Articolo GDPR per i siti Web statunitensi: tutto ciò che devi sapere

Pubblicato: 2022-08-12

La maggior parte di noi può ricordare la grande frenesia del GDPR del 2018. Ci sono buone probabilità che tu sia stato sopraffatto dalle informazioni sull'Unione Europea (UE) e sul suo nuovo Regolamento generale sulla protezione dei dati (GDPR). Questo ampio regolamento è entrato in vigore il 25 maggio 2018.

Quando ho iniziato a fare ricerche per questo articolo, sono rimasto sorpreso dal numero di fonti "esperte" disponibili. Molti dei link che appaiono nella parte superiore delle pagine dei risultati dei motori di ricerca di Google sembrano essere siti "ufficiali".

Sono semplicemente micrositi di marketing per consulenze per guadagnare soldi. Sebbene questo sia vero per gli annunci, tiene ugualmente conto dei risultati organici. Alcune delle informazioni su questi siti sono piuttosto buone, ma in quasi tutti i casi sono incomplete e le motivazioni degli autori non sono chiare.

Per evitare tutta quella confusione e sviamento, ho deciso di rivolgermi a un'unica fonte autorevole: il sito web della Commissione europea. I miei fatti e le mie raccomandazioni si basano direttamente sul testo del Regolamento 2016/679 (GDPR) e lo cito liberamente in tutto questo articolo.

Oltre al testo del regolamento, ho ricercato le dichiarazioni di fornitori di servizi di terze parti come Google e Pardot nella sezione "Complicazioni di terze parti" di seguito, ma solo per quanto riguarda i servizi di tali società utilizzati da molti dei nostri clienti.

Il mio pubblico di destinazione comprende rappresentanti di aziende (pubbliche e private) con sede negli Stati Uniti che svolgono attività commerciali nell'UE in qualche modo. Il mio obiettivo è aiutarli a capire cosa devono fare sui loro siti web aziendali per conformarsi al nuovo regolamento.

Se la tua azienda ha sede al di fuori degli Stati Uniti, la tua azienda si occupa di dati sensibili (ad es. cartelle cliniche), raccoglie dati sui bambini, è un'agenzia governativa o un fornitore di servizi per agenzie governative, allora smetti di leggere ora... Questo non fa per te.

Per essere chiari, non sono un avvocato e niente qui dovrebbe essere interpretato come una consulenza legale.

Cos'è il GDPR?

Il diritto alla privacy nei paesi membri dell'UE è tenuto a uno standard molto elevato e l'onere gravante su coloro che raccolgono dati è maggiore di quanto non lo sia qui negli Stati Uniti. Questa non è una situazione nuova. Prima del GDPR, l'UE aveva la Direttiva sulla protezione dei dati (DPD) che è stata istituita nel 1995 e proponeva molti degli stessi principi che troviamo nel GDPR. Sia DPD che GDPR si basano sulla Carta dei diritti fondamentali dell'Unione Europea, che afferma semplicemente:

Ogni individuo ha diritto alla protezione dei dati personali che lo riguardano – Carta dei diritti fondamentali dell'Unione europea, articolo 8(1)

Lo spirito fondamentale del GDPR è che tutte le "persone fisiche" (più avanti su questo termine) hanno il diritto di sapere quando i loro dati vengono raccolti e il diritto di rifiutare tale raccolta. Se acconsentono collezione , hanno il diritto di gestire il modo in cui tali dati vengono utilizzati, revocare il proprio consenso e anche scegliere in un secondo momento la cancellazione di tutti i propri dati attuali e storici.

Ci sono anche alcune aspettative sui "titolari" e sui "responsabili del trattamento" dei dati (più su questi termini anche più avanti) in merito alla governance e ai processi volti a proteggere i dati degli utenti. E infine, ci sono cose che un titolare del trattamento deve fare in caso di violazione dei dati.

Una delle migliori risorse per comprendere lo spirito del GDPR è il suo preambolo. È scritto in un linguaggio semplice e diretto che lo rende più digeribile della maggior parte dei documenti legali. Tuttavia, questo linguaggio semplice non esprime pienamente la lettera assoluta della legge e non sostituisce la normativa vera e propria.

A differenza del DPD, le regole del GDPR si applicano a tutti gli Stati membri. Non vi è alcun obbligo per gli Stati membri di attuare il regolamento prima che sia considerato in vigore. Ma il GDPR non esclude leggi aggiuntive degli Stati membri che potrebbero andare ancora oltre nella protezione di alcuni tipi di dati personali sensibili come le cartelle cliniche.

Il GDPR si applica a tutte le aziende che operano nell'UE, indipendentemente dalla loro ubicazione. Avere un utente che accede al tuo sito web dall'UE non stabilisce la tua intenzione di fare affari nell'UE. Se corteggia attivamente affari nell'UE, tuttavia, devi seguire il GDPR.

Un'altra nota: il GDPR non sostituisce né sostituisce la Cookie Law dell'UE. Quel pezzo di regolamento è ancora in vigore.

Chi e cosa è protetto?

Le persone fisiche che vivono nell'UE sono protette dal GDPR. Il regolamento entra in vigore prima della Brexit, quindi il GDPR include per ora il Regno Unito. Una Persona Fisica può essere semplicemente pensata come un singolo essere umano. Una persona giuridica, al contrario, potrebbe essere solo una persona giuridica. Le tutele del GDPR non si estendono alle persone al di fuori dell'Unione Europea.

Qualsiasi informazione che può essere associata a un singolo individuo indipendentemente dal fatto che la sua identità sia attualmente nota è considerata "Dato personale".

"dati personali": qualsiasi informazione relativa a una persona fisica identificata o identificabile ("interessato"); una persona fisica identificabile è una persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificatore come un nome, un numero di identificazione, dati relativi all'ubicazione, un identificatore online o a uno o più fattori specifici dell'aspetto fisico, fisiologico, identità genetica, mentale, economica, culturale o sociale di quella persona fisica; – Articolo 4(1) del GDPR

"Identificabile" è un termine che dobbiamo affrontare. Non è necessario che attualmente conosciamo l'identità dell'individuo. Avere i mezzi (un cookie, un indirizzo IP e così via) per associare i dati a un individuo in un secondo momento rende i suoi dati protetti secondo i criteri del GDPR.

Il regolamento evita di affrontare tecniche specifiche di raccolta dei dati (tranne che per l'uso negli esempi), quindi è indipendente dalla tecnologia. Dato il ritmo dell'innovazione nella raccolta dei dati, ciò è necessario affinché il GDPR possa rimanere relativamente a prova di futuro. I cookie, gli indirizzi IP, i profili del browser, le API RESTful con i dati dell'utente nel percorso e qualsiasi altra tecnica intelligente che potrebbe essere evocata in futuro sono coperti dal GDPR.

Chi è responsabile della conformità?

tu . La tua organizzazione è il "controllore" del tuo sito web ed è in ultima analisi responsabile di garantire che i dati personali siano gestiti in modo conforme al GDPR. Quando scegli di utilizzare un servizio di terze parti sul tuo sito Web che non è conforme alla conformità, sei in colpa.

"Titolare" indica la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; – Articolo 4(7) del GDPR

Qualsiasi servizio aggiunto al tuo sito web (es. Google Analytics, Pardot, ecc.) deve essere conforme anche al GDPR. Anche se ritieni che il servizio che stai aggiungendo non raccolga dati personali, devi prestare attenzione.

Molti servizi gratuiti includeranno una qualche forma di acquisizione dei dati che verrà successivamente utilizzata per le reti pubblicitarie. Nel 2011 ho eseguito alcuni test e ho trovato widget di condivisione social "gratuiti" come ShareThis o AddToAny componenti di monitoraggio incorporati per più reti pubblicitarie. In un caso, un singolo widget di condivisione ha consentito il monitoraggio da parte di una mezza dozzina di reti pubblicitarie.

Devi controllare accuratamente ogni applicazione e servizio che includi nel tuo sito web. Se parti del tuo sito Web sono ospitate da terze parti (es. Carriere/Risorse umane o Relazioni con gli investitori), dovresti assicurarti che tali fornitori e le terze parti che utilizzano siano conformi al GDPR.

Devi anche controllare eventuali terze parti che non raccolgono necessariamente dati sul tuo sito web ma sono in qualche modo incaricate dei dati che sono stati raccolti. I consulenti di analisi potrebbero rientrare in questa categoria.

Tutte queste terze parti sono "incaricati del trattamento" dei dati dei tuoi utenti.

"responsabile del trattamento" indica una persona fisica o giuridica, un'autorità pubblica, un'agenzia o altro organismo che tratta dati personali per conto del responsabile del trattamento; – Articolo 4(8) del GDPR

Se la tua azienda impiega meno di 250 persone e non stai raccogliendo dati personali sensibili che potrebbero comportare il rischio dei diritti e delle libertà delle persone, allora c'è una certa clemenza intorno ai record delle attività di trattamento che riducono il tuo onere. Non sei esentato dall'ottemperare al GDPR, ma non sei tenuto agli stessi standard delle organizzazioni più grandi.

Base giuridica per l'elaborazione

Affinché la raccolta di dati personali sia accettabile ai sensi del GDPR, deve soddisfare almeno uno dei sei criteri. Il GDPR afferma all'articolo 6, paragrafo 1:

  1. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:

    (a) l'interessato ha prestato il consenso al trattamento dei propri dati personali per una o più specifiche finalità;

    (b) il trattamento è necessario per l'esecuzione di un contratto a cui si rivolge l'interessato festa o per intervenire su richiesta dell'interessato prima della conclusione di un contratto;

    (c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;

    (d) il trattamento è necessario per tutelare gli interessi vitali dell'interessato o di un'altra persona fisica;

    (e) il trattamento è necessario per l'esecuzione di un compito svolto nel pubblico interesse o nell'esercizio di pubblici poteri di cui è investito il titolare del trattamento;

    (f) il trattamento è necessario ai fini dei legittimi interessi perseguiti dal titolare del trattamento o da terzi, salvo che su tali interessi prevalgano gli interessi o i diritti e le libertà fondamentali dell'interessato che richiedono la protezione dei dati personali, in particolare se l'interessato è un minore.

Di queste sei basi, solo la prima si applicherà alla maggior parte dei siti web dei nostri clienti. Per le carriere e le sezioni e-commerce, o qualsiasi servizio dove è richiesto un login, potrebbe essere applicata anche la base (B).

Identificazione

Questo è un concetto molto importante per determinare quali tipi di raccolta di dati non richiedono una base giuridica ai sensi del GDPR. In un certo senso l'identificazione è facilmente comprensibile... Siamo in grado di associare questi dati a una persona fisica? Se è così, allora chiaramente quell'individuo è protetto dal GDPR.

Cosa succede se stiamo tracciando una persona anonima attraverso l'uso di un cookie o qualche altra tecnologia di tracciamento? Anche se tale persona è anonima, è possibile successivamente identificarla attraverso ulteriori raccolte di dati. Pertanto, quella persona è protetta.

Le persone fisiche possono essere associate a identificatori online forniti dai loro dispositivi, applicazioni, strumenti e protocolli, come indirizzi di protocolli Internet, identificatori di cookie o altri identificatori come tag di identificazione a radiofrequenza. Ciò può lasciare tracce che, in particolare se combinate con identificatori univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle. – Preambolo GDPR(30)

Il motivo è che non dovremmo mai essere in grado di raccogliere dati sui singoli utenti senza aver ricevuto preventivamente il consenso per farlo. Se dovessimo raccogliere dati e poi associarli a una persona fisica in un secondo momento, violeremmo tale principio.

I diritti degli utenti

Il consenso deve essere garantito prima di raccogliere dati personali. E tutti i dati relativi a tale consenso devono essere conservati, anche in particolare quando è stato prestato il consenso e quali forme di trattamento ha accettato l'utente. Al contrario, se un utente revoca il consenso alla raccolta di alcuni o tutti i dati personali, anche tale revoca deve essere registrata.

'consenso' dell'interessato indica qualsiasi indicazione libera, specifica, informata e inequivocabile della volontà dell'interessato con la quale lo stesso, con una dichiarazione o con una chiara azione affermativa, esprime il consenso al trattamento dei dati personali che lo riguardano o lei; – Articolo 4(11) del GDPR

Tieni presente che alcune terze parti potrebbero disporre di un proprio meccanismo per garantire il consenso, ma consentire a tali servizi di inserirsi nelle tue esperienze utente sarà disorientante per le persone. A meno che tu non stia utilizzando un unico fornitore di terze parti per archiviare informazioni sui tuoi utenti, ti suggeriamo di creare il tuo meccanismo di consenso unico e semplice che sia chiaro e conciso. Dovrebbe essere utilizzato per gestire tutti i vari mezzi di raccolta dei dati sul tuo sito Web, comprese le terze parti.

il "consenso" dovrebbe essere espresso mediante un chiaro atto affermativo che stabilisca un'indicazione libera, specifica, informata e inequivocabile del consenso dell'interessato al trattamento dei dati personali che lo riguardano, ad esempio mediante una dichiarazione scritta, anche per via elettronica , o una dichiarazione orale. – Preambolo GDPR(32)

Gli utenti hanno il diritto di accedere ai propri dati, correggere i propri dati e, quando non esiste più una base giuridica per il trattamento dei dati (ad esempio, un utente revoca il consenso o non è più cliente) l'interessato ha il diritto di essere dimenticato. Ciò include i responsabili del trattamento che notificano i responsabili del trattamento che potrebbero anche archiviare i dati degli utenti raccolti.

Inoltre, i dati personali dovrebbero essere dimenticati quando non sono più necessari per la base giuridica su cui sono stati raccolti o per le finalità per le quali è stato prestato il consenso.

Protezione e certificazione dei dati

Il GDPR richiede che i titolari del trattamento (sei tu) e i responsabili del trattamento adottino misure appropriate (sia tecniche che organizzative) per proteggere i dati personali.

Per poter dimostrare la conformità al presente regolamento, il responsabile del trattamento dovrebbe adottare politiche interne e attuare misure che soddisfino in particolare i principi della protezione dei dati fin dalla progettazione e della protezione dei dati per impostazione predefinita. Tali misure potrebbero consistere, tra l'altro, nel ridurre al minimo il trattamento dei dati personali, pseudonimizzare i dati personali il prima possibile, la trasparenza in merito alle funzioni e al trattamento dei dati personali, consentire all'interessato di monitorare il trattamento dei dati, consentendo al titolare del trattamento di creare e migliorare le funzionalità di sicurezza. – Preambolo GDPR(78)

Tali misure dovrebbero includere anche l'accesso limitato, la crittografia e altre migliori pratiche fondamentali per la sicurezza dei dati. Gli autori del GDPR incoraggiano i titolari e i responsabili del trattamento a identificare e rispettare le certificazioni sulla protezione dei dati come ISO/IEC 27018 Codice di condotta per la protezione delle informazioni di identificazione personale.

Al fine di migliorare la trasparenza e il rispetto del presente regolamento, è opportuno incoraggiare l'istituzione di meccanismi di certificazione e di sigilli e marchi di protezione dei dati, che consentano agli interessati di valutare rapidamente il livello di protezione dei dati di prodotti e servizi pertinenti. – Preambolo GDPR(100)

Pseudonimizzazione

Nella mia ricerca, ho scoperto che la pseudonimizzazione era il concetto più frainteso nel GDPR. La pseudonimizzazione non è la stessa cosa dell'anonimizzazione; è semplicemente l'atto di rimuovere le proprietà da un set di dati che rende identificabili i record utente e di archiviare tali proprietà in un'origine dati separata utilizzando una qualche forma di identificatore univoco. I dati pseudonimizzati possono essere riconciliati con quell'origine dati separata per identificare i singoli utenti.

"pseudonimizzazione" significa il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'uso di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile; - Articolo 4(5) del GDPR

La pseudonimizzazione dei dati raccolti non crea una base giuridica per l'elaborazione dei dati degli utenti. Si tratta, tuttavia, di una procedura consigliata per l'archiviazione sicura dei dati dell'utente, soprattutto quando tali dati vengono archiviati presso un responsabile del trattamento o un'altra terza parte. Ad esempio, è possibile utilizzare un identificatore univoco nel set di dati di un responsabile del trattamento che potrebbe essere combinato con il proprio set di dati per identificare l'utente.

Informativa sulla violazione dei dati

In caso di violazione dei dati personali, i titolari del trattamento sono tenuti a darne comunicazione alla propria autorità di controllo entro 72 ore dal momento in cui ne sono venuti a conoscenza. Poiché fai parte di una società con sede negli Stati Uniti, l'autorità di controllo sarà quella degli Stati membri in cui risiedono gli interessati.

"violazione dei dati personali" indica una violazione della sicurezza che porta alla distruzione, alla perdita, all'alterazione, alla divulgazione non autorizzata o all'accesso accidentale o illegale ai dati personali trasmessi, archiviati o altrimenti elaborati; – Articolo 4(12) del GDPR

I titolari del trattamento sono inoltre tenuti a informare gli interessati in caso di violazione, sebbene la tempistica per tale notifica possa dipendere da misure necessarie per prevenire violazioni di dati persistenti o simili. Le linee guida stabiliscono semplicemente che gli interessati dovrebbero essere contattati senza indebito ritardo.

Sanzioni

Le sanzioni per violazione del GDPR possono essere suddivise in due categorie:

  1. Sanzioni irrogate dalle autorità di vigilanza
  2. Risarcimento per gli interessati i cui diritti sono stati violati

La maggior parte degli articoli che ho letto tendono a concentrarsi sulle sanzioni che possono essere imposte dalle autorità di vigilanza.

Ed è facile capire perché.

Le sanzioni possono arrivare fino a € 20.000.000 o fino al 4% del fatturato annuo totale mondiale dell'anno finanziario precedente. Sono numeri spaventosi.

Ma è importante capire che queste multe sono i limiti massimi, riservati alle situazioni più eclatanti e dannose. Nel determinare l'importo della sanzione vengono presi in considerazione molti fattori.

Nel decidere se irrogare una sanzione amministrativa e decidere l'importo della sanzione amministrativa in ogni singolo caso si tiene debitamente conto di quanto segue:

  1. la natura, la gravità e la durata della violazione, tenendo conto della natura dell'ambito o della finalità del trattamento in questione, nonché del numero di interessati interessati e del livello del danno da essi subito;
  2. il carattere intenzionale o negligente della violazione;
  3. qualsiasi azione intrapresa dal titolare o dal responsabile del trattamento per mitigare il danno subito dagli interessati;
  4. il grado di responsabilità del titolare o del responsabile tenuto conto delle misure tecniche e organizzative da questi poste in essere ai sensi degli articoli 25 e 32;
  5. eventuali precedenti violazioni da parte del titolare del trattamento o del responsabile del trattamento;
  6. il grado di collaborazione con l'autorità di controllo, al fine di porre rimedio alla violazione e mitigare i possibili effetti negativi della violazione;
  7. le categorie di dati personali interessate dalla violazione
  8. il modo in cui la violazione è venuta a conoscenza dell'autorità di controllo, in particolare se, e in caso affermativo, in quale misura, il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
  9. qualora le misure di cui all'articolo 58, paragrafo 2, siano state preventivamente disposte nei confronti del titolare del trattamento o del responsabile del trattamento interessati in relazione allo stesso oggetto, il rispetto di tali misure;
  10. adesione a codici di condotta approvati ai sensi dell'articolo 40 o meccanismi di certificazione approvati ai sensi dell'articolo 42; e
  11. ogni altra aggravante o attenuante applicabile alle circostanze della fattispecie, quali benefici economici acquisiti, o perdite evitate, direttamente o indirettamente, dalla violazione.

– Articolo 83, paragrafo 2 del GDPR

L'incognita maggiore è quale potrebbe essere il risarcimento per gli interessati i cui diritti sono stati violati. È improbabile che qualsiasi violazione del GDPR riguardi un solo individuo, quindi è ragionevole aspettarsi una qualche forma di contenzioso di gruppo.

Le norme nazionali degli Stati membri dell'UE variano ampiamente per quanto riguarda le controversie di gruppo (azione collettiva). Quindi prevedere le conseguenze prima che il regolamento entri in vigore è un esercizio che è meglio lasciare ai professionisti legali. Forse ancora meglio, i chiaroveggenti fissano le sfere di cristallo.

Alcuni scenari comuni

La linea di fondo è che la conformità al GDPR non deve essere così difficile. Sebbene siano necessari alcuni passaggi di base, le linee guida sono chiare e misurabili. Se hai fatto affari nell'UE ma hai ignorato la direttiva sulla protezione dei dati, avrai un po' di tempo da recuperare. Ma lasciatemi sottolineare che non è così male.

Esistono alcuni scenari comuni condivisi in quasi tutte le aziende che BrandExtract offre servizi. In generale, cerchiamo di allontanare i nostri clienti da situazioni che richiedono la raccolta del consenso o la gestione dei dati personali a meno che non sia assolutamente necessario. Ma ci sono situazioni in cui ha senso. Ecco alcune situazioni specifiche con consigli:

statistiche di Google

È posizione di BrandExtract che la raccolta e la memorizzazione dell'indirizzo IP completo di un utente non sia necessaria per eseguire analisi di qualità. E rendere anonimo l'indirizzo IP eliminando l'ultimo ottetto degli indirizzi IPv4 e gli ultimi 80 bit degli indirizzi IPv6 è sufficiente per eliminare la possibilità di identificazione dell'utente da parte di Google.

Questo può essere fatto facilmente in Google Analytics utilizzando la funzione di anonimizzazione dell'indirizzo IP integrata nella libreria javascript di GA. Può essere semplicemente invocato per tutti gli utenti indipendentemente dal fatto che accedano al tuo sito dall'interno dell'UE o meno. Quando si utilizza l'anonimizzazione dell'indirizzo IP, sui server di Google non vengono registrati dati personali identificabili.

Inoltre, è possibile disabilitare l'utilizzo del cookie di Google Analytics sul proprio sito web. Ciò comporterà la perdita di alcuni dati analitici (stiamo testando questo per vedere cosa viene perso). Ma anonimizzando l'indirizzo IP e rimuovendo il cookie non è più necessario raccogliere il consenso per Google Analytics perché l'utente non può più essere identificato.

È ancora possibile utilizzare Google Analytics con i cookie, ma è necessario raccogliere il consenso prima di farlo. Anche si noti che Google ha promesso strumenti per rimuovere i dati dei singoli utenti dalle analisi per garantire la conformità. Questi dovrebbero essere operativi entro il 25 maggio.

File di registro del server Web

Per impostazione predefinita, tutte le richieste al tuo server web vengono registrate nei file di registro. Ogni record include l'indirizzo IP dell'utente, che conta come dati personali perché potrebbe essere utilizzato in seguito per tracciare retroattivamente l'attività di quell'utente se viene successivamente identificato. La registrazione dell'indirizzo IP deve essere disabilitata o l'indirizzo IP deve essere reso anonimo.

Pardo

Come Google, è posizione di Pardot che tu sia il controllore ed è il responsabile del trattamento. L'offerta di servizi di Pardot dipende dalla capacità di identificare l'utente. Quindi se intendi utilizzare i servizi Pardot sul tuo sito web devi disporre di una base giuridica per il trattamento dei dati dell'utente.

Pardot non dispone ancora di strumenti per la raccolta o la rimozione dei dati degli utenti e non prevede di disporre di tali strumenti entro la scadenza. Tutte le richieste di dati e di dimenticanza dovranno essere effettuate tramite il service desk di Pardot.

Punto focale

Parti dell'offerta di servizi di Hubspot includono moduli di assunzione e monitoraggio degli utenti. Se non utilizzi altri fornitori di terze parti per tracciare gli utenti, potresti prendere in considerazione l'utilizzo del meccanismo di raccolta del consenso di Hubspot. Questa nuova funzionalità dovrebbe essere attiva entro il 25 maggio.

Se stai utilizzando altri provider oltre a Hubspot, o stai archiviando i dati degli utenti sui tuoi sistemi, devi creare il tuo meccanismo per raccogliere il consenso per tutti i modi in cui i dati degli utenti vengono archiviati.

Marketing via email

Se stai utilizzando un fornitore di servizi di email marketing o hai un tuo meccanismo per tenere traccia delle risposte e-mail da parte dell'utente, devi disporre del consenso o di una base legale prima di inviare l'e-mail. Per le campagne e-mail, sarà necessario un rapporto consolidato con l'interessato che includa una base giuridica per il trattamento.

Caratteri ospitati e altre risorse

Questo è facile... Se sei preoccupato per il GDPR, non utilizzare terze parti per ospitare i font, le librerie javascript o altre risorse del tuo sito web. Se un particolare font è disponibile solo tramite un host di terze parti, usa semplicemente un font diverso.

Tutti i fornitori avranno i propri termini di servizio e livelli di conformità che richiederanno un monitoraggio costante per assicurarsi che le loro politiche non cambino. Cerca di evitare quella seccatura e rischio.

Servizi di condivisione (ShareThis, AddToAny, ecc.)

Sono terribili, non usarli. Anche prima degli sviluppi del GDPR degni di nota, BrandExtract aveva sempre allontanato i nostri clienti da questi parassiti travestiti da servizi. I tuoi utenti non hanno bisogno della possibilità di condividere la tua pagina web su 47 social network di cui nessuno ha mai sentito parlare. BrandExtract ha un codice personalizzato per la condivisione su tutte le principali piattaforme che contano davvero per la tua attività.

Personalizzazione

Anche questo è facile. Qualsiasi scenario di personalizzazione diverso dalla geolocalizzazione ampia per continente o paese richiede l'identificazione dell'utente e il consenso dell'utente. Semplicemente non c'è modo di aggirarlo.

Risorse

  • Il sito web della Commissione Europea
  • Testo GDPR
  • Anonimizzazione IP in Analytics
  • Disabilitazione dei cookie analitici

Le normative GDPR possono essere schiaccianti. Speriamo di aver contribuito a consolidare tutto ciò che devi sapere. Poiché stai pensando di fare un controllo del tuo sito, siamo felici di chattare. Entriamo ancora più nel dettaglio sul GDPR con il nostro team di esperti nel nostro episodio del podcast GDPR. Per ulteriori informazioni sulle considerazioni web e digitali per il tuo marchio, ecco alcuni suggerimenti e risorse per aiutarti:

  • Scopri cosa serve per rendere accessibile il tuo sito.
  • Scopri le chiavi per la sicurezza del sito web e come proteggere il tuo sito.
  • Dai un'occhiata a come creare un sito web aziendale coinvolgente (e convertente).