Il Regolamento generale sulla protezione dei dati (GDPR) ha influenzato pesantemente il modo in cui i siti web richiedono il consenso degli utenti per il trattamento dei dati personali.
Di seguito, vi spiego come costruire moduli di consenso conformi al GDPR , perché è importante averne uno e come ottenere, registrare e gestire il consenso degli utenti.
I "do›s and don›ts" dei moduli conformi al GDPR
Per aiutarvi a soddisfare in modo rapido ed efficiente gli obblighi di consenso previsti GDPR , ho stilato un utile elenco di cose da fare e da non fare:
- Utilizzate un linguaggio chiaro e semplice nel vostro modulo di consenso, in modo che gli utenti lo comprendano.
- Date ai vostri utenti la possibilità di aderire, rinunciare e cambiare idea in qualsiasi momento.
- Collegatevi a un'informativa sulla privacyGDPR insieme alla richiesta di consenso, in modo che gli utenti possano accedere a tutte le informazioni necessarie.
- NON rendere il consenso un prerequisito per ricevere un servizio se la raccolta dei dati non è effettivamente necessaria.
- Non rendete più difficile agli utenti dire di no che dire di sì, altrimenti sarete in conflitto con il regolamento.
- NON utilizzare soluzioni subdole, come ad esempio rendere il pulsante di accettazione più evidente di quello di rifiuto, poiché ciò non è conforme al GDPR .
Come creare moduli di consenso conformi al GDPR (con esempi)
Se la vostra azienda è soggetta ai requisiti del GDPR, potete utilizzare il consenso come base giuridica per il trattamento di determinate informazioni personali.
Se decidete che il consenso è la base giuridica appropriata per la vostra attività di trattamento, dovete seguire linee guida specifiche quando richiedete il consenso agli utenti.
Secondo il GDPR, le persone devono dare il proprio consenso attraverso una dichiarazione o un'azione affermativa esplicita ed essere:
- Fornito gratuitamente e su base volontaria
- Specifico
- Informato
- Inequivocabile
Inoltre, le persone devono avere il diritto di ritirare il proprio consenso in qualsiasi momento, con la stessa facilità con cui è stato dato.
Tenendo presente questa definizione legale, parliamo della creazione di un modulo di consenso GDPR per il vostro sito web o la vostra app.
Ricordiamo che il consenso è una delle sei basi giuridiche in base alle quali le aziende possono trattare i dati personali ai sensi del GDPR.
Rendere trasparente la richiesta di consenso
Implementate questi tre requisiti di trasparenza nei vostri moduli di consenso:
Non utilizzate caselle di controllo pre-selezionate nel vostro modulo di consenso
Non utilizzate caselle di controllo pre-selezionate, consenso implicito o consenso predefinito quando chiedete agli utenti di aderire alla vostra richiesta di consenso. Tutte queste tecniche violano il GDPR.
Invece, è opportuno prevedere una casella non selezionata che gli utenti devono selezionare attivamente per esprimere il loro consenso.
Qui di seguito trovate un confronto tra cosa fare e cosa non fare con le caselle di controllo.
Come dimostra l'esempio del modulo GDPR di cui sopra, gli utenti devono dare liberamente il consenso all'invio di e-mail e possono accedere alla vostra offerta senza iscriversi alla vostra newsletter.
Fornire più opzioni di Opt-In
Considerate di implementare una richiesta di consenso double opt-in quando chiedete agli utenti di iscriversi a una mailing list.
In primo luogo, fornite agli utenti un modulo di consenso online da compilare manualmente per iscriversi alle vostre e-mail, quindi inviate un'e-mail di conferma e chiedete loro di cliccare su un link per verificare il loro indirizzo e-mail, aggiungendolo alla vostra mailing list.
Sebbene l'ottenimento del doppio consenso in questo modo non sia esplicitamente richiesto dal GDPR, si tratta di una best practice aziendale comunemente utilizzata nell'ambito del GDPR.
Quando non è necessaria una casella di controllo nel modulo di consenso?
Ai sensi del GDPR, è possibile utilizzare le caselle di controllo quando si chiede agli utenti di acconsentire a più voci in un singolo modulo. Tuttavia, non è necessario utilizzarne una se il motivo del consenso è inequivocabile.
Ad esempio, se si utilizza un pop-up per richiedere il consenso a una newsletter, si può chiedere all'utente di inserire il proprio indirizzo e-mail utilizzando una frase chiara e un pulsante esplicitamente etichettato per ottenere un consenso valido.
Qui di seguito trovate un esempio dei modi giusti e sbagliati di scrivere questo tipo di richiesta di consenso.
Metodo Opt-In aggiuntivo per le e-mail
A seconda delle leggi vigenti, potrebbe essere consentito utilizzare i dati raccolti in precedenza su un individuo per inviargli un'e-mail senza ottenere il consenso.
Ad esempio, questa pratica può essere consentita negli Stati Uniti, nell'Unione Europea, in Canada, in Australia e nel Regno Unito, a condizione che si rispettino le seguenti condizioni:
- l'individuo vi ha fornito il proprio indirizzo e-mail nell'ambito di una precedente vendita sul vostro sito
- Sono adeguatamente informati tramite un avviso, una pagina di vendita o un'informativa sulla privacy.
- Le e-mail sono di natura promozionale e sono relative a prodotti o servizi simili a quelli acquistati originariamente da voi.
- Promuovete solo servizi e prodotti che vi appartengono e non di terzi.
Tuttavia, se l'individuo ha precedentemente scelto di non ricevere le vostre e-mail, non potete inviargli alcun contenuto promozionale in questo modo.
È inoltre necessario verificare nel dettaglio ogni legge applicabile, poiché l'elenco sopra riportato non è esaustivo né generalmente applicabile.
Utilizzare il consenso separato dalle richieste di altre politiche legali
Il GDPR richiede di separare le richieste di consenso per scopi diversi.
In altre parole, non è possibile associare il consenso alle politiche legali, come i termini e le condizioni, all'iscrizione a una newsletter.
Per una completa conformità alGDPR , assicuratevi che le richieste di consenso siano distinguibili e ovvie per l'utente.
Di seguito è riportato un esempio di come fare e non fare.
Fornire opzioni di consenso granulari
Se il vostro modulo di consenso chiede agli utenti di acconsentire a più operazioni di trattamento, assicuratevi di fornire loro l'opzione di acconsentire a ogni singolo elemento.
In caso contrario, il vostro modulo di consenso non rispetta adeguatamente gli standard del GDPR .
Di seguito è riportato un esempio di come fare.
Rendere la revoca del consenso facile come il suo rilascio
Il GDPR impone di consentire agli utenti di ritirare il consenso o di cambiare idea in qualsiasi momento senza conseguenze. Per l'utente deve essere facile farlo come dare il consenso.
Dovete informarli su come ritirare il consenso, ad esempio aggiungendo un'opzione di opt-out in fondo alle vostre e-mail di marketing o promozionali.
Di seguito, un esempio di come farlo con successo ai sensi del GDPR.
Conservare un registro dei consensi
Oltre a ottenere il consenso, il GDPR richiede anche di mantenere un registro delle scelte di consenso degli utenti.
Per fornire una prova adeguata del consenso, è necessario tenere traccia dei seguenti dettagli per ciascuno dei vostri utenti:
- Quando hai ottenuto il loro consenso
- Come lo avete ottenuto
- Cosa avete presentato agli utenti al momento di ottenere il consenso
Registrazione e gestione del consenso
l'azione di opt-in, la formulazione e la collocazione della richiesta di consenso GDPR sono metà della battaglia: dovete anche assicurarvi di mantenere un registro delle scelte di consenso dei vostri utenti.
Secondo l'articolo 7, sezione 1 del regolamento:
"Quando il trattamento è basato sul consenso, il responsabile del trattamento deve essere in grado di dimostrare che l'interessato ha acconsentito al trattamento dei suoi dati personali."
Per aiutarvi a soddisfare questo requisito legale, nelle sezioni seguenti vi spiegherò quali informazioni dovete tenere registrate e come potete consentire ai vostri utenti di gestire il loro consenso.
Quali informazioni devono essere registrate
Le registrazioni relative alle scelte di consenso degli utenti devono essere specifiche e dettagliate quanto il consenso stesso.
Per una completa conformità al GDPR , tenere un registro delle seguenti informazioni:
- Chi ha acconsentito o rinunciato: Nome, ID utente, indirizzo e-mail o altri identificatori, compreso l'indirizzo IP.
- Quando l'utente ha acconsentito o rinunciato: Timestamp di quando l'utente ha acconsentito
- Il modo in cui l'utente ha acconsentito o negato il consenso: Il modulo specifico o il punto del sito in cui l'utente ha acconsentito, ad esempio un pop-up o un modulo di iscrizione.
- Cosa hanno accettato o rinunciato a fare: A cosa hanno acconsentito esattamente, comprese le newsletter settimanali o le offerte di terzi.
- Se e quando hanno ritirato il loro consenso: Tenere un registro di tutte le volte che un utente cambia la sua preferenza di consenso.
Il mio metodo preferito per tenere un registro delle scelte di consenso degli utenti è una soluzione automatizzata, come la gestione del consenso Platform di gestione del consenso Platform di Termly(CMP).CMP).
Memorizza un registro delle scelte degli utenti, a cui si può accedere dalla dashboard di Termly .
Come consentire agli utenti di gestire il proprio consenso
È inoltre necessario fornire agli utenti un modo per gestire le loro scelte di consenso, poiché l ›articolo 7, sezione 3 del GDPR garantisce loro il diritto di cambiare idea in qualsiasi momento.
Inoltre, stabilisce che ritirare il consenso deve essere facile come darlo.
Analogamente, il capitolo 3, articoli 15-21 del GDPR conferisce ai consumatori i seguenti diritti sui loro dati:
- Accesso
- Correggere o modificare
- Trasferimento
- Cancellare
- Opporsi al trattamento dei propri dati per finalità specifiche
Per soddisfare questi requisiti, pubblicate sul vostro sito un centro per le preferenze di consenso con controlli sulla privacy che consentano agli utenti di aggiornare le loro scelte ogni volta che lo desiderano.
Ad esempio, il cookie banner sul sito web dell'Autorità greca per la protezione dei dati può essere riattivato in qualsiasi momento dal footer.
Inoltre, consiglio di pubblicare un modulo di richiesta di accesso ai dati(DSAR). Termly offre un modulo DSAR come parte della nostra soluzioneGDPR .
Per garantire che gli utenti abbiano sempre accesso al centro per le preferenze sul consenso e al modulo DSAR, collegateli entrambi in punti statici del sito, come il piè di pagina o il centro per la privacy, se ne utilizzate uno.
Riassunto
Quando si fa un modulo di consenso GDPR per il proprio sito web, gli utenti devono avere una scelta reale su come raccogliere ed elaborare i loro dati personali.
Ricordate di ottenere il consenso degli utenti ogni volta che vengono raccolti i dati e di registrare la scelta di ciascun utente.
Assicuratevi che le vostre informative sui cookie e sulla privacy siano aggiornate e includete un link attivo a ciascuna di esse in tutte le richieste di consenso che implementate.
Per saperne di più su chi scrive
Scritto da Teodor Stanciu, CIPP/E, CIPM
Teo è un Data Privacy Specialist e un esperto Data Protection Officer (DPO) che si occupa con passione di aiutare le aziende a rispettare gli obblighi di protezione dei dati. Ha un'esperienza di oltre sette anni come DPO per un'organizzazione internazionale attiva in 50 Paesi e con sede a Bruxelles, in Belgio. Teo è Certified Information Privacy Professional/Europe (CIPP/E) e Certified Information Privacy Manager (CIPM) presso l'international Association of Privacy Professionals (IAPP).
Per saperne di più su chi scrive
