un elenco e una panoramica delle multe e delle sanzioni che le autorità per la protezione dei dati all'interno dell'UE hanno imposto ai sensi del GDPR.

In primo luogo, devo dire che non sono un professionista legale, e in secondo luogo questa è un'analisi superficiale. Al momento della scrittura, il database contiene

  • 16 casi di multe e sanzioni in cui la sintesi contiene la parola "web", incluso un caso nel dicembre 2019 relativo a un operatore di un sito web di notizie legali aveva l'informativa sulla privacy disponibile solo in inglese, sebbene fosse indirizzata anche a un olandese e francese di lingua pubblico.
  • 5 casi in cui il riepilogo contiene la parola "e-mail", incluso un caso nel 2019 in cui Vodaphone ha inviato un'e-mail di marketing a un gran numero di destinatari (clienti) senza utilizzare la funzione di copia nascosta. La sanzione iniziale di 60.000 euro è stata ridotta a 36.000 euro.

Da un lato, questo non è un numero enorme di azioni penali per non conformità, ma combina questo rischio con la maggiore sensibilità del trattamento dei dati personali e la consapevolezza di questo come un problema, e la conformità al GDPR diventa non solo un requisito legale, ma anche buon senso degli affari.

In che modo il GDPR influisce sui piani e sulle funzionalità del mio sito Web?

Il GDPR ha un impatto significativo sui requisiti del sito Web, che avrà un effetto a catena sul modo in cui il tuo sito Web si integra con le altre attività digitali come l'email marketing, i social media e le attività di e-commerce.

Il filo d'oro che lega tutte queste raccomandazioni è che con il GDPR si rafforza il concetto di consenso libero, specifico e informato , con nuove regole, il che significa che le aziende come la nostra devono fornire maggiore trasparenza.

Ecco 10 passaggi che vorrai rivedere per il tuo sito web e discutere le modifiche necessarie con il tuo team di sviluppo web. Per qualsiasi domanda, sentiti libero di metterti in contatto con me.

Iniziamo con le semplici modifiche che dovrai apportare, per poi passare alle aree più complesse.

1. Moduli: opt-in attivo

I moduli che invitano gli utenti a iscriversi alle newsletter o che indicano le preferenze di contatto devono essere "no" per impostazione predefinita o essere vuoti. Dovrai controllare i tuoi moduli per assicurarti che sia così.

Ad esempio, l'attuale modulo di registrazione Boots pre-conformità al GDPR ha contrassegnato la casella di attivazione, costringendo l'utente a rinunciare attivamente. Esperienza utente molto cattiva, pessima e deve essere cambiata entro maggio.

L'adesione al GDPR non è riuscita

Nel 2020, quel modulo è stato deselezionato secondo i requisiti GDPR

Sito web Boots 2020 Conformità GDPR

D'altra parte, direi che Sainsbury's non mi sta dando una grande esperienza assumendo un opt-in e costringendomi a spuntare la casella per rinunciare. Direi che potrebbero navigare vicino al vento su questo, e sicuramente non mi stanno deliziando come potenziale cliente:

2020 GDPR Sainsburys rinuncia

2. Opzione disaggregata

Il consenso che stai chiedendo dovrebbe essere stabilito separatamente per l'accettazione di termini e condizioni e l'accettazione del consenso per altri modi di utilizzare i dati.

In questo esempio, Sainsbury's ha definito chiaramente l'accettazione dei propri termini e condizioni e ha stabilito separatamente l'opt-in attivo per le proprie autorizzazioni di contatto.

È un peccato che Sainsbury's non abbia avuto la possibilità di essere più granulare in termini di preferenze di attivazione della comunicazione (e-mail, SMS, posta).

Sainsburys granulare opt in

3. Attivazione granulare

Gli utenti dovrebbero essere in grado di fornire un consenso separato per i diversi tipi di trattamento.

In questo esempio, ABC Awards chiede un'autorizzazione specifica per ogni tipo di elaborazione (posta, e-mail, telefono) e chiede anche l'autorizzazione per i dettagli passati a una terza parte.

4. Facile da ritirare il permesso o disdire

Dev'essere facile rimuovere il consenso come lo era concederlo, e gli individui devono sempre sapere di avere il diritto di revocare il proprio consenso.

In termini di esperienza utente web, ciò significa che la disiscrizione potrebbe consistere nel revocare selettivamente il consenso a specifici flussi di comunicazione:

Revoca il consenso GDPR

Oppure cambia facilmente la frequenza di comunicazione o interrompi completamente tutte le comunicazioni:

frequenza di revoca del consenso

5. Soggetti nominati

I moduli web devono identificare chiaramente ciascuna parte per la quale viene concesso il consenso. Non basta dire categorie ben definite di organizzazioni terze. Devono essere nominati.

In questo esempio, puoi vedere che John Lewis comprende l'essenza della necessità di concedere autorizzazioni denominate per gli aggiornamenti da Waitrose, John Lewis e John Lewis Financial Services.

In precedenza, il modulo chiedeva agli utenti di rinunciare invece di aderire:

permessi di john lewis

6. Informativa sulla privacy e termini e condizioni

L'Ufficio del Commissario per le informazioni (ICO) ha gentilmente fornito un esempio di informativa sulla privacy che puoi utilizzare sul tuo sito web. È conciso, trasparente e facilmente accessibile.

Dovrai anche aggiornare i termini e le condizioni sul tuo sito web per fare riferimento alla terminologia GDPR. In particolare, dovrai rendere trasparente ciò che farai con le informazioni una volta ricevute e per quanto tempo conserverai queste informazioni sia sul tuo sito Web che sui sistemi dell'ufficio.

Dovrai anche comunicare come e perché stai raccogliendo dati. La tua politica sulla privacy dovrà dettagliare le applicazioni che stai utilizzando per tenere traccia dell'interazione dell'utente.

7. Pagamenti online

Se sei un'azienda di e-commerce, è probabile che utilizzi un gateway di pagamento per le transazioni finanziarie. Il tuo sito web potrebbe raccogliere dati personali prima di trasmettere i dettagli al gateway di pagamento.

Se questo è il caso e il tuo sito web sta memorizzando questi dettagli personali dopo che le informazioni sono state trasmesse, allora dovrai modificare i tuoi processi web per rimuovere qualsiasi informazione personale dopo un periodo ragionevole, ad esempio 60 giorni. La normativa GDPR non è esplicita sul numero di giorni, è il tuo giudizio su ciò che può essere difeso come ragionevole e necessario.

8. Software di monitoraggio di terze parti

Le cose ora iniziano a diventare complicate quando si tratta di software di tracciamento di terze parti.

Molti siti Web utilizzano soluzioni software di automazione del marketing di terze parti sul proprio sito Web. Queste potrebbero essere applicazioni di tracciamento dei lead come Lead Forensics, Leadfeeder o CANDDI. Oppure potrebbero essere applicazioni di monitoraggio delle chiamate come Infinity Call Tracking o Ruler Analytics.

L'uso di queste applicazioni di tracciamento solleva alcune domande molto interessanti in termini di conformità al GDPR e, a mio parere, questa rimane un'area grigia. A prima vista, queste applicazioni tengono traccia degli utenti in modi che non si aspetterebbero e per i quali non hanno concesso il consenso. Ad esempio, tiene traccia del mio comportamento ogni volta che torno sul tuo sito web o visualizzo una pagina specifica del tuo sito.

Tuttavia, i fornitori di queste applicazioni ci assicurano che sono conformi al GDPR.

In primo luogo, i fornitori come CANNDI consigliano di utilizzare banner che indicano chiaramente e senza ambiguità che vengono utilizzati i cookie,

CANNDI Conformità GDPR

Inoltre, i fornitori di software sostengono che l'uso della tecnologia di tracciamento dei cookie è nell'interesse legittimo della tua attività come titolare del trattamento dei dati, e in particolare il considerando 47 consente "l'elaborazione per scopi di marketing diretto o prevenzione delle frodi".

CANNDI consiglia:

Interesse legittimo​ ​-​ ​Se si utilizza il principio dell'interesse legittimo all'interno del monitoraggio del proprio sito web, è consigliabile registrare durante la preparazione del GDPR che questo è il caso. Questo dovrebbe includere i motivi per cui lo stai usando.

Voglio ringraziare CANNDI per aver condiviso la loro prospettiva GDPR e ti consiglierei di leggerlo (PDF.)

Prospettiva CANNDIO GDPR

I fornitori di questi strumenti sono sicuri di essere conformi al GDPR. Ma se il software fa qualcosa di illegale, è responsabilità della tua azienda in qualità di Titolare del trattamento. La vera domanda è identificare i rischi di conformità al GDPR nell'utilizzo di questo tipo di software e mitigare i rischi come imprenditore. Di conseguenza, è necessario rivedere attentamente il contratto con questi fornitori di software.

9. Che dire di Google Analytics e Google Tag Manager?

Se sei interessato all'impegno di Google nei confronti del GDPR, un buon punto di partenza è questo sito Web: Come Google rispetta le leggi sulla protezione dei dati

Molti siti web sono configurati per utilizzare Google Analytics per monitorare il comportamento degli utenti. Google Analytics è sempre stato un sistema di tracciamento anonimo. Non vengono raccolti "dati personali", quindi credo che il GDPR non influisca sul suo utilizzo.

Per quanto riguarda Google Tag Manager; è un potente strumento che consente al tuo sito web di inviare informazioni ad applicazioni di terze parti inserendo piccole quantità di codice. Puoi integrare repository di dati interni, sistemi di remarketing e retargeting esterni e una serie di altri servizi. Il problema per le aziende riguardo a Tag Manager è assicurarsi di avere un contratto in essere con le persone che hanno accesso al tuo Tag Manager (che potrebbe essere il tuo web designer o un'agenzia di marketing digitale) per assicurarti che comprendano le loro responsabilità legali come un responsabile del trattamento per tuo conto in qualità di titolare del trattamento.

Quindi, il problema di fondo con il nuovo GDPR è identificare e mettere in atto contratti con i tuoi processori di dati di terze parti per proteggere entrambi i tuoi interessi.

10. E infine... non è solo il tuo sito web che deve essere conforme al GDPR

Le modifiche introdotte con il GDPR permeeranno tutta la tua attività e in questa serie di articoli ci concentriamo esclusivamente sul tuo marketing digitale.

Quando inizi a pianificare i dettagli del tuo sito web, scoprirai una grotta di problemi di Aladino che dovrai considerare. Il Commissario per le informazioni ha fornito un eccellente insieme di risorse per il tuo riferimento, ma ecco alcune domande chiave da considerare ora mentre ci avviciniamo alla scadenza di maggio:

  • Probabilmente hai molti dati personali archiviati in vari luoghi dell'azienda. Hai una buona comprensione e una registrazione documentata dei dati in tuo possesso?
  • Hai bisogno di acquisire o aggiornare il consenso per i dati in tuo possesso?
  • Hai una politica definita per quanto tempo conservi i dati personali, in modo da non conservarli inutilmente e assicurarti che siano aggiornati?
  • I tuoi dati sono conservati in modo sicuro, tenendo presente sia la tecnologia che i fattori umani nella sicurezza dei dati?
  • Che tu sia un titolare del trattamento o un responsabile del trattamento (o entrambi), disponi delle disposizioni legali corrette?

Se hai bisogno di aiuto con il tuo Web Design & Creative non esitare a contattarci.