La maggior parte dei siti web non funziona in modo autonomo. Dietro le quinte, il tuo sito probabilmente si affida a una lunga lista di servizi di terze parti: strumenti di analisi, piattaforme pubblicitarie, contenuti incorporati, widget di chat, processori di pagamento e altro ancora.
La sfida? Anche un singolo strumento di terze parti può introdurre tracciamento, condivisione dei dati o trasferimenti transfrontalieri di dati che creano rischi per la privacy se non vengono adeguatamente divulgati o gestiti.
In questo articolo analizzo i servizi di terze parti più comunemente utilizzati sui siti web e i rischi per la privacy associati a ciascuno di essi.
Scoprirai come strumenti quali analisi, piattaforme pubblicitarie, incorporamenti e servizi infrastrutturali possono influire sulla raccolta e la condivisione dei dati e perché sono una parte essenziale del quadro generale della privacy di un sito web.
Cosa sono i servizi di terze parti sui siti web?
Il concetto di "terza parte" varia a seconda delle leggi sulla privacy. Ai sensi del GDPR, molti siti web operano come responsabili del trattamento dei dati che agiscono per conto del proprietario del sito web.
Ai sensi delle leggi sulla privacy come il California Consumer Privacy Act (CCPA), gli strumenti dei siti web possono rientrare in diverse categorie giuridiche, a seconda di come trattano i dati personali.
Un fornitore di servizi è un soggetto che tratta dati personali per conto di un'azienda in base a un contratto scritto che prevede restrizioni specifiche. Una terza parte è un soggetto che riceve dati personali per i propri scopi commerciali.
Queste distinzioni sono importanti perché determinano diversi obblighi di divulgazione e diritti degli utenti.
Questi servizi vengono comunemente aggiunti ai siti web tramite script, plugin, tag, API o contenuti incorporati. Sono utilizzati per le seguenti funzioni:
- Hosting web
- Analisi e monitoraggio delle prestazioni
- Pubblicità
- Assistenza clienti
- Elaborazione dei pagamenti
- Marketing via e-mail
- Ottimizzazione del sito web
Poiché i fornitori esterni gestiscono servizi di terze parti, possono raccogliere o elaborare i dati degli utenti per conto del proprietario del sito web o, in alcuni casi, per i propri scopi, a seconda della configurazione del servizio, dei termini contrattuali e della legge applicabile una volta che sono attivi su un sito.
Molti di questi servizi potrebbero caricarsi automaticamente quando qualcuno visita il tuo sito.
A seconda di come sono configurati, possono raccogliere dati tecnici, identificatori online o informazioni comportamentali, talvolta senza che i proprietari dei siti web abbiano una chiara visibilità su quali dati vengono raccolti, per quale scopo o dove vengono trasferiti.
Questo li rende una parte importante dell'ecosistema complessivo dei dati di un sito web e un fattore chiave nella valutazione dei rischi per la privacy e degli obblighi di trasparenza.
Perché i servizi di terze parti comportano rischi per la privacy
I servizi di terze parti possono comportare rischi per la privacy perché spesso raccolgono o elaborano i dati degli utenti al di fuori del controllo diretto del proprietario del sito web.
Una volta attivato, uno script, un plugin o un elemento incorporato di terze parti può raccogliere informazioni quali:
... a volte prima che l'utente se ne renda pienamente conto.
Quando questi servizi non vengono adeguatamente divulgati, le aziende possono violare le leggi sulla privacy.
Regolamento generale sulla protezione dei datiGDPR)
Il GDPR richiede alle aziende di avere una base giuridica per il trattamento dei dati personali ai sensi dell'articolo 6, che include:
- Consenso
- Necessità contrattuale
- Obbligo legale
- Interessi vitali
- Compito pubblico
- Interessi legittimi
Quando i servizi di terzi coinvolgono responsabili del trattamento dei dati, le imprese devono anche stipulare con questi ultimi un accordo sul trattamento dei dati (DPA) che soddisfi i requisiti di cui all'articolo 28.
Ai sensi degli articoli 13 e 14, le aziende devono informare chiaramente gli utenti in merito alla raccolta di dati da parte di terzi e, ove del caso, ottenere anche un consenso valido prima di utilizzare cookie non essenziali o tecnologie di tracciamento simili, come quelle utilizzate per:
- Analisi,
- Pubblicità, o
- Personalizzazione
A meno che non si applichi una limitata esenzione ai sensi delle linee guida applicabili.
In pratica, molti strumenti di analisi, pubblicità e personalizzazione richiedono un consenso valido nell'UE.
È inoltre importante notare che quando servizi di terze parti trasferiscono dati personali al di fuori dell'UE/SEE o del Regno Unito, sono richieste ulteriori garanzie ai sensi del Capitolo V GDPR.
A seguito della sentenza Schrems II, le aziende devono innanzitutto effettuare una valutazione dell'impatto del trasferimento (TIA) per valutare se la protezione dei dati nel paese di destinazione sia sostanzialmente equivalente agli standard dell'UE.
La TIA rivelerà se saranno necessarie misure supplementari oltre alle clausole contrattuali standard comuni, che costituiscono una salvaguardia per i trasferimenti internazionali.
Direttiva ePrivacy (Legge UE sui cookie)
La direttiva ePrivacy impone il consenso dell'utente prima di memorizzare o accedere alle informazioni sul proprio dispositivo, che include molti cookie di terze parti e tecnologie di tracciamento.
Questo requisito si aggiunge ai requisiti GDPR sopra menzionati.
Legge sulla privacy dei consumatori della California (CCPA)
Il CCPA richiede alle aziende di divulgare le categorie di terze parti con cui vengono vendute o condivise le informazioni personali, lo scopo di tali divulgazioni e di fornire i diritti di opt-out richiesti, ove applicabile, spiegando come vengono utilizzati tali dati.
Le aziende dovrebbero inoltre essere in grado di distinguere tra "vendita" (divulgazione a scopo monetario o altro scopo di valore) e "condivisione" (divulgazione per pubblicità comportamentale cross-context). Entrambe le precedenti azioni danno diritto all'opt-out.
Molti degli strumenti pubblicitari o di analisi possono costituire una "vendita" o una "condivisione" secondo queste definizioni generiche, ed è per questo che è necessario un link "Non vendere o condividere le mie informazioni personali".
Altre leggi sulla privacy degli Stati Uniti
Leggi come il Virginia Consumer Data Protection Act (VCDPA) e il Colorado Privacy Act (CPA) richiedono una chiara comunicazione della condivisione dei dati con terze parti e la definizione delle finalità del trattamento.
Oltre agli obblighi di divulgazione, i servizi di terze parti possono anche causare problemi relativi al trasferimento internazionale dei dati, alla conservazione dei dati e alla responsabilità dei fornitori, soprattutto quando più strumenti sono integrati in un unico sito web.
Senza un'adeguata visibilità e documentazione, anche i servizi di uso comune possono aumentare il rischio legale e operativo.
I servizi di terze parti più comuni sui siti web
Oggi, i siti web si affidano a un'ampia gamma di servizi di terze parti per funzionare in modo efficiente, misurare le prestazioni e coinvolgere gli utenti.
Sebbene questi strumenti offrano spesso un valore commerciale significativo, ogni tipo presenta specifiche considerazioni relative alla privacy, a seconda delle modalità di raccolta, condivisione ed elaborazione dei dati.
1. Analisi e monitoraggio delle prestazioni
Gli strumenti di analisi e monitoraggio delle prestazioni aiutano i proprietari dei siti web a capire come i visitatori trovano e utilizzano i loro siti.
Sono comunemente utilizzati per misurare i volumi di traffico, le visualizzazioni delle pagine, i percorsi degli utenti, i tassi di conversione e le prestazioni complessive del sito. Queste informazioni possono influenzare le decisioni relative al design, alla strategia dei contenuti e alle attività di marketing.
I fornitori più comuni includono:
Poiché questi strumenti spesso si basano su cookie o tecnologie di tracciamento simili e possono raccogliere identificatori quali indirizzi IP o dati relativi ai dispositivi, in genere richiedono una chiara informativa e, in alcune regioni, il consenso dell'utente.
A seconda del fornitore e della configurazione, gli strumenti di analisi possono agire come responsabili del trattamento o titolari indipendenti.
Quando i dati vengono trasferiti al di fuori dell'UE, i proprietari dei siti web devono anche valutare i meccanismi di trasferimento internazionale, come le decisioni di adeguatezza emesse dalla Commissione europea o le garanzie appropriate (ad esempio, le clausole contrattuali standard).
2. Reti pubblicitarie e di retargeting
Le reti pubblicitarie e di retargeting consentono alle aziende di promuovere prodotti o servizi, monitorare le prestazioni delle campagne e raggiungere gli utenti su diverse piattaforme.
Questi strumenti vengono utilizzati per mostrare annunci pubblicitari personalizzati in base al comportamento di navigazione o alle interazioni precedenti.
I fornitori più comuni includono:
A causa della loro dipendenza dal tracciamento comportamentale, dalla profilazione e dalla condivisione dei dati tra gli ecosistemi pubblicitari, questi servizi sono spesso soggetti a requisiti di consenso e opt-out più rigorosi.
3. Plugin e incorporamenti dei social media
I plugin dei social media e i contenuti incorporati consentono ai siti web di visualizzare video, post, feed di commenti o pulsanti di condivisione direttamente su una pagina.
Queste funzionalità possono aumentare il coinvolgimento e rendere i contenuti più interattivi per i visitatori.
I fornitori più comuni includono:
Anche quando gli utenti non cliccano o non interagiscono con i contenuti incorporati, questi strumenti possono comunque caricare script di terze parti che raccolgono dati automaticamente, il che può sollevare preoccupazioni in materia di trasparenza o rischi per la privacy perché:
- I dati vengono trasferiti prima di qualsiasi interazione dell'utente; oppure
- Gli utenti potrebbero non essere consapevoli del fatto che i loro dati vengono raccolti o trattati da terzi.
In alcuni casi, i tribunali e le autorità di regolamentazione hanno riscontrato un controllo congiunto tra gli operatori dei siti web e le piattaforme dei social media per la raccolta iniziale dei dati attraverso contenuti incorporati.
4. Assistenza clienti e strumenti di chat
Gli strumenti di assistenza clienti e chat consentono alle aziende di comunicare con i visitatori in tempo reale, rispondere alle domande e fornire assistenza durante tutto il percorso del cliente.
Sono spesso utilizzati nelle pagine di vendita, nelle schermate di checkout e nei portali di assistenza.
I fornitori più comuni includono:
Poiché questi strumenti possono raccogliere dati personali e memorizzare le cronologie delle conversazioni, le aziende dovrebbero spiegare chiaramente come vengono utilizzati, archiviati e condivisi i dati delle chat.
5. Servizi di pagamento e checkout
I servizi di pagamento e checkout supportano le transazioni online elaborando i pagamenti, rilevando le frodi e gestendo i flussi di lavoro di fatturazione.
Questi strumenti sono essenziali per i siti di e-commerce e le attività basate su abbonamenti.
I fornitori più comuni includono:
Poiché questi servizi trattano informazioni finanziarie e identificative sensibili, la trasparenza nella gestione dei dati e nel coinvolgimento di terzi è particolarmente importante.
Strumenti di email marketing e CRM
Gli strumenti di email marketing e Customer Relationship Management (CRM) aiutano le aziende a gestire gli elenchi di contatti, inviare campagne di marketing, monitorare il coinvolgimento e organizzare le relazioni con i clienti nel tempo.
Queste piattaforme spesso si integrano con siti web, strumenti di e-commerce e servizi di analisi.
I fornitori più comuni includono:
Poiché questi strumenti spesso combinano dati provenienti da più fonti, possono comportare rischi per la privacy relativi al consenso, alla profilazione e alla conservazione dei dati a lungo termine, quali:
- Ai sensi GDPR, le comunicazioni di marketing richiedono generalmente il consenso preventivo (opt-in), con eccezioni limitate per i rapporti con i clienti esistenti (soft opt-in);
- Ai sensi della normativa CAN-SPAM (Stati Uniti), le e-mail commerciali devono prevedere meccanismi di opt-out e un'identificazione accurata del mittente.
- La profilazione e la segmentazione possono attivare le protezioni relative al processo decisionale automatizzato di cui all'articolo 22 o i requisiti DPIA;
- Queste piattaforme raccolgono dati da più fonti (moduli web, cronologia degli acquisti, integrazioni di terze parti), richiedendo trasparenza su tutte le fonti di dati.
- I diritti degli interessati (accesso, cancellazione, portabilità, opposizione) devono essere attuati, compresa la possibilità di esportare o cancellare i dati degli abbonati.
7. Fornitori di hosting, CDN e infrastrutture
I fornitori di servizi di hosting, CDN e infrastruttura costituiscono la spina dorsale tecnica di un sito web. Garantiscono la disponibilità, le prestazioni, la sicurezza e la distribuzione dei contenuti del sito in diverse regioni.
I fornitori più comuni includono:
Sebbene questi servizi operino principalmente a livello infrastrutturale, possono trattare regolarmente dati personali quali indirizzi IP o registri di server, il che può comportare considerazioni relative alla divulgazione e al trasferimento dei dati.
8. Strumenti di personalizzazione, test A/B e UX
Gli strumenti di test UX e personalizzazione aiutano i siti web a sperimentare layout, contenuti e funzionalità per migliorare l'esperienza utente e i tassi di conversione.
Sono spesso utilizzati per confrontare diverse versioni di una pagina o per adattare i contenuti a un pubblico specifico.
I fornitori più comuni includono:
Poiché questi strumenti possono tracciare le interazioni dettagliate degli utenti, come clic, scorrimento o attività della sessione, spesso richiedono un'attenta valutazione in merito al consenso e alla divulgazione.
Come gestire i rischi relativi alla privacy di terze parti sul tuo sito web
L'utilizzo di servizi di terze parti è spesso inevitabile, ma gli strumenti non gestiti possono aumentare rapidamente il rischio per la privacy.
La chiave è capire cosa funziona sul tuo sito, quali dati raccolgono questi servizi e come tali dati vengono divulgati e controllati.
Di seguito sono riportati alcuni passaggi che i proprietari di siti web possono seguire per gestire meglio i rischi relativi alla privacy di terze parti.
Verifica i servizi di terze parti sul tuo sito
Inizia identificando tutti i servizi di terze parti attivi sul tuo sito web, inclusi strumenti di analisi, reti pubblicitarie, media incorporati, widget di chat e processori di pagamento.
Alcuni servizi sono facili da individuare, mentre altri funzionano in background tramite script o plugin aggiunti nel corso del tempo.
Strumenti come Cookie Scanner Termly Cookie Scanner aiutarti a identificare i cookie e le tecnologie di tracciamento impostati sul tuo sito.
Ciò può essere particolarmente utile per individuare i cookie di cui potresti non essere a conoscenza, richiedendo una revisione più approfondita degli strumenti o delle integrazioni di terze parti responsabili della loro esecuzione.
Comprendere quali dati raccoglie ciascun servizio
Non tutti gli strumenti di terze parti raccolgono gli stessi tipi di dati.
Alcuni possono elaborare solo informazioni tecniche, come gli indirizzi IP, mentre altri raccolgono dati comportamentali, preferenze o dettagli sulle interazioni.
Esaminare la documentazione di ciascun fornitore può aiutare a chiarire quali dati personali vengono raccolti, come vengono utilizzati e se vengono ulteriormente condivisi.
Indicare chiaramente i servizi di terze parti nelle vostre politiche
Le leggi sulla privacy richiedono comunemente alle aziende di spiegare come raccolgono e condividono i dati personali.
La tua politica sulla privacy dovrebbe indicare chiaramente le categorie di fornitori di servizi terzi utilizzati sul tuo sito web e descriverne le finalità.
L'utilizzo di uno strumento come generatore di informativa sulla privacy Termly generatore di informativa sulla privacy aiutare a garantire che tali informative siano chiaramente documentate e più facili da aggiornare man mano che i servizi di terze parti cambiano nel tempo.
Raccogliere e rispettare il consenso dell'utente ove richiesto
Alcuni servizi di terze parti, in particolare quelli utilizzati per analisi, pubblicità e personalizzazione, potrebbero richiedere il consenso dell'utente prima di essere attivati.
Gestire il caricamento di questi strumenti in base alle scelte degli utenti aiuta ad allineare la raccolta dei dati alle leggi sulla privacy applicabili e alle aspettative degli utenti.
Rivedere gli accordi con i fornitori e le pratiche relative ai dati
I fornitori terzi hanno spesso termini di trattamento dei dati, periodi di conservazione e pratiche di sicurezza propri e specifici.
La revisione dei contratti con i fornitori può aiutare a chiarire le responsabilità, soprattutto quando i servizi trattano dati personali per conto dell'azienda o operano in più giurisdizioni.
Scritto da Hanna De La Garza
Hanna De La Garza è una scrittrice specializzata in privacy presso Termly una laurea in giornalismo presso l'Università della Florida. Crea risorse interessanti su privacy dei dati, gestione del consenso, aggiornamenti normativi e altro ancora.
Leggi tutti i post di Hanna De La Garza
Revisionato da Teodor Stanciu, CIPP/E, CIPM
Teodor Stanciu è coordinatore legale e responsabile della protezione dei dati (DPO) con una laurea in giurisprudenza conseguita presso l'Università di Bucarest e un master in diritto dell'Unione Europea e diritto commerciale internazionale conseguito presso l'Università Radboud.
Leggi tutti i post recensiti da Teodor Stanciu, CIPP/E, CIPM
