Oggi parliamo di argomenti un po’ ostici ma che un’azienda deve conoscere prima di realizzare il suo sito web: gli obblighi di legge che deve rispettare il sito per essere a norma!
Tutti sappiamo cosa sia un sito Internet e quali siano gli elementi “visivi” che lo compongono. Ma quali siano le caratteristiche necessarie che per legge devono essere presenti sul sito internet non lo sanno in molti.
Innanzitutto ti diciamo che le normative variano a seconda della tipologia del soggetto e dell’attività che si svolge online. Ciò premesso, sono principalmente 4 gli elementi che consentono la conformità di un sito web alle normative vigenti.
- Dati societari
- Termini e Condizioni
- Privacy Policy
- Cookie Policy
1 . Obblighi legali per società e pubblicazione di dati obbligatori
Entreresti o ti fideresti di un negozio senza insegna? Un sito web è l’immagine online della tua azienda e come tale deve render subito chiaro al visitatore la realtà con la quale si sta confrontando.
I dati societari aiuteranno il consumatore a riconoscerti subito.
Dati Societari obbligatori
Secondo l’articolo 2250 del Codice Civile, successivamente modificato dall’articolo 42 della Legge 88/2009, una società deve comunicare tutte le proprie informazioni legali sul sito web, nelle mail e nei profili social. È consigliabile che i dati vengano inseriti in una pagina dedicata del sito, mentre i dati principali (ragione sociale / codice fiscale / partita IVA) solitamente li puoi leggere nel footer cosicché restino visibili da qualsiasi pagina.
I dati da comunicare obbligatoriamente sono:
- Ragione sociale
- Sede legale
- Codice Fiscale
- Partita IVA sito web
- Mail PEC
- Ufficio del Registro dove si è iscritti
- Numero Rea (Repertorio Economico Amministrativo)
- Capitale in bilancio (per società di capitali)
- Società o ente alla cui direzione la società è soggetta
Obblighi di legge e Dati obbligatori per Partita IVA
Se poi il sito è di proprietà di un libero professionista, l’articolo 35 del D.P.R. 633/1972, modificato dall’articolo 2 del D.P.R. 404/2001, chiarisce che dovrà essere segnalata la partita IVA direttamente in homepage. Anche in questo caso solitamente si approfitta del footer per inserire il dato.
2. Termini e Condizioni e Note Legali sono dati obbligatori per E-commerce
Hai mai controllato la politica di reso prima di acquistare un prodotto online?
Soprattutto nel caso di e-commerce, è indispensabile un documento che regola il rapporto contrattuale tra il titolare del servizio fornito tramite l’App o il sito web e l’utente. In questo documento, in sostanza, si stabiliscono le regole che devono essere seguite nell’interazione con i contenuti di un sito web o un’App e le eventuali modalità di cancellazione o sospensione di registrazione utenti, ad esempio.
Nel caso di siti di vendita online, in base all’art. 7 del Decreto Legislativo 70/2003, in un sito e-commerce è necessario indicare:
- Domicilio e sede legale del venditore
- Numero di iscrizione Rea o Registro delle Imprese
- Autorità di vigilanza
Ma devono essere specificate anche le seguenti informazioni:
- Prezzi e tariffe esposti in modo chiaro
- Eventuali dazi doganali e/o spese aggiuntive
- Spese di consegna (indicate separatamente dal prezzo del prodotto)
- Modalità e tempistiche di consegna
- Modalità per resi e/o reclami
- Diritti e obblighi derivanti dal contratto di vendita
- Contatti dell’azienda
- Tribunale competente in caso di controversie
Inoltre, trattandosi di vendita di beni e servizi devono essere riportate chiaramente le condizioni generali di vendita (possibilmente in una pagina dedicata). E nel caso specifico di prodotti alimentari, andranno specificati ingredienti ed allergeni.
3. Privacy Policy
Diffida da siti con privacy policy incomplete o assenti.
La Privacy Policy è una dichiarazione sul trattamento dei dati degli utenti raccolti dal titolare di un sito web o da un’App. È un documento che tratta di raccolta di informazioni personali degli utenti come nome e cognome, indirizzo email, o altro che possano identificare un utente, compreso i dati raccolti con l’accesso ad un sito web, quali IP o cookie.
Secondo le direttive Europee (Data Protection Directive 95/46/EC e la Privacy directive 2002/58/EC, come rivisto dal 2009/136/EC), l’utente deve essere informato sui processi di raccolta dei dati personali e nel sito web deve essere presente la Privacy Policy conforme al GDPR (in vigore dal maggio 2018), in cui si dichiara chi è il titolare del trattamento e le finalità di raccolta dei dati.
Quindi la Privacy Policy di un sito internet dovrà chiaramente esplicitare al visitatore i processi di raccolta dati in modo comprensibile e chiaro. In particolare una Privacy policy in regola dovrà contenere le seguenti informazioni.
Dati necessari Titolare trattamento
- generalità del Titolare del Trattamento (nome e cognome se persona fisica oppure denominazione e dati aziendali se società o ditta individuale)
- numero di telefono (consigliabile)
- link al modulo di contatto del sito (se presente sul sito web)
Finalità trattamento dati
In questo testo vengono indicati gli scopi di raccolta dei dati (ma non è obbligatorio indicare quali siano i dati raccolti). I più frequenti sono:
- iscrizione al sito (qualora il sito lo permetta)
- risposte a domande degli utenti (spesso quando sono presenti indirizzi mail o form di contatto attraverso i quali si possono ricevere domande dall’utente e si utilizzano le loro mail per la risposta)
- marketing e invio di newsletter (per invio di comunicazioni pubblicitarie o newsletter solitamente tramite indirizzo mail)
- profilazione (se viene creato un database con target group per inviare comunicazioni pubblicitarie personalizzate)
- difesa in giudizio (in caso si abbiano questioni legali con gli utenti, è opportuno informare che verranno acquisiti i dati personali)
Tempo di conservazione dei dati
È necessario indicare anche il periodo di conservazione dei dati. Normalmente prima dell’entrata in vigore del GDPR, si applicavano queste tempistiche:
- 12 mesi per finalità di profilazione
- 24 mesi per finalità di marketing
Con l’entrata in vigore del GDPR, dato che non vi è espresso nessun limite specifico, si demanda al titolare del sito la decisione delle tempistiche secondo il buon senso. Si preferisce non oltrepassare i 4 anni e allo scadere di questo periodo, si dovrà richiedere il consenso per non perdere i dati. In caso non venga concesso, il titolare sarà obbligato ad eliminare i dati dell’utente per finalità di marketing o profilazione.
Una smentita però arriva da un provvedimento dell’ottobre 2020, il quale sancisce che una volta dato il consenso, serve anche una revoca dello stesso per fare eliminare i propri dati… praticamente il consenso marketing non ha scadenza!
In caso di finalità di risposta alle domande degli utenti, la conservazione del dato dovrebbe essere limitato al tempo necessario della risposta o comunque per un tempo relativamente breve.
La Privacy Policy deve informare l’utente in ogni momento potrà:
- chiedere l’accesso / modifica / cancellazione dei propri dati personali
- chiedere limitazione o opposizione al trattamento dei dati
- revocare il consenso al trattamento in qualsiasi momento
- fare reclamo a un’autorità di controllo
La Privacy Policy deve indicare quali soggetti (diversi dal titolare del sito) che possono trattare i dati personali raccolti e deve informare l’utente in caso di modifiche sostanziali alla informativa privacy stessa. Per esempio, in caso di variazione del Titolare del trattamento, oppure se variano le finalità di raccolta dei dati.
Privacy Policy e Cookie Policy prevedono sanzioni in caso di non conformità, sanzioni che vanno fino a 20 milioni di euro o pari al 4% del fatturato annuo per le società.
Obblighi di legge per siti web e gestione dei Cookie
I cookie sono delle informazioni che un sito web manda al computer dell’utente, in modo da poterlo riconoscere in caso di possibili visite future e registrare le preferenze (per esempio della lingua selezionata per la navigazione), o per mantenere prodotti nel carrello in caso di E-commerce.
Esistono diversi tipi di cookie che raccolgono informazioni diverse riguardo l’utente:
- Cookie tecnici: utili per riconoscere l’utente e semplificare il login o la navigazione successiva in base alle preferenze selezionate. Servono esclusivamente per il funzionamento del sito e raccolgono informazioni in forma anonima. Devono essere installati direttamente dal titolare del sito web.
- Cookie di profilazione: servono al sito per creare un “profilo personalizzato” dell’utente memorizzando preferenze, abitudini d’acquisto, comportamento durante la navigazione sul sito (pagine visitate, azioni fatte…). In questo modo, i cookie raccolgono informazioni utili per proporre – anche fuori dal sito – un’esperienza di navigazione personalizzata, proponendo contenuti utili ed interessanti per l’utente in questione. Si distinguono a loro volta in cookie di navigazione, di funzionalità e analytics.
- Cookie di terze parti: sono installati da soggetti diversi dal titolare del sito e inviano dati a server diversi da quello che ospita il sito. Permettono l’accesso ai dati dell’utente a terze parti. Ne èun esempio Google Analytics che registra e analizza in forma anonima i visitatori di un sito.
- Cookie ibridi: sono cookie appartenenti a più categorie, un cookie infatti può essere sia di profilazione che di terze parti o tecnico e al contempo di profilazione.
4. Cookie Policy e obblighi connessi ai Cookie
Poiché i cookie vengono installati automaticamente da quasi tutti i siti web, in ottica di tutela dell’utente, si è provveduto a “disciplinare ” questi tracciamenti. Considerato che vengono trattati dati sensibili, già dal giugno 2015 e poi nel luglio 2021, l’utilizzo dei cookie è stato ulteriormente regolamentato dall’autorità italiana per la protezione dei dati. Dal gennaio 2022 infatti sono entrate in vigore le nuove linee guida per l’uso dei cookie, in cui il Garante prevede la presenza di un banner mostrato al primo accesso per la raccolta del consenso esplicito (non lo è lo scrolling o il cookie wall), in cui devono essere presenti:
- informativa breve sull’uso dei cookie tecnici e di profilazione
- link alla cookie policy
- indicazione chiara verso l’utente che dando il consenso prima della navigazione, i dati sono tracciati
- link ad area dedicata dove l’utente può scegliere quali cookie accettare
- pulsante per accettazione di tutti i cookie
- pulsante per proseguire la navigazione senza accettare i cookie e quindi senza essere tracciato
- pulsante per accettazione solo di alcuni cookie personalizzati
Se l’utente nega il consenso, è necessario impedire che i cookie vengano installati automaticamente. Inoltre deve esserci la possibilità di abilitare / disabilitare i cookie in qualsiasi momento e può essere richiesto di nuovo il solo se:
- le condizioni del consenso sono state modificate
- il titolare del sito non ha gli strumenti per tenere traccia del consenso precedente
- sono passati almeno 6 mesi dall’ultima acquisizione.
I cookie tecnici possono essere installati direttamente senza richiedere il consenso all’utente, però comporta che all’interno del sito vi sia presente una Cookie Policy in cui si dà spiegazione di cosa sono e quale sia il loro utilizzo.
I cookie di terze parti possono essere installati senza consenso solo se:
- non permettono l’identificazione di un utente
- il loro utilizzo è limitato a un solo sito/app;
- non sono condivisi con altri
- i dati raccolti non sono combinati con altri dati.
Lo stesso vale per i cookie di profilazione, in aggiunta è necessario inviare una notifica al garante per la protezione dei dati personali. ll Garante della Privacy specifica che il titolare di un sito web deve dimostrare di avere ottenuto il consenso valido secondo gli standard del GDPR.
Possibile stop all’uso di Google Analytics
È argomento di recentissima attualità la polemica sull’uso di tracciamento dei dati usato da Google Analytics.
Secondo una recentissima controversia dello scorso Giugno 2022, si è posta maggiore attenzione sulla raccolta e sul tracciamento dei dati raccolti da Google Analytics.
Le informazioni raccolte (come le pagine e servizi visitati, l’indirizzo IP del dispositivo dell’utente, il browser usato, il sistema operativo, la risoluzione dello schermo, la lingua selezionata, la data e l’ora della visita…) attraverso GA verrebbero trasferite negli Stati Uniti e sebbene l’indirizzo IP del dispositivo usato per la navigazione sia troncato, Google avrebbe le capacità di arricchirlo con altri dati di cui è in possesso rendendolo un dato personale (non anonimo).
Durante la controversia, il Garante ha affermato la modalità illecita del trattamento e richiama i gestori italiani di siti web a verificare la conformità delle modalità di raccolta dati attraverso l’uso dei cookie e altri strumenti di tracciamento. Tuttavia le indagini sono ancora in corso e avremo direttive da seguire solo nei prossimi mesi. Stay tuned!
Forlani Studio realizza siti web professionali e a norma di legge.
Ti aiutiamo a rispettare i requisiti di legge più complessi per non incappare in inutili e onerose sanzioni dovute alla poca conoscenza dell’argomento. Affidati a noi!