Cookie banner e GDPR per wordpress

di
cookie banner wordpress

Perchè inserire il Cookie banner e GDPR per wordpress

Alla luce della normativa introdotta dal GDPR spesso si ignora cosa bisogna fare per avere un sito web a norma e ci si limita a scopiazzare altre GDPR di siti.
Questo è un grosso errore perchè la normativa prevede una personalizzazione dell’informativa GDPR.

Il sito web di una azienda è il riferimento online dell’azienda.
nel sito:

Si fa conoscere dal cliente, mostra le sue soluzioni, raccoglie le manifestazioni di interesse e le richieste di informazioni dei navigatori del sito.
È dunque fondamentale avere un sito web.

L’aggiornamento della normativa sul trattamento dei dati personali, però, richiede che esso sia anche fatto in modo da dare alcune garanzie a coloro che interagiscono con lui:

Trattare il minor numero di dati possibili (principio di minimizzazione).
Illustrare i trattamenti dei suoi dati che il sito svolge per conto dell’azienda o di terzi (principio di trasparenza).
Tenere traccia di ogni consenso dato o rifiutato a uno o più dei trattamenti illustrati (accountability del proprietario del sito).
Come riuscire a soddisfare queste richieste senza snaturare il proprio sito? Analizzando le fonti di dati personali e gestendole secondo la norma.

Trattamento fatto da un sito web a norma
Prendiamo in considerazione alcuni elementi di un sito web normale.

Form dei contatti
È il più noto raccoglitore di informazioni sui navigatori ma è anche il punto di contatto con l’azienda.

Serve al visitatore a richiedere maggiori informazioni sui prodotti e servizi dell’azienda o assistenza su un problema. Se non inserito, per alcuni esperti, si rende più difficile (e dunque meno probabile), che chi visita il sito vada oltre la navigazione ed entri in contatto con noi.

cookie banner wordpress

Quali norme bisogna seguire?
Principio di minimizzazione: non richiedere più dati di quelli necessari a gestire la richiesta. Esempio: non inserire nel form mail e telefono (visto che sono entrambe modalità di contatto).
Principio di trasparenza (accountability), prima di richiedere i dati bisogna:
mostrare un’informativa che informi il navigatore sulla nostra identità e recapiti, identità del responsabile della protezione dei dati (DPO) qualora presente.
Quali dati richiediamo;
perché li richiediamo (finalità del trattamento);
come li tratteremo;
Il tempo che tratterremo questi dati;
se li cederemo a terzi, e in questo caso a chi (almeno soggetto UE o extra UE), perché e quali garanzie di sicurezza forniamo e adottiamo per questi dati;
diritti del navigatore sui dati che fornisce;
mostrare un modulo di consenso in cui:
per ogni finalità richiedo il consenso. Dovrò lasciare la scelta al navigatore senza inserire nel modulo già il flag su una delle possibilità date.
registro la scelta del navigatore e sono in grado di mostrarla;
sono in grado di permettere e documentare eventuali cambi della scelta fatta;

Pulsanti social
Servono a rendere virali i contenuti creati dall’azienda.
Anch’essi trattano dati personali per cui, per avere un sito web a norma si dovrà:

  • indicare nella privacy policy che vengono ceduti dati ai proprietari dei vari Facebook, Linkedin,
  • Instagram (che sono soggetti extra UE).
  • inserire in essa il link alla privacy policy dei diversi soggetti proprietari dei social.

Cookie
In realtà molti di essi facilitano la navigazione e sono i cosidetti cookie tecnici.
I cookie di profilazione invece servono a monitorare gli utenti durante la navigazione. Registrano il comportamento della persona che naviga (cosa clicca, cosa guarda). Raccolgono dunque informazioni per poter poi creare dei profili, delle offerte personalizzate di prodotti e servizi. Non sono necessari alla navigazione.

Altre distinzioni da fare riguardano la durata dei cookies per cui abbiamo:

cookie persistenti: sono quelli che rimangono attivi e non si interrompono al termine della navigazione dell’utente
cookie di sessione: sono quelli che “muoiono” quando l’utente chiude la navigazione
la proprietà:
cookie di “prime parti”: quelli appartenenti al proprietario del sito
cookie di terze parti: quelli che sono di realtà diverse dal proprietario del sito (ad esempio quelle di Google Analytics e social).
Hanno dunque una notevole importanza per chi possiede il sito ma, come si è visto, fanno anche un largo uso di dati personali. Per comprenderlo basta vedere la definizione che ne dà il GDPR all’articolo 4.

“Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..”

Dunque lo sono anche:

  • l’indirizzo IP, come ribadito dal Garante qui.
  • il browser che usiamo inclusi la sua lingua, la versione, la compatibilità
  • il sito web da cui proviene la richiesta di collegamento
  • data e ora della richiesta
  • codice di stato HTTP
  • quantità di dati trasferiti
  • Il loro trattamento inizia ben prima che appaia la nostra pagina. Più precisamente quando digitiamo sulla parte alta del browser l’URL (es: www.namesito.it) o clicchiamo sul link in una pagina di ricerca.

cookie banner

Per questo motivo, un sito web a norma, prevede per i cookie, e in particolare per quelli di profilazione:

appena appare la pagina vi sia un banner che informi della loro presenza
della finalità per la quale sono usati
un link a un’informativa estesa che descriva quali cookie sono usati, per quale motivo e quali dati raccolgono
una richiesta di esplicito consenso (a valle della lettura dell’informativa) che venga espresso in modo consapevole, registrabile e attivo.
per i dati personali non trattati dai cookie vi sia l’informativa privacy (privacy policy) già illustrata precedentemente (accountability)
A proposito di cookie vanno inoltre registrati due elementi molto importanti:

1. l’orientamento delle autorità si è modificato in senso più restrittivo per quanto riguarda l’accettazione dei cookie di profilazione:

prima proseguendo nella navigazione l’utente accettava implicitamente la presenza e l’uso dei cookie di profilazione. Questa conseguenza andava però dichiarata in modo che il consenso fosse consapevole
adesso si richiede di aspettare un’azione esplicita (l’inserimento o meno della spunta di accettazione alla voce relativa) per considerare quegli elementi accettati

2. Il trattamento dei dati avviene – come specificato prima – immediatamente. La conseguenza è che bisogna:

  • bloccare i cookie
  • far apparire il banner che informa della presenza e richiede il consenso
  • attivare i cookie non tecnici solo se chi sta navigando acconsente

Se tolgo il form posso evitare di inserire l’informativa privacy?
A questo punto la domanda è legittima e la risposta è: assolutamente no. Come si è visto il trattamento di dati personali non avviene solo nel form dei contatti ma in tutta la navigazione.

Conseguentemente la rimozione di tale elemento costituisce solo l’eliminazione di uno dei trattamenti (e di una delle fonti) e non ci consente di eliminare l’informativa.

Ti sembra troppo complicato farlo da te? Non hai tempo? Puoi richiedere il servizio di assistenza rapida che con una spesa minima risolverà il problema.
Contattaci subito!

Articoli in relazione:

Lascia un commento