Le leggi sulla privacy definiscono i requisiti che i siti web devono rispettare se soddisfano determinate soglie.
In questo articolo spiego come le leggi sulla privacy hanno un impatto sui siti web, quali sono gli altri requisiti legali per i siti web e i suggerimenti per aiutarli a soddisfarli.
Leggi sul sito web che possono avere un impatto su di voi
Il seguente elenco di norme e regolamenti offre una breve spiegazione dei requisiti legali e delle leggi sul sito web che possono avere un impatto sulla vostra attività.
| Legislazione | Descrizione |
GDPR |
Se il vostro sito web offre beni o servizi a persone che si trovano nell'Unione Europea, in Islanda, Norvegia, Lichtenstein, Svizzera o Regno Unito, dovete rispettare le leggi sulla privacy generate dal Regolamento generale sulla protezione dei dati. La conformità al GDPR inizia con un'informativa sulla privacy completa che illustra cosa, come, quando e dove vengono raccolti i dati. |
CCPA |
Il California Consumer Privacy Act è una legge sulla privacy dei dati che regolamenta il modo in cui le aziende di tutto il mondo sono autorizzate a gestire le informazioni di identificazione personale dei residenti in California. Il CCPA si concentra principalmente sulle leggi sulla privacy che richiedono la presentazione di una politica sui cookie che illustri i cookie raccolti e memorizzati e le modalità di utilizzo da parte vostra o di terzi. Maggiori informazioni sulle soluzioni per consenso ai cookie di consenso ai cookie sono riportate di seguito. Il CCPA è noto anche per la definizione unica del termine "vendita" e, se il vostro sito web vende informazioni personali, questa è la legge da studiare attentamente. |
CPRA |
Nel novembre 2020 è stato introdotto un addendum al CCPA che ha rafforzato la profondità e l'ampiezza dei requisiti della California in materia di privacy dei dati. Il California Privacy Rights Act è una potente legge sulla privacy dei dati che influisce sui requisiti di privacy e di notifica per i siti web che possono essere accessibili ai consumatori in California. Il CPRA amplia il CCPA richiedendo che i siti web che condividono dati personali siano pienamente conformi a tutte le leggi sulla privacy. In precedenza, solo i siti web che vendevano dati dovevano essere conformi. Il CPRA è entrato in vigore il 1° gennaio 2023. |
COPPA |
La FTC applica la legge sulla protezione della privacy online dei bambini (Children›s Online Privacy Protection Act) per aiutare a proteggere la privacy dei bambini e tenerli al sicuro online. Le norme COPPA sui siti web richiedono che i siti web ottengano il consenso dei genitori prima di raccogliere informazioni personali da bambini di età inferiore ai 13 anni. |
CalOPPA |
Oltre alle regole di base GDPR , altri requisiti legali per i siti web includono il rispetto delle disposizioni del California›s Online Privacy Protection Act. La vostra politica sulla privacy deve utilizzare la parola "privacy" in un link diretto dalla homepage del sito web e rivelare informazioni di terze parti su chi raccoglie esattamente i dati. |
Legge UE sui cookie |
La Direttiva UE sui cookie (altrimenti nota come Legge UE sui cookie o Direttiva ePrivacy) richiede che i siti web abbiano una politica sui cookie dedicata e che ottengano il consenso degli utenti prima di poter memorizzare o recuperare informazioni personali su computer, smartphone o tablet. Progettata per proteggere la privacy dei dati, mira a rendere i clienti consapevoli di quante informazioni su di loro vengono raccolte dai siti web. Ciò consente di scegliere con cognizione di causa se continuare o meno a fornire le informazioni. |
Legge sul pulsante di cancellazione |
La legge sui diritti alla privacy dei minori della California nel mondo digitale (detta anche legge sul pulsante di cancellazione) si applica ai siti web che consentono agli utenti di età inferiore ai 18 anni di registrarsi e pubblicare contenuti. La legge sul pulsante di cancellazione stabilisce che questi siti web devono informare gli utenti di età inferiore ai 18 anni che hanno il diritto e la possibilità legale di rimuovere i contenuti o le informazioni che hanno contribuito in qualsiasi momento. |
ADA |
L'Americans With Disabilities Act richiede determinati standard di accessibilità dei siti web per gli utenti disabili. Ciò significa che tutte le informazioni e le tecnologie elettroniche, compreso il vostro sito web, devono essere accessibili ai disabili. |
È inoltre necessario tenere conto di diverse leggi sulla privacy a livello statale, che possono essere applicate direttamente ai siti web.
Inoltre, la Federal Trade Commission (FTC) degli Stati Uniti è incaricata di applicare i requisiti legali per i siti web attualmente o potenzialmente utilizzati dai consumatori negli Stati Uniti.
Elenco dei requisiti legali del sito web
Oltre alle politiche sulla privacy dei dati, il vostro sito web potrebbe dover soddisfare i requisiti di accessibilità dell'ADA, nonché i requisiti relativi all' e-commerce, al copyright, al plagio e alle leggi anti-spam.
Anche i settori specifici hanno dei requisiti per i siti web se riguardano questioni sanitarie, legali e finanziarie.
Anche se non è obbligatorio per legge, è utile presentare alcune informazioni come i termini di utilizzo, le politiche di spedizione e le politiche di restituzione. Anche le informazioni di contatto e le pagine informative sull'azienda stessa stanno diventando sempre più comuni e sono attese dai consumatori.
Vediamo ora quali sono i requisiti legali che il vostro sito web deve soddisfare.
Requisiti di raccolta e privacy dei dati
Le leggi sulla privacy sono alla base dei requisiti generali di conformità legale.
Le politiche iniziano quasi sempre con il fatto che i dati vengono raccolti, seguito da una spiegazione dettagliata dei tipi di dati che un sito web può raccogliere e del diritto dell'utente di accedere e controllare tali dati.
I seguenti requisiti riguardano tutti i siti web:
- Spiegare il tipo di informazioni personali raccolte.
- Definire le modalità di utilizzo e condivisione dei dati.
- Divulgarel'uso di servizi di terzi.
- Descrivere come gli utenti possono controllare i propri dati.
- Informare gli utenti del sito web se e come vengono tracciati.
Informativa sulla privacy
Dal 2018, il GDPR impone alle aziende che trattano i dati personali dei residenti nell'UE di farlo con misure rigorose ed esplicite in materia di privacy.
L'informativa sulla privacy deve specificare cosa, come, quando e dove vengono raccolti i dati personali. Essa prevede inoltre la divulgazione della raccolta da parte di terzi, i diritti degli interessati e l'utilizzo, la sicurezza dei dati e l'accesso dei consumatori.
Ai sensi del CPRA, dovete fornire ai consumatori la possibilità di "rinunciare" alla vendita delle loro informazioni private.
Una volta presentata la richiesta, è necessario attendere almeno 12 mesi prima di chiedere ai consumatori di acconsentire nuovamente alla vendita dei loro dati personali.
Creare un'informativa sulla privacy con Termly
Eccocome utilizzare il generatore di Termlyper creare un'informativa sulla privacy completa e conforme.
Passo 1: accedere al generatore di informativa sulla privacy di Termly .
Passo 2: Rispondi ad alcune semplici domande e segui tutti i passaggi fino a raggiungere "Dettagli finali".
Fase 3: una volta compilato tutto e soddisfatti dell'anteprima, fare clic su "Pubblica". Verrà quindi richiesto di creare un account su Termly per poter salvare e modificare ulteriormente l'informativa sulla privacy.
"Link "Non vendere i miei dati personali
Un sito web non può vendere informazioni personali se non ha un link chiaro e visibile "Non vendere le mie informazioni personali" sulla sua homepage, insieme a informazioni nella sua politica sulla privacy su quali informazioni personali vengono effettivamente vendute.
"Link "Non condividere le mie informazioni personali
Se la vostra azienda condivide o divulga informazioni personali a terzi per la pubblicità comportamentale cross-context, il CPRA richiede che informiate i vostri utenti pubblicando un link "Non condividere le mie informazioni personali" e fornendo ai consumatori la possibilità di rinunciare.
Questa regola si applica ai siti web che hanno a che fare con i residenti in California e che soddisfano almeno una delle seguenti soglie:
- Hanno un fatturato lordo annuale di almeno 25 milioni di dollari.
- Ricavano il 50% o più dei loro ricavi annuali dalla vendita di informazioni personali dei consumatori californiani.
- Ogni anno acquistano, ricevono a fini commerciali, vendono o condividono a fini commerciali le informazioni personali di oltre 50.000 consumatori, famiglie o dispositivi in California.
In base al CPRA, è stata creata una nuova categoria di informazioni personali protette in cui i consumatori hanno il diritto di limitare l'uso e la divulgazione delle loro informazioni personali sensibili, ad esempio la razza o l'orientamento sessuale.
Se le aziende vogliono che i loro siti web siano legalmente validi, devono fornire un link esplicito e ben visibile sulla homepage del sito, intitolato "Non condividere i miei dati personali".
Requisiti per il consenso
Sebbene il GDPR e la legge europea sui cookie abbiano sede nell'UE, si applicano a tutte le aziende che attualmente o potenzialmente commercializzano con i consumatori dell'UE.
Ciò significa che le aziende statunitensi con clienti dell'Unione Europea hanno bisogno di una politica sui cookie che soddisfi i requisiti di trasparenza e consenso previsti dal GDPR e dalla legge europea sui cookie.
Queste regole richiedono che gli utenti diano un consenso esplicito e informato prima che un sito web possa trattare le loro informazioni.
Per quanto riguarda il consenso ai sensi del CCPA, non è necessario il consenso proattivo dell'utente prima della raccolta dei dati.
Potete raccogliere, utilizzare e memorizzare i dati dei cookie senza alcuna conferma da parte dell'utente, a condizione che la vostra politica sui cookie sia ben visibile e che gli utenti possano scegliere le loro preferenze in materia.
I requisiti di consenso previsti dal nuovo CPRA vanno oltre in termini di salvaguardia dei dati dei consumatori di età inferiore ai 16 anni.
Per vendere o condividere le informazioni personali di un minore è necessario un consenso attivo. Lo stesso consenso attivo è richiesto dal COPPA per qualsiasi utente di età inferiore ai 13 anni.
Requisiti di sicurezza dei dati
Come parte dei Fair Information Practice Principles della FTC, le misure di sicurezza di un sito web per la protezione dei dati degli utenti e la cancellazione dei vecchi dati devono essere definite in una sezione apposita.
Le misure di sicurezza necessarie dipendono dalla quantità di dati raccolti e dalla loro sensibilità. Queste misure devono essere adottate per ridurre il rischio di violazioni della sicurezza informatica.
Requisiti dei cookie
Ai sensi del GDPR, della legge europea sui cookie, del CCPA e del CPRA, siete tenuti per legge a informare gli utenti su come utilizzate i cookie che raccogliete. Potete inserire tali informazioni nella vostra informativa sulla privacy o spiegarle in un'informativa sui cookie separata.
Siete tenuti per legge a inserire quanto segue nella vostra politica sui cookie:
- Divulgare che il vostro sito raccoglie e memorizza i cookie.
- Spiegate cosa sono i cookie e perché il vostro sito li utilizza.
- Divulgare i tipi di cookie utilizzati da voi o da terzi.
- Spiegate come raccogliete le informazioni (ad esempio, moduli, iscrizioni, sottoscrizioni).
- Indicare il motivo per cui voi o una terza parte sta raccogliendo le informazioni.
- Informare gli utenti su come possono scegliere di partecipare, rinunciare o personalizzare la loro esperienza con i cookie.
- Utilizzare un linguaggio accessibile e di facile comprensione.
I requisiti per i cookie previsti dalle attuali leggi sulla privacy si sforzano di dare agli utenti il maggior controllo possibile sui loro dati e sul modo in cui vengono utilizzati.
Ad esempio, il CCPA consente ai consumatori californiani di rinunciare specificamente sia alla vendita che alla condivisione dei loro dati.
I siti web devono fornire i mezzi per farlo, altrimenti non sono conformi ai requisiti dei cookie.
l'inclusione del termine "condivisione", in relazione alle informazioni personali di un utente, aumenterà senza dubbio il numero di aziende che dovranno conformarsi al CPRA.
consenso ai cookie Solution
In conformità alla legge sui cookie dell'UE e al GDPR, dovete chiedere agli utenti di acconsentire alla politica sui cookie del vostro sito - in genere utilizzando un cookie banner - e fornire agli utenti l'opportunità di impostare le loro preferenze sui cookie.
Negli Stati Uniti ci sono regole più severe per i bambini.
Ad esempio, il COPPA richiede il consenso attivo dei genitori per i bambini di età inferiore ai 13 anni, mentre il CPRA ampliato richiede il consenso per i bambini di età inferiore ai 16 anni. Sarebbe meglio utilizzare un gestore diconsenso ai cookie per garantire che il vostro sito web sia conforme a tutte le norme sul consenso.
Utilizzate il nostro scanner per siti web per conformarvi ai requisiti sui cookie
Scoprite quali cookie sono presenti sul vostro sito web utilizzando il nostro cookie scanner online:
Requisiti di accessibilità
L'ADA vieta la discriminazione basata sulla disabilità. Richiede che i siti web siano accessibili a tutti, anche a chi ha problemi di udito o di vista.
Accessibilità può significare rendere il vostro sito web compatibile con:
- Caratteri più grandi
- Strumenti di lettura del web
- Trascrizioni per i video
- Descrizioni scritte delle immagini
- Contrasto netto tra caratteri e sfondi
Queste sistemazioni possono essere utili a tutti e garantire che nessun individuo venga discriminato a causa di una disabilità.
Qualsiasi sito web di un'azienda con almeno 15 dipendenti e aperta per più di 20 settimane all'anno deve essere conforme all'ADA.
Tecnicamente, l'ADA non si occupa esplicitamente dei siti web e i tribunali non hanno sempre sostenuto che i siti web debbano essere conformi.
Si noti, tuttavia, che in base al Titolo II dell'ADA, i siti web delle amministrazioni locali e statali devono essere accessibili alle persone con disabilità.
Considerazioni sul commercio elettronico
In un sito di commercio elettronico, è necessario adottare misure di sicurezza per proteggere le informazioni private dei clienti.
Pertanto, il protocollo HTTPS, o hypertext transfer protocol secure, dovrebbe essere automaticamente attivato. L'HTTP è il sistema utilizzato per inviare informazioni tra un sito web e il browser dell'utente; l'HTTPS è la versione sicura di tale sistema.
Questa protezione è fondamentale per tutti i siti di commercio elettronico. Se scegliete di non utilizzare l'HTTPS, potreste esporre le informazioni finanziarie dei clienti che tentano di effettuare un acquisto sul vostro sito.
Requisiti di copyright e plagio
I contenuti originali sono intrinsecamente protetti da copyright, indipendentemente dal fatto che il proprietario, lo sviluppatore o il creatore del sito web lo registri ufficialmente online presso l'Ufficio del copyright. Qualsiasi utilizzo non attribuito o non autorizzato di contenuti originali di un altro sito web verrà segnalato come plagio o violazione del copyright.
Questo vale anche per i testi web che possono essere stati presi in prestito da un altro sito. Ciò riguarda anche le immagini che possono essere state scaricate da luoghi come Google Images.
Licenze e attribuzione dei contenuti
I contenuti prodotti professionalmente possono essere legalmente concessi in licenza per l'uso sul proprio sito web.
I contenuti possono includere vari media come foto, video, contenuti audio, grafici, infografiche, contenuti mixed media, musica, contenuti digitali dei social media, loghi, disegni, tabelle, simboli e altro ancora.
Le licenze possono essere acquisite direttamente attraverso un accordo con un editore o da una libreria di contenuti che ha già concesso in licenza il materiale da utilizzare.
In particolare per le immagini, è necessario concedere una licenza sui contenuti e, come minimo, fornire l'attribuzione al legittimo proprietario.
Leggi antispam
Lo spam comprende tutte le e-mail non richieste o non pertinenti inviate in massa a un elenco di persone. Può trattarsi di e-mail commerciali non richieste che cercano di convincere i clienti ad acquistare qualcosa.
Sono compresi anche i messaggi fraudolenti, come quelli che proliferano nelle truffe di phishing, nelle lotterie o nei virus informatici.
Negli Stati Uniti, una legge chiamata Controlling the Assault of Non-Solicited Pornography and Marketing Act, o legge CAN-SPAM, riguarda le e-mail di marketing e consente ai destinatari di rinunciare ai messaggi che non desiderano.
Sfortunatamente, il processo di disiscrizione può essere piuttosto contorto.
La legge canadese contro lo spam prevede un sistema di opt-in più rigoroso, in base al quale i clienti devono iscriversi per ricevere e-mail di marketing. A differenza degli Stati Uniti, l'annullamento dell'iscrizione deve essere facile e veloce.
Il GDPR riguarda anche lo spam e le sue disposizioni sono le più severe. Ad esempio, il GDPR richiede sempre che i destinatari optino per i messaggi di marketing, e non c'è alcun consenso implicito da parte di persone che sono già vostri clienti.
Considerare le clausole di esclusione della responsabilità
Una delle clausole di esclusione di responsabilità più comuni sui siti web esclude espressamente qualsiasi responsabilità per le azioni che gli utenti compiono sulla base dei contenuti del sito. Le clausole di esclusione di responsabilità possono essere separate in una sezione a sé stante, oppure possono essere parte integrante dei termini e delle condizioni del sito.
Ulteriori clausole di esclusione della responsabilità dipenderanno dalla natura unica del vostro sito web. Ad esempio, è possibile:
- Declinare la responsabilità per i contenuti di terzi o di inserzionisti presenti sul proprio sito, compresi i link di affiliazione.
- Dichiarare che il contenuto del sito è solo a scopo informativo e non è una consulenza professionale.
- Dichiarate che gli utenti non possono utilizzare i vostri contenuti originali senza autorizzazione.
- Se si tratta di un sito web legale, è necessario indicare che il sito non instaura un rapporto avvocato-cliente e che i post del blog non costituiscono una consulenza legale.
Elenco dei requisiti legali per i siti web in settori specifici
Oltre ai requisiti legali di un sito web, di cui abbiamo parlato sopra, diversi settori devono seguire requisiti specifici.
Requisiti HIPAA per i siti web sanitari
L'Health Insurance Portability and Accountability Act del 1996 regola la raccolta e la condivisione delle informazioni sanitarie personali dei pazienti. Pertanto, se il vostro sito web tratta informazioni sanitarie, dovete prestare particolare attenzione a come le raccogliete.
Le norme e i regolamenti HIPAA sono costituiti da tre componenti principali:
- Le norme sulla privacy HIPAA
- Le norme sulla sicurezza dei dati sanitari
- Norme relative alle notifiche per le violazioni dei dati sanitari
I pazienti devono anche essere informati dei loro diritti sui dati sanitari.
Alcune delle più comuni violazioni dell'HIPAA includono la conservazione di documenti non protetti, la mancata crittografia dei dati e lo smaltimento improprio delle cartelle cliniche. Inoltre, se il vostro sito web contiene moduli di contatto o utilizza un sistema di prenotazione, assicuratevi che siano conformi all'HIPAA.
Requisiti ABA per i siti web legali
l'american Bar Association richiede il rispetto delle sue ABA Rules of Professional Conduct, che regolano ciò che gli avvocati possono o non possono esprimere sui loro siti web.
Ad esempio, i requisiti legali per un sito web creato da un avvocato includono:
- Gli avvocati non possono dire di essere specializzati o esperti in una particolare area del diritto a meno che non siano in possesso di un accreditamento speciale da parte di un organismo regolamentato dallo Stato.
- Gli avvocati non possono fare dichiarazioni errate o affermazioni non comprovate, come ad esempio che sono i migliori dell'intera città, stato o regione.
- Gli avvocati non possono fare promesse sui risultati legali, comprese le allusioni a transazioni passate che implicano che quelle future saranno simili.
Requisiti del sito web finanziario
Le istituzioni finanziarie devono soddisfare requisiti specifici per i loro siti web, perché sono soggetti a hacking e virus progettati per recuperare le informazioni finanziarie dei clienti.
I siti web di e-banking espongono in genere le istituzioni finanziarie al rischio più elevato per ogni transazione, in particolare per le transazioni commerciali, che di solito comportano importi in dollari più elevati.
Oltre ai controlli sulla sicurezza dei dati, come la crittografia, i siti web finanziari dovrebbero disporre di processi di autenticazione per i clienti nuovi ed esistenti ed evitare possibili violazioni delle leggi relative alle informazioni sulla privacy dei consumatori richieste per la raccolta e l'archiviazione dei dati finanziari.
Inoltre, le società pubbliche sono soggette a specifiche norme della Securities and Exchange Commission che regolano quando, cosa e come i contenuti devono essere pubblicati pubblicamente sui loro siti web.
Requisiti del sito web del contraente
Se siete un appaltatore generale o un subappaltatore, vi conviene avere le vostre credenziali di autorizzazione in bella mostra sul vostro sito web.
Anche se non sembrano esserci regolamenti federali per i siti web degli appaltatori, verificate con il vostro consiglio statale per le licenze se siete tenuti a mostrare il vostro ID di licenza di appaltatore quando fate pubblicità ai clienti online.
Non richiesto dalla legge, ma consigliato
Alcune sezioni non sono obbligatorie per legge, ma è una buona idea averle sul proprio sito web perché sono generalmente considerate componenti essenziali di un sito web.
"Pagina "Chi siamo
Una pagina "Chi siamo" offre agli utenti una panoramica su come è nata l'azienda e su quali sono gli ideali più importanti per il titolare. Può creare un legame indispensabile tra i clienti e il titolare dell'azienda.
Informazioni di contatto
Le informazioni di contatto sono un elemento indispensabile di un sito web. Anche le informazioni di contatto sui social media sono diventate una componente attesa dei siti web. Creano un'altra via di contatto per i clienti e possono portare a un aumento delle vendite.
Termini e condizioni
I termini e le condizioni stabiliscono generalmente le regole per il vostro sito web.
Ad esempio, quando si vendono prodotti direttamente dal proprio sito, è necessario esporre i termini e le condizioni relativi a fatturazione, prezzi, spedizione e resi, in modo che i clienti sappiano cosa aspettarsi.
In particolare, se il vostro sito web utilizza informazioni di terzi, i termini e le condizioni devono indicare chiaramente che non siete responsabili dell'accuratezza delle dichiarazioni di terzi, né appoggiate dichiarazioni o azioni di terzi.
Termini di utilizzo
Anche se non è richiesta dalla legge, una pagina "termini di utilizzo" è utile per definire le regole di utilizzo del vostro sito web.
Naturalmente, le regole variano a seconda del tipo di sito che si sta creando, ma possono includere clausole di esclusione della responsabilità o stabilire dove e come devono essere risolte le controversie.
Politiche di spedizione, restituzione e rimborso per i siti di e-commerce
Lo scopo delle politiche di spedizione, restituzione e rimborso è quello di delineare i requisiti specifici su come, quando e in quali circostanze gli acquirenti possono spedire o restituire gli articoli acquistati.
I rimborsi non sono automaticamente richiesti per i siti di e-commerce, il che rende ancora più importante l'inclusione di regole chiare e dirette.
Politiche ben scritte dimostrano che avete a cuore i vostri clienti e la loro soddisfazione per i vostri prodotti e servizi.
Come può aiutare Termly
Il modo migliore per evitare problemi legali e rimanere conformi alle leggi statali, federali e internazionali è essere trasparenti con i propri utenti.
Rendete chiare e ben visibili le vostre politiche sulla privacy e sui cookie e gli utenti apprezzeranno la vostra gestione diretta dei loro dati più privati e personali. Inoltre, assicuratevi di rispettare gli standard del settore e le leggi internazionali sui siti web.
La creazione di un sito web conforme alla legge porterà a un modello aziendale più sicuro, a una maggiore fiducia e fedeltà dei clienti e a un minor rischio di violazioni della privacy e della sicurezza.
È possibile utilizzare Termlygeneratore di informativa sulla privacy e di consenso per semplificare il rispetto dei requisiti che il vostro sito web deve rispettare.
Per saperne di più su chi scrive
Scritto da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha è una specialista in sicurezza delle informazioni e trattamento dei dati nonché Certified Data Protection Officer. Negli ultimi sei anni ha lavorato come Data Protection Officer, aiutando piccole e medie imprese a raggiungere la conformità legale. È stata anche mentore della conformità alla privacy per molti acceleratori d'impresa internazionali. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD). Ha studiato Legge all'Università di Belgrado e superato l'esame di abilitazione alla professione forense nel 2016. Per saperne di più su chi scrive
