Un blog in regola con il GDPR deve avere il banner dei cookie con relativa cookie policy e una privacy policy relativa ai dati trattati. Spesso i blogger si rivolgono a servizi che vendono privacy policy precompilate, tuttavia in questo caso così come quando si scrive in autonomia la privacy policy del blog, è necessario conoscere i dati da indicare per non incorrere in sanzioni. Di seguito riportiamo i punti fondamentali per creare una privacy policy per un blogger e ricordiamo che in caso di dubbio è opportuno rivolgersi a un legale esperto di web per evitare di incorrere in sanzioni.
Lo scopo della privacy policy
La privacy policy di qualsiasi sito deve informare i lettori dei loro diritti in modo comprensibile, evitando quindi termini troppo tecnici o burocratici. Se i dati vengono trattati da società esterne come quelle che gestiscono newsletter, analisi dati o servizi di affiliazione vanno indicati anche i link alle rispettive privacy policy.
La novità più importante del GDPR rispetto alle norme precedenti sul trattamento dati è la trasparenza verso gli interessati. Il diritto all’accesso dei propri dati e alla cancellazione è esplicito, il responsabile del trattamento dati va indicato chiaramente. Infine Privacy e Cookie policy devono essere facilmente raggiungibili dai lettori per cui vengono quasi sempre inseriti nel footer del blog.
Un modo semplice per capire da dove partire per scrivere una privacy policy, anche quando ci si rivolge a servizi precompilati come Iubenda, è fare una lista dei servizi utilizzati nel blog. I servizi precompilati infatti funzionano come una checklist e la stessa lista è necessaria anche nel caso si decida di farsi scrivere una privacy policy personalizzata da un avvocato.
Tra i servizi più usati dai blogger ci sono Jetpack di Automattic per condivisioni e per seguire il blog, i collegamenti ai social network come Instagram e Facebook, la mailing list di Mailchimp o Mailerlite, i cookies rilasciati da Google Analytics, l’affiliazione ad Amazon per citarne alcuni. La policy inoltre non è un documento statico, ma va aggiornata ogni qualvolta cambi la gestione dei dati, per esempio quando un blogger cambia un servizio o una società esterna si trasferisce in una altro Stato (pensiamo alle società di servizi che in seguito alla Brexit si sono trasferite dal Regno Unito all’Irlanda per restare nell’Unione Europea).
Cosa deve contenere una privacy policy
La privacy policy è una pagina pubblica che elenca come vengono utilizzati i dati raccolti dal blog e dai servizi utilizzati. Su internet si trovano varie tracce e modelli precompilati che prevedono sempre l’indicazione di:
- titolare del trattamento dei dati personali: il nome e le informazioni di contatto del proprietario del blog;
- quali dati personali vengono trattati: nome, cognome, sito internet per i commenti, dati tracciati da Google Analytics come indirizzo IP, tipo di browser, il tempo trascorso sul sito, ecc.;
- come vengono raccolti e utilizzati i dati personali: dati aggregati per statistiche del sito, gestione dei commenti, eventuale invio di proposte commerciali;
- cosa sono i Cookie e come funzionano, con eventuale rimando all’apposita Cookie policy se vengono pubblicate due policy separate;
- condivisione dei dati personali con terze parti: quando vengono utilizzati servizi esterni per newsletter (Mailerlite, Mailchimp, ecc.), per la visualizzazione della pubblicità (Google AdSense), o tracciamento di link di affiliazione questi dati vengono comunicati alle società esterne per gestire il servizio;
- trasferimento dei dati personali fuori dall’Unione Europea: molti servizi di cui sopra, sono di società estere e i server in cui vengono conservati i dati possono trovarsi in USA o in altri Stati;
- sicurezza dei dati personali: come vengono conservati i dati personali e le attività in atto per proteggerli come computer protetto da password, utilizzo di protocolli di sicurezza SSL, antivirus, ecc.;
- diritti degli interessati: quali sono i diritti degli utenti rispetto ai propri dati personali (accesso, cancellazione, rettifica, portabilità) e come possono esercitarli;
- informazioni di contatto per esercitare i diritti di cui sopra.
I servizi automatici per le privacy policy
Su internet ci sono diversi servizi come Iubenda che generano in automatico le privacy policy di siti e blog, molto utilizzati dai blogger non professionisti. Sono servizi che possono andare bene quando si fa uno scarso o nullo utilizzo dei dati personali degli utenti perché come indicato nelle loro clausole di disconoscimento sono servizi automatizzati che aiutano gli utenti ad adempiere agli obblighi di legge, ma non sostituiscono una consulenza professionale.
Per questo motivo i blogger professionisti, specialmente quelli che vendono servizi sul loro sito, dovrebbero invece prestare molta attenzione a come viene realizzata la privacy policy o rivolgersi a un avvocato esperto di web per farne realizzare una su misura a prova di legge.
➽ Oltre alla privacy policy il GDPR prevede la creazione di una cookie policy con relativo inserimento di un banner nel sito per l’accettazione esplicita dei cookie, come spiegato nel nostro riassunto del GDPR per blogger.
4 commenti
Sono sincera per la privacy policy ho chiesto un aiuto esterno perchè davvero stavo impazzendo. Se fosse uscito prima questo articolo indubbiamente ci avrei messo pochissimo e sarei riuscita a farlo da sola, come del resto ho sempre cercato di fare.
Ho preferito affidarmi a una società esterna per le impostazioni delle privacy policy in quanto poco ferrata in materia legale. Meglio cautelarsi che incorrere in sanzioni pesanti.
Che caos quando è uscita la nuova normativa, pensavo di impazzire tra i miei blog e quelli dei clienti, menomale che ho trovato chi mi aiutava!
Articolo chiarissimo e dettagliato, grazie!
come sempre consigli utilissimi. Io sinceramente uso Iubenda, Tanto non vendo nulla e l’unico dato personale che chiedo è la mail della newsletter, per l’uso che ne faccio e le visite che ho mi basta 🙂