Diciamo subito una cosa: se hai uno o più blog amatoriali a cui dedichi il tuo tempo libero e vuoi sapere se le nuove normative si applicano solo a siti commerciali o anche al tuo sito, devi sapere che gli obblighi previsti dal GDPR scattano per tutti i siti web che raccolgono dati personali dei propri utenti.
Se ti stai chiedendo se raccogli i dati personali degli utenti che navigano sul tuo sito, considera che un sito con la pagina “contatti” o con l’indirizzo email, tratta i dati personali degli utenti che contattano il sito stesso. Stesso discorso vale per qualsiasi form di registrazione che può essere per esempio quello dove si lasciano i commenti. Finora bastava un’accettazione generale delle norme della privacy, dal 25 maggio per essere a norma con il GDPR, dovrai chiedere consensi specifici per le diverse finalità.
Sono centinaia di migliaia le persone che hanno siti web amatoriali e man mano che si avvicina la data del 25 maggio 2018 sono sempre più quelli che vengono a conoscenza dell’esistenza del GDPR o che già lo sapevano ma hanno preferito rimandare il momento in cui capire cosa fare.
Dall’altra parte sui forum e sui gruppi facebook, persone che lavorano a diverso titolo con i siti web, si sfidano a colpi di fioretto e/o si confrontano pacificamente nel tentativo di capire come affrontare situazione ben più complesse di quelle che deve affrontare la nonna con il suo sito di ricette, il fratello appassionato di manga giapponesi, la sorella che condivide le quotidiane fatiche di una mamma.
E’ per questi ultimi che scrivo questo articolo, perché sono quelli che ne hanno più bisogno. Non mancano le testimonianze di sconforto e allarmismo come questa: “ma in pratica io cosa devo fare con il mio sito per stare in regola con il GDPR? No perché non ci guadagno niente, se devo pure pagare allora lo chiudo“.
Non si può negare che il GDPR rappresenti in questo momento una scocciatura di cui in tanti avrebbero fatto a meno. Tuttavia non è impossibile da capire, anzi approcciandosi in modo elastico è possibile comprenderne che non è stato progettato per creare problemi ai piccoli, quanto piuttosto per porre un freno all’uso scorretto da parte delle grandi società. Sono tanti in questa situazione, non sanno che fare, nessuno glielo dirà oppure gli verranno proposte soluzioni esterne che non prescindono dalla consapevolezza di sapere cosa e perché si sta facendo qualcosa. E per sapere cosa fare l’unico riferimento da seguire è quello del Garante della privacy.
Cookie, banner e informativa della privacy
Prima di passare al GDPR vediamo di capire se eravamo già a norma con la legge precedente. Tanti siti amatoriali hanno il banner dei cookie ma in molti casi non sarebbe necessario. E’ scritto sulla pagina del Garante http://www.garanteprivacy.it/cookie/ che i cookie tecnici vanno segnalati nell’informativa ma non è necessario inserire il banner e richiedere il consenso ai visitatori. Tanti siti, probabilmente anche il tuo, installano solo cookie tecnici eppure hanno il banner.
I cookie di navigazione
Sempre dalla pagina del garante leggiamo che se un sito non installa nessun cookie allora ovviamente non dovrebbero nemmeno essere segnalati nell’informativa. Non è il caso di un sito fatto con WordPress che come minimo utilizza i cookie di navigazione che sono dei cookie tecnici. Quindi attenzione a non pensare, nel caso che da una verifica con cookieMetrix o da Chrome non risultino cookie sui vostri siti, che il vostro sito non installi cookie e che quindi non dobbiate nemmeno segnalarli. In realtà utilizzando WordPress li installate ugualmente, solo che si tratta di cookie di navigazione che si cancellano quando viene chiusa la pagina su cui il visitatore sta navigando.
Banner per il consenso ai visitatori
Dalla pagina del Garante vediamo che il banner è necessario quando il sito installa cookie analitici di terze parti o cookie di profilazione. Quindi se sul vostro sito non utilizzate Google analytics, non avete banner pubblicitari, non ci sono plugin social, ecc., sarà sufficiente segnalare i cookie tecnici nell’informativa. Un esempio pratico può essere quello di un blog con due plugin installati (Yoast seo e un plugin per la cache).
GDPR e modulo contatti
Che succede se ad un blog come quello descritto finora volete aggiungere un modulo contatti? La situazione non cambia molto rispetto a quella precedente, perché non installiamo ovviamente nessun cookie di profilazione che ci obbligherebbe a mettere il banner. Però ora stiamo trattando dei dati (nome e email dell’utente che ci contatta) quindi per essere conformi al GDPR sarà necessario inserire il quadratino non spuntato (quindi disattivato, sarà l’utente a doverlo spuntare cliccandoci dentro) nel form contatti, a cui dovrà seguire un messaggio tipo questo: “Ho letto l’informativa Privacy e acconsento al trattamento dei miei dati personali per le finalità ivi indicate. I dati personali richiesti (nome e indirizzo email) saranno utilizzati unicamente per rispondere al vostro messaggio. Non saranno diffusi o comunicati a terzi. Ricorda di non inviare dati sensibili nel messaggio.” Ovviamente “informativa privacy” sarà l’anchor che collegherà alla pagina completa della privacy policy.
Dopo diversi confronti sui forum si è giunti alla conclusione che anche lasciare un indirizzo email sul sito, invece di utilizzare un form contatti, ci obbliga a scrivere un avviso come quello sopra. Invece le cose cambiano se per farvi contattare lasciate per esempio il link del vostro profilo facebook (o simili) perché il GDPR riguarda il trattamento dei dati personali e i link ad un sito non c’entrano nulla.
Aggiungere i commenti ai siti
Come per il modulo contatti di cui sopra, siamo di fronte ad un form di registrazione che, in generale, ci obbliga, per essere a norma con il GDPR, a chiedere consensi specifici per le diverse finalità, quindi con un apposito consenso da spuntare (non già attivato) il link alla privacy policy completa e una breve ma esauriente spiegazione della finalità. Se, come in questo caso, il form permette all’utente di lasciare un commento, la finalità per cui viene richiesto il consenso esplicito è proprio quella di lasciare un commento. Insomma è come se quando salite su un’auto vi chiedessero se siete consapevoli che ha 4 ruote. Su questo sito, per la checkbox dei commenti ho utilizzato il plugin WP GDPR Compliance. Nella checkbox dei commenti ho scritto “Utilizzando questo modulo accetti la memorizzazione e la gestione dei tuoi dati da questo sito web secondo le finalità indicate nella privacy policy”.
Ed è questo il modo in cui va affrontata e risolta ogni situazione che si va man mano ad aggiungere. Per esempio se vuoi mandare una newsletter ti serve un consenso apposito, cosi come abbiamo visto che te ne serviva uno per il modulo contatti o per i commenti sul sito.
cookieConsent: il cookie installato per sbaglio
Nel caso analizzato finora sappiamo che anche se aprite il vostro sito con Chrome e poi fate tasto destro > Ispeziona > Application o lo analizzate con cookieMetrix, non vedrete nessun cookie. Però siccome sappiamo che con WordPress vengono installati dei cookie di navigazione, comunque dobbiamo scriverlo nell’informativa. Cosa di preciso? La parte riguardante i cookie tecnici può essere scritta in questo modo:
“Questo sito utilizza cookie tecnici per offrirti un’esperienza migliore. Puoi navigare senza interruzioni, ricordando la lingua e il Paese selezionati e preservando l’autenticazione alle aree riservate del sito. La legge afferma che possiamo memorizzare i cookie sul tuo dispositivo se sono strettamente necessari per il funzionamento di questo sito. Per tutti gli altri tipi di cookie mi serve il tuo permesso.”
Ma se invece seguendo la procedura sopra descritta risultasse la presenza di un Cookie? In questo caso dovresti scrivere il nome del cookie nell’informativa e descrivere quello che fa il cookie.
Il caso più comune per un blog amatoriale come quello descritto finora è quello di trovare solo cookieConsent. Si tratta di un cookie che viene installato dal plugin dei cookie che viene installato sul sito per avere il banner dei cookie (lo so perché l’ho fatto anch’io). Ma se il tuo sito è come il caso descritto finora e cioè con soli cookie di navigazione che si cancellano alla chiusura delle pagine web, allora il banner non ti serve. Di conseguenza il plugin dei cookie può essere disinstallato ed eliminato dal sito e cosi non sparirebbe anche il cookie.
Conclusioni sul GDPR per un sito amatoriale
Come vedi non c’è bisogno di farsi prendere dal panico o lasciarsi contagiare dall’allarmismo generale. Non devi necessariamente togliere dal tuo sito commenti, contatti e tante altre cose. Segui il principio per cui per ogni finalità dovrai chiedere un consenso e spiegare in breve che i dati sono richiesti solo per quella finalità (per esempio se nel form contatti chiedi nome e email dovrai scrivere che stai chiedendo nome e email per poter rispondere al messaggio che riceverai), fai precedere questa frase da un check da spuntare e rimanda attraverso un link alla pagina dell’informativa della privacy del tuo sito.
Per i casi più complessi rispetto a quelli descritti in questo articolo dedicherò un articolo a parte, visto che c’è ancora molto da dire. E tu hai un sito amatoriale? Cosa hai capito finora del GDPR e sopratutto questo articolo ti è stato utile? Attendo i tuoi commenti.