Documentazione

Guida per iniziare

Se non sei un professionista legale, adeguare il tuo sito web o la tua applicazione alle leggi internazionali sulla privacy può risultare noioso e difficile. iubenda fornisce diverse soluzioni complete e personalizzabili che puoi integrare facilmente nel tuo sito web o nella tua applicazione.

Cose da sapere

Requisiti legali

Nella maggior parte delle legislazioni, è obbligatorio fornire informazioni sul trattamento dei dati e adottare un metodo per ottenere il consenso degli utenti e per facilitarne la revoca. Il mancato rispetto di queste leggi può comportare ingenti sanzioni, esporti al rischio di controversie e compromettere la credibilità del tuo sito web o della tua applicazione.

Cosa prevede la legge

  • Gli utenti devono essere informati sull’identità del titolare del sito/app, sui dati raccolti, sui loro diritti in relazione a tali dati, sulle modalità di notifica delle modifiche alla policy, sulla data a partire dalla quale la policy è entrata in vigore e su eventuali accessi di terzi ai loro dati (ad esempio tramite widget di terza parte, pulsanti sociali, servizi pubblicitari etc.). Gli utenti devono inoltre essere a conoscenza delle condizioni di utilizzo del servizio (comprese le eventuali condizioni di vendita).

  • Gli utenti devono essere in grado di prestare, negare o revocare il loro consenso (a seconda della normativa applicabile). Negli Stati Uniti, la legge in genere obbliga il titolare ad offrire chiaramente agli utenti la possibilità di revocare il consenso (opt-out). Disposizioni diverse si applicano, tuttavia, nei casi che riguardano il trattamento dei cosiddetti “dati sensibili” (come dati sanitari, informazioni creditizie, dati relativi a studenti, informazioni personali relative ai minori di 13 anni). In questi casi deve essere richiesta un’azione di “opt-in” verificabile, come la spunta di una checkbox o un’altra azione positiva di consenso.

    Rispetto alle leggi statunitensi, la normativa europea (in particolare il GDPR) è più restrittiva in materia di consenso. Secondo il GDPR, il consenso deve essere “esplicito e libero”. Ciò significa che le modalità di acquisizione del consenso devono essere inequivocabili e prevedere una chiara azione di “opt-in”; (il regolamento vieta espressamente l’uso di checkbox preselezionate o di altri sistemi alternativi di “opt-out”). Il regolamento sancisce inoltre un diritto specifico alla revoca del consenso, che deve essere tanto facile quanto lo è il suo conferimento. Dal momento che ai sensi del GDPR il consenso è una questione di estrema importanza, è fondamentale (e obbligatorio) registrare in modo chiaro tutti i consensi acquisiti.

    Il registro dei consensi deve contenere almeno le seguenti informazioni:

    • l’identità dell’utente che ha prestato il consenso;
    • il momento in cui il consenso è stato conferito;
    • le informazioni che sono state fornite all’utente nel momento in cui ha acconsentito al trattamento;
    • i metodi utilizzati per ottenere il consenso (ad esempio tramite un modulo di iscrizione alla newsletter, durante un checkout etc.);
    • un’indicazione circa l’eventuale revoca del consenso.

    È utile ricordare che ai sensi del GDPR il consenso non è l’unica ragione per cui un’organizzazione può trattare i dati degli utenti, ma è solo una delle “Basi Giuridiche” del trattamento. Le aziende possono dunque avvalersi – nel contesto del GDPR – di altre basi giuridiche per il trattamento dei dati dei propri utenti. In ogni caso, per alcune attività di trattamento il consenso è la soluzione migliore, se non la sola strada percorribile.

  • Gli utenti devono essere informati sull’uso dei cookie e avere la possibilità di acconsentire o rifiutare. La direttiva ePrivacy o la Cookie Law impongono infatti la raccolta di un consenso informato dell’utente prima di installare cookie sul suo dispositivo e di iniziare il tracciamento.

  • Devi tenere un registro delle attività di trattamento (obbligatorio per legge se rientri nell’ambito di applicazione del GDPR). Ai sensi del diritto comunitario (in particolare il GDPR), devi conservare e tenere aggiornato un registro “completo e esaustivo” delle attività di trattamento dei dati personali, sia interne che esterne. Il registro è espressamente richiesto nei casi in cui le tue attività di trattamento non sono occasionali, possono comportare rischi per i diritti e le libertà altrui, includono il trattamento di “categorie speciali di dati” o quando la tua organizzazione ha più di 250 dipendenti, il che vale di fatto per quasi tutti i titolari e responsabili del trattamento.

    Tuttavia, anche se le tue attività di trattamento non rientrano nelle situazioni appena esposte, i tuoi doveri di informare gli utenti ti impongono di conservare un registro di base contenente i dati che raccogli, le finalità, tutte le parti coinvolte e il periodo di conservazione dei dati – questo è obbligatorio per tutti. Consulta la nostra guida GDPR per scoprire come mantenere registri del trattamento conformi, sia per i titolari che per i responsabili.

In generale, queste leggi si applicano a qualsiasi servizio rivolto agli utenti di un dato Paese, il che significa che molto probabilmente queste disposizioni si applicheranno alla tua attività indipendentemente dalla sede dell’organizzazione o dall’ubicazione dei tuoi server. Pertanto, è sempre consigliabile che le attività di trattamento dei dati vengano svolte nel rispetto delle più severe norme applicabili.

Per approfondire i requisiti di legge e la normativa applicabile ti invitiamo a leggere la Panoramica sui requisiti di legge e la guida Normativa applicabile e lingua dei documenti.

I nostri esperti in diretta

Assisti a demo dal vivo e ricevi risposta alle tue domande in tempo reale partecipando a uno dei nostri webinar gratuiti in italiano. Sono tutti pratici e progettati per aiutarti a comprendere e raggiungere la conformità per i tuoi siti e le tue applicazioni.

Iscriviti ora

Requisiti delle terze parti

Dal momento che anche le applicazioni ed i servizi di terza parte devono rispettare queste leggi, è possibile che siano le stesse terze parti ad imporre ai siti web e alle app che le utilizzano di rispettare determinati standard normativi.

Un esempio è Google: per utilizzare determinati servizi e strumenti (come AdSense, Google Analytics, Google Play Store), Google impone al titolare del sito/app di disporre di una privacy policy completa e aggiornata. Segue un estratto delle condizioni di utilizzo di Google Analytics:

“L’Utente dovrà pubblicare norme sulla privacy che avvisino dell’utilizzo di cookie al fine di raccogliere dati”, e “L’Utente non potrà eludere le funzioni a tutela della privacy (ad es. la disattivazione) che sono parte del Servizio”.

Di tanto in tanto i requisiti delle terze parti cambiano in risposta a normative nazionali o internazionali. Per evitare l’interruzione del servizio, è spesso necessario che le policy rispondano ai requisiti più recenti. Per questo motivo, iubenda utilizza una funzione di incorporazione e non il semplice copia e incolla. In questo modo, puoi essere certo che la tua policy sia sempre aggiornata grazie alle revisioni continue effettuate da remoto dal nostro team legale.

Per ulteriori informazioni sui requisiti di Google, consulta la guida Privacy Policy per Google Analytics e l’articolo (in inglese) Privacy Policies for Google’s Products.

Scopri di più sui requisiti di Apple nella guida Privacy policy per app iOS e macOS.

Come può aiutarti iubenda

L’approccio di iubenda alla compliance

Noi di iubenda crediamo nell’importanza di un approccio onnicomprensivo alla compliance con la normativa sulla protezione dei dati personali. Monitoriamo le principali normative internazionali e sviluppiamo soluzioni che tengano conto delle disposizioni più severe, offrendo servizi completi e personalizzabili in base alle proprie esigenze. In questo modo puoi adempiere agli obblighi di legge (indipendentemente dalla posizione dei tuoi utenti), ridurre il rischio di controversie e proteggere i tuoi clienti, consolidando fiducia e credibilità.

Ecco cosa serve per essere pienamente conformi:

Dotarsi di una privacy policy per informare gli utenti sul trattamento dei loro dati personali

Come anticipato, gli utenti devono essere informati su come vengono utilizzati i loro dati personali. Per questo motivo, le privacy policy sono richieste per legge quasi ovunque nel mondo. Questo documento legale deve indicare il modo in cui il tuo sito web o la tua app raccoglie, elabora, memorizza, condivide e protegge i dati degli utenti, le finalità del trattamento e i diritti degli utenti a tale riguardo.

Il nostro Generatore di Privacy Policy è alla portata di tutti, disponibile in diverse lingue, progettato da un team di avvocati, personalizzabile e aggiornato automaticamente (in quanto è controllato a distanza dai nostri legali). Ti permette facilmente di creare una privacy policy stupenda, precisa e perfettamente integrata con il tuo sito web o con la tua app. Basta aggiungere con un semplice click una qualsiasi delle tante clausole pre-configurate disponibili o scrivere facilmente le proprie clausole personalizzate. Hai inoltre la possibilità di includere una cookie policy (necessaria se il tuo sito web o la tua app utilizzano cookie). Le policy sono personalizzate in base alle tue esigenze e vengono gestite da remoto dal nostro team legale.

Per ulteriori informazioni sulle privacy policy di iubenda leggi l’elenco completo delle nostre funzionalità.

Adeguarsi alla Cookie Law Europea

Poiché l’uso dei cookie comporta sia l’elaborazione dei dati dell’utente che l’installazione di tecnologie di tracciamento, è un fattore di notevole importanza nell’ambito della protezione dei dati personali degli utenti. Per questo motivo, se operi nel territorio dell’Unione Europea o ti rivolgi ad utenti europei, devi rispettare la Cookie Law. Per adeguarsi alla Cookie Law è necessario soddisfare 2 requisiti:

  • dotarsi di una cookie policy, che puoi attivare con l’opzione dedicata disponibile nel Generatore di Privacy Policy descritto in precedenza;
  • mostrare un cookie banner, che puoi predisporre utilizzando la iubenda Cookie Solution.

La nostra Cookie Solution è conforme alle disposizioni della legge europea sul trattamento mediante cookie. Consente di informare facilmente gli utenti e di ottenerne il consenso, compresa la possibilità di bloccare qualsiasi codice che installa cookie prima di aver raccolto il consenso dell’utente (così come richiesto in molti Paesi UE). È facile da usare, veloce e non richiede investimenti onerosi.

Per ulteriori informazioni, consulta la guida introduttiva sulla iubenda Cookie Solution.

Internal Privacy Management

Adeguarsi al GDPR può rivelarsi una sfida tecnica da attuare in termini pratici. Questo è particolarmente vero per la gestione della privacy interna. Per essere conforme, devi essere in grado di rintracciare e descrivere:

  • quali dati raccogli;
  • per quali scopi sono stati raccolti;
  • la base legale per l’elaborazione;
  • la politica di conservazione dei dati per ogni attività di elaborazione;
  • le parti coinvolte (sia all’interno che all’esterno dell’organizzazione);
  • le misure di sicurezza;
  • il trasferimento dei dati al di fuori dell’UE, qualora avvenga;
  • altri dettagli correlati che possono essere applicati a tutta l’azienda, inclusi i dati dei dipendenti.

La nostra soluzione consente di registrare e gestire facilmente tutte le attività di elaborazione dei dati all’interno della propria organizzazione, così da poter soddisfare facilmente i requisiti e soddisfare i propri obblighi legali.

Più precisamente ti consente di:

  • creare un registro del trattamento;
  • definire le attività di elaborazione effettuate scegliendo da oltre 600 opzioni pre-configurate;
  • dividerle per area (sottodivisioni all’interno delle quali le attività di elaborazione dati sono le stesse);
  • individuare responsabili ed altri soggetti;
  • documentare le basi giuridiche e le altre informazioni richieste dal GDPR.

Nota: come menzionato in questa guida, in genere si richiedono registrazioni di elaborazione complete ed esaurienti alle organizzazioni che gestiscono “categorie speciali di dati” o che hanno più di 250 dipendenti. Tuttavia ci sono alcuni requisiti per la conservazione della documentazione che sono obbligatori per tutti, come ad esempio quali dati vengono raccolti, lo scopo, tutte le parti coinvolte nel trattamento e il periodo di conservazione dei dati. Inoltre, anche se il GDPR è una buona ragione per impegnarsi maggiormente nella gestione della privacy interna, il nostro strumento non è fatto esclusivamente per l’applicazione sotto GDPR: può infatti essere utilizzato per la gestione generale della privacy interna anche da aziende che non hanno utenti o clienti all’interno dell’UE.

Leggi la guida all’Internal Privacy Management o scopri tutte le funzionalità per saperne di più.

Gestire il consenso e mantenere i record dettagliati relativi ad esso

Al fine di rispettare le leggi sulla privacy, in particolare il GDPR, le aziende devono archiviare la prova del consenso così da poter dimostrare che il consenso è stato raccolto. Questi record devono mostrare:

  • quando è stato fornito il consenso;
  • chi lo ha fornito;
  • quali erano le loro preferenze al momento della raccolta del consenso;
  • quale avviso legale o sulla privacy sono stati presentati al momento della raccolta;
  • quali moduli di raccolta del consenso sono stati presentati al momento della raccolta.

La nostra Consent Solution semplifica questo processo aiutandoti a conservare facilmente la prova del consenso e a gestire le preferenze di consenso e privacy per ciascuno dei tuoi utenti. Ti consente di tracciare ogni aspetto del consenso (compreso l’avviso legale o sulla privacy e il modulo di consenso presentato all’utente al momento della raccolta) e le relative preferenze espresse dall’utente.

Per utilizzarla basta attivare la Consent Solution, ottenere la chiave API, installarla tramite API HTTP o widget JS e il gioco è fatto. Sarai in grado di recuperare i consensi in qualsiasi momento e tenerli aggiornati.

Leggi la guida alla Consent Solution o scopri tutte le funzionalità per saperne di più.

Leggi anche