iubenda: gestione del dato personale per tutti i siti web

Il 12 marzo 2020 ho avuto il piacere di fare una lunga chiacchierata con Martina Medri, Business Developer di iubenda, il servizio online che supporta aziende, agenzie e freelance nella gestione dei dati personali e dei dati sensibili degli utenti dei siti web e delle procedure relative al GDPR.

Durante quell’intervista Martina ha risposto a 11 domande. 11 dubbi che spesso mi venivano rivolti da clienti che seguo e che volevo risolvere una volta per tutte.

Alcune domande sono nate anche a seguito della ricerca che ho effettuato sui 50 siti più popolari in Italia, per la quale ho analizzato la presenza dei tag su questi siti e le privacy policy e cookie policy delle 25 aziende italiane presenti tra i 50 siti analizzati.

Così ho raccolto quelle domande e quelle risposte, le ho suddivise in 11 video pillole che ho pubblicato sul mio canale Youtube e che trovi anche in questo articolo.

10% di sconto per iubenda

Ti interessa la soluzione iubenda? Premi il pulsante per avere uno sconto del 10% sull’acquisto di generatore di Privacy, generatore di Cookie Policy, Cookie Solution, Internal Privacy Management o Consent Solution.

Ecco le 11 domande, nell’ordine con le quali le ho poste. Ho iniziato con una domanda tanto semplice, quanto fondamentale.

#1 Cos’è un dato personale per il GDPR?

Martina ci aiuta a capire cosa si intende per dato personale nel contesto del GDPR e perchè dobbiamo prestare attenzione a questo concetto per il sito della nostra azienda.

Cosa è quindi un dato personale?

Secondo la definizione data dal GDPR un dato personale è un’informazione riguardante una persona fisica, identificata o identificabile.

Una persona fisica è considerata identificabile quando le informazioni in nostro possesso ne consentono l’identificazione in maniera diretta o indiretta.

Possiamo identificare una persona fisica in maniera diretta quando abbiamo ad esempio il nome e il cognome o un indirizzo email del tipo nome.cognome@azienda.it.
Possiamo altresì identificare una persona fisica in maniera indiretta quando possiamo risalire all’identità della persona incrociando o combinando le informazioni in nostro possesso. Un esempio di identificazione indiretta è dato dalla conoscenza del ruolo della persona e dell’azienda per la quale lavora (spesso sono informazioni sufficienti a identificare la persona, soprattutto per i ruoli apicali). Nel video sono presenti ulteriori approfondimenti.

Cosa devo inserire nella privacy policy relativamente ai dati personali?

Ipotizzando di avere il classico modulo di contatto presente sul sito web, dove ad esempio l’utente deve inserire informazioni quali Nome, Cognome e indirizzo Email, cosa dobbiamo inserire nella privacy policy?

Dobbiamo inserire esattamente tutte le informazioni che raccogliamo dall’utente oppure sono sufficienti delle categorie generali?

Qui sono due gli elementi da prendere in considerazione per rispondere.

Il primo riguarda l’aspetto obbligatorio: il GDPR ci obbliga ad inserire almeno le categorie. Quindi non servirà elencare tutti i campi del modulo (nome, cognome, email), ma potrà essere riportato in privacy policy che verranno raccolte le informazioni anagrafiche e di contatto di base.

Principio di trasparenza

Ad ogni modo, il GDPR fa riferimento anche al principio di trasparenza. Secondo tale principio, la privacy policy deve rispettare il più possibile il trattamento che viene effettuato dal nostro sito o app.

Pertanto, sebbene sia sufficiente riportare le categorie generali dei dati trattati, il principio di trasparenza ci invita ad andare oltre e ad indicare esattamente le singole informazioni raccolte.

In sintesi: quante più informazioni diamo, meglio è.

In questo video, Martina Medri ci aiuta a chiarire un dubbio diffuso: i dati di navigazione degli utenti del nostro sito (indirizzo IP, versione del sistema operativo, cronologia delle pagine visitate, ecc, dati acquisiti automaticamente non non forniti spontaneamente dagli utenti) devono essere considerati dati personali? Quali obblighi abbiamo rispetto al GDPR per questi dati?

Ricollegandoci alla domanda precedente, avendo stabilito che ogni informazione in grado di identificare un individuo sia da considerare un dato personale, ne consegue che i dati di navigazione sono dati personali.

Infatti, incrociando i dati di navigazione con altri dati – avendo una quantità sufficiente di dati – è possibile risalire all’identità di una persona.

Immagina di poter analizzare la cronologia di navigazione di una persona per un mese o più (senza sapere chi sia questa persona). Sapendo magari che quella persona vive in un certo quartiere (lo si può scoprire tramite l’indirizzo IP eventualmente) non è impossibile risalire all’identità.

Magari si scopre che quella persona visita regolarmente una certa pagina per ordinare uno specifico farmaco. Visita pagine politiche che trattano argomenti specifici e potrei continuare con altri argomenti.

Dovrebbe essere chiaro che i dati di navigazione permettono di identificare una persona e sono quindi a tutti gli effetti dati personali. E come tali, vanno trattati nel rispetto del GDPR.

A maggior ragione quindi è importante avere una privacy policy e cookie policy aggiornate. Qui ad esempio trovi una guida su come configurarle con iubenda se il tuo sito è realizzato con WordPress.

#3 Nella privacy policy dobbiamo citare i nomi dei dipendenti che hanno accesso ai dati?

Quando parliamo di dati personali, tra gli aspetti che interessano gli utenti c’è anche il chi avrà accesso ai nostri dati.

I dati personali degli utenti del sito web possono essere visti da diverse tipologie di utenti. Dal titolare del trattamento dei dati in primis (che in realtà operativamente, nelle aziende più grandi, non vedrà quasi mai fisicamente questi dati).
Ma poi in particolare dal personale interno, dal personale delle agenzie web/comunicazione, dal personale dell’azienda di hosting, fino alle persone di tutti i componenti di terze parti (pixel di tracciamento) che sono inseriti all’interno del sito.

In sintesi quindi, si identificano cinque figure principali:

  1. titolare
  2. [se è stato nominato] il DPO (Data Protection Officer)
  3. dipendenti dell’azienda come il personale tecnico o amministrativo
  4. personale esterno che però è stato nominato “responsabile esterno del trattamento” sottoscrivendo il cosiddetto DPA – Data Processing Agreement (in genere per Agenzie e professionisti web) – vedi https://www.iubenda.com/it/help/7720
  5. personale esterno che non ha alcun rapporto diretto con il titolare del sito, ma che ha accesso ad alcuni dati (in genere i dati di navigazione) perchè lavora per le aziende che hanno sviluppato i tag che vengono inseriti sul sito direttamente da chi il sito lo gestisce (è il caso del tag di Google Analytics, del pixel di tracciamento di Facebook o LinkedIn, del codice di strumenti di condivisione come può essere AddThis e così via)

Chi va nominato nella policy?

Rispetto all’elenco riportato qui sopra, sono tanti i soggetti che possono accedere ai dati. In termini generali, anche secondo il principio di trasparenza già citato in precedenza, dovremmo cercare di essere i più precisi possibile e granulari quando creiamo la privacy policy.

Tuttavia, non tutti devono essere inseriti.

Non tutti i soggetti che possono accedere ai dati devono essere inseriti nella privacy policy

1. Titolare

Il titolare va certamente inserito. Il GDPR ci dice che dobbiamo riportare l’identità e i dati di contatto del titolare.

Per quanto riguarda l’identità, in caso di persona giuridica, si intendono i dati societari, come denominazione, sede legale, partita iva e così via.
Qualora invece il titolare fosse una persona fisica, dovremmo riportare i dati che ne permettano l’inequivocabile identificazione, come generalità e partita iva o codice fiscale.

Per quanto riguarda invece le informazioni di contatto, queste possono essere email o numero di telefono. In generale, sono informazioni che permettano all’utente di contattare agevolmente il titolare.

2. DPO – Data Protection Officer

Ai sensi dell’articolo 37 del GDPR, in determinate condizioni (vedi l’articolo di iubenda a proposito) l’azienda deve nominare un DPO o Data Protection Officer. Compito del DPO è di verificare che il titolare applichi il GDPR correttamente.

Se nominato, il DPO va riportato nella privacy policy.

3. Collaboratori interni

Sono il dipendente di un’azienda e ho accesso ai dati degli utenti. Il mio nome deve comparire nella privacy policy?

Questa è la domanda che in molti si potrebbero porre e la risposta è no. Decisamente no. Non è necessario (e nemmeno consigliato, nemmeno per rispettare il principio di trasparenza) indicare il nome dei collaboratori interni all’azienda. Questo è un aspetto sottinteso.
I collaboratori interni del titolare dei dati hanno accesso ai dati degli utenti. Sarà il titolare a gestire opportunamente il rapporto con ogni collaboratore.

4. Web Agency, aziende di hosting e collaboratori esterni

I collaboratori interni non vanno indicati, ma che dire allora dei collaboratori esterni all’azienda? La classica agenzia web che cura le pagine del mio sito, sviluppa i moduli di contatto e accede agli aspetti più tecnici del sito (come ad esempio il database sul quale sono archiviati i dati degli utenti). Come si gestisce questo rapporto?

Anche questo caso è simile a quello dei collaboratori interni all’azienda. Il principio è che laddove esista un rapporto diretto tra titolare e collaboratori, il nominativo di questi ultimi non vada indicato.

Quindi, niente nome dell’agenzia web o dell’azienda di hosting nella privacy policy.

Tuttavia, se i collaboratori interni vengono gestiti tramite un accordo di privacy (vincolato al rapporto professionale di dipendenza), per gestire il rapporto esterno va siglato il contratto di nomina a responsabile (o DPA Data Process Agreement).

Se vuoi, puoi utilizzare direttamente il modello di contratto che ci mette a disposizione iubenda (qui il link per il download | qui il link per approfondire su iubenda).

5. Terze parti

L’ultimo soggetto che può accedere ai dati personali degli utenti di un sito web sono le cosiddette terze parti. Aziende che non hanno un contatto diretto con il titolare dei dati.

Si tratta delle aziende che fanno capo ad esempio a tutti i sistemi esterni che inseriamo sul nostro sito, come Google (quando integriamo Google Analytics) o Facebook (quando integriamo il pixel di tracciamento di Facebook).

In questo caso dobbiamo essere precisi, inserendo tutti i soggetti terzi a cui questi dati personali (i dati di navigazione degli utenti) vengono inviati.

Nella cookie policy poi dovremo riportare i link alle privacy policy di ogni terza parte. Link a partire dai quali gli utenti potranno risalire alle informazioni di contatto e ad altre più specifiche, come ad esempio il link per l’opt-out, cioè per richiedere a quello specifico servizio di interrompere l’acquisizione dei propri dati.

Per inciso, il sistema offerto da iubenda gestisce automaticamente tutti questi aspetti. È sufficiente selezionare i servizi utilizzati e il sistema genera privacy policy e cookie policy contenenti tutte le informazioni descritte sopra.

#4 Piggybacking e la gestione dei tag che non controlliamo nella privacy

Nella domanda precedente abbiamo analizzato le 5 figure che hanno accesso ai dati degli utenti di un sito web (o di un’app).

In realtà la quinta figura – quella delle terze parti – si può suddividere tra le terze parti che vengono inserite sul sito direttamente da chi lo gestisce (come ad esempio appunto Google Analytics) e – perdona il gioco di parole – le terze parti che vengono inserite dalle terze parti (le chiamerò impropriamente “quarte parti di seguito, giusto per semplificare la comprensione).

Quindi, tu, responsabile di un sito, inserisci ad esempio il codice di AddThis (un sistema per semplificare la condivisione dei contenuti). Oracle Corporation, titolare di AddThis, è la terza parte che tu hai inserito sul tuo sito.

Il punto è che AddThis, a sua volta, inserisce altre terze parti sul tuo sito, che diventano quindi “quarte parti”… e di queste tu non hai il controllo nè hai traccia a priori.

Questa tecnica per la quale le terze parti inseriscono delle quarte parti è detta piggybacking. Ma come va gestita sulle policy?

Cookie e cookie policy

In questo caso è opportuno concentrarsi sulla cookie policy poichè è il documento rispetto al quale il problema del piggybacking è avvertito con maggiore urgenza.

Considerando gli obblighi di informazione relativi ai cookie, sappiamo che il titolare del trattamento di un sito web è tenuto a indicare nella cookie policy, le tipologie di cookie. E nota bene, parliamo qui di tipologie di cookie e non i nomi tecnici dei cookie.
Niente _ga, _utma o nomi simili. Questi sono i nomi tecnici dei cookie che non è necessario inserire e che appesantiscono anche la cookie policy.

Vanno invece elencati le terze parti che installano i cookie sul sito web e le finalità per il raggiungimento delle quali vengono utilizzati questi cookie.
Inoltre, vanno riportati anche i link alle informative delle terze parti.

Nelle policy generate da iubenda, come già accennato, sono peraltro sempre presenti sia il link alle informative, che il link di opt-out per ogni terza parte.

Piggybacking e cookie policy

E veniamo al punto centrale di questa risposta. Se la terza parte che installiamo sul nostro sito si avvale a sua volta di cookie di tracciamento (se introduce cioè delle quarte parti), è questa terza parte che ha la responsabilità di fornire all’interno della propria informativa:

  • il riferimento a quei cookie
  • il riferimento ai dati trattati attraverso questi cookie
  • le finalità di trattamento

Oltre chiaramente alle terze parti (dal nostro punto di vista le “quarte parti”) alle quali questo fornitore fa riferimento.
Quindi, se AddThis utilizzasse ad esempio il tag di Yandex Metrica, spetterebbe ad AddThis l’inserimento sulle proprie policy dei riferimenti a Yandex.

Come conoscere a priori i cookie installati sul proprio dispositivo

Sostanzialmente per l’utente finale è complicato sapere a priori dove vanno a finire i propri dati, perchè semplicemente leggendo la cookie policy di un sito non è possible conoscere quali saranno tutti i cookie che verranno installati su un dispositivo. E non è possibile saperlo proprio a causa del piggybacking.

Fino a qualche tempo fa, la società Cliqz aveva sviluppato un motore di ricerca – alternativo a Google – che permetteva di conoscere già nella pagina dei risultati, quali cookie sarebbero stati inseriti sul nostro dispositivo, aprendo una certa pagina.
Purtroppo cliqz.com non è più disponibile.
Tuttavia, la stessa società è quella che sviluppa Ghostery, uno dei plugin che ci permette di conoscere tutti i cookie presenti in una pagina, indipendentemente dal fatto che siano inseriti direttamente o tramite piggybacking.

Interfaccia di Ghostery

Fortunatamente Ghostery e Cliqz continuano a sviluppare il motore di tracciamento dei tracker e puoi accedere alle informazioni attraverso il sito whotracks.me.

interfaccia di whotracks.me

Quindi ad esempio effettuando una ricerca e selezionando il sito repubblica.it dall’elenco dei risultati (come nella figura precedente), possiamo sapere quali sono i tag rilasciati da questo sito, senza navigare il sito.

i risultati di whotracks.me per il sito repubblica.it


Questo sito permette di conoscere in anteprima i tracker gestiti da ogni sito. (qui se vuoi approfondire ti suggerisco di dare un’occhiata alla mia web serie sui 50 siti più popolari in Italia e su quello che accade dietro le quinte quando li navighiamo)

la web serie sui tracker e i 50 siti più popolari in Italia in collaborazione con iubenda e taginspector

#5 Dove sono trattati i dati dei nostri utenti?

Considera questo scenario: su un sito web hai un modulo di contatto per raccogliere le richieste dei tuoi utenti. Utilizzi anche l’insight tag di LinkedIn per analizzare il traffico del tuo sito. I dati che raccogli attraverso il modulo non escono dalla tua azienda e sono utilizzati solo ed esclusivamente per evadere le richieste di contatto.

Domanda: qual è il luogo di trattamento dei dati che devi specificare sulla privacy policy?
Spesso le aziende nella policy non segnalano che i dati sono trasferiti all’estero, probailmente (ma questa è una mia personale ipotesi) perchè non condividendo i dati raccolti dal modulo di contatto con nessuno, pensano che nessuno abbia accesso a quei dati.

Ma in realtà un tag come quello di LinkedIn alcuni dati personali li acquisisce e pertanto i dati sono a tutti gli effetti trasferiti fuori dall’Europa.

Il privacy shield

In generale è obbligatorio indicare nella privacy policy che c’è un trasferimento di dati verso stati extra-europei.

Inoltre, il GDPR consente il trasferimento dei dati dei cittadini europei, al di fuori dello spazio economico europeo, solo se sono soddisfatte alcune condizioni.

Esistono vari strumenti giuridici che possono legittimare il trasferimento. Ad esempio, nel caso del trasferimento dei dati verso gli Stati Uniti, questo normalmente è consentito sulla base del cosiddetto Privacy Shield, ovvero un accordo quadro a cui le aziende statunitense possono aderire su base volontaria e che garantisce un livello di protezione adeguato in caso di trasferimento di dati di cittadini europei.
Infatti tutti i più grossi player del settore tecnologico/IT (come Google, Amazon e Facebook) aderiscono a tale accordo.
Si tratta di un trasferimento che garantisce un livello di protezione adeguato per i residenti europei. Il GDPR richiede che venga indicato sulla privacy policy l’esistenza di eventuali savaguardie in merito al trasferimento dei dati verso specifici paesi (come lo è il privacy shield per gli Stati Uniti).

AGGIORNAMENTO: una sentenza del 16 Luglio 2020 ha invalidato il Privacy Shield. Per maggiori informazioni, leggi quanto scrive iubenda.

#6 Posso pubblicare la privacy e la cookie policy come documento unico?

Quando e come è possibile pubblicare la privacy policy e la cookie policy come un documento unico? Le due policy, quasi sempre entrambe obbligatorie, fanno capo a normative differenti. Tuttavia è possibile pubblicarle come documento unico, anche se vanno rispettate le caratteristiche che analizziamo in questo video.

La privacy policy è il documento generale che contiene la descrizione dei trattamenti effettuati dal titolare e anche ulteriori elementi minimi previsti dal GDPR.

La cookie policy è un approfondimento della privacy policy che informa l’utente in maniera specifica sull’utilizzo di tecnologie quali i cookie.

Privacy e cookie policy possono essere gestite sia come documento unico che come due documenti separati.

Con iubenda la cookie policy viene generata in automatico sulla base della configurazione della privacy policy e viene linkata all’interno della privacy policy. Volendo la cookie policy può essere inserita nel footer del sito come un link dedicato, come puoi vedere ad esempio sul mio sito.

Rispetto alle indicazioni da riportare:

  • nella privacy policy indicheremo i destinatari o le eventuali categorie di destinatari dei dati personali (quindi Google, Facebook, LinkedIn e così via)
  • nella cookie policy – in aggiunta a tutto questo – dovremo riportare anche i link alle privacy policy e ai moduli di opt-out delle terze parti

#7 Reverse DNS per la lead generation: posso contattare le persone che visitano il mio sito?

Parliamo di strumenti di Reverse DNS. Sono strumenti sempre più utilizzati in ambito B2B che permettono di conoscere meglio le aziende che visitano il nostro sito, arricchendo queste informazioni con altre recuperate ad esempio da LinkedIn. Abbiamo così a disposizione in alcuni casi anche gli indirizzi email di potenziali visitatori.

Ho scritto un articolo di approfondimento a proposito dove descrivo anche come provare gratuitamente uno di questi strumenti per due settimane.

Ma è lecito utilizzare queste informazioni per contattare questi utenti per proposte commerciali?

La risposta di iubenda è che in generale non è lecito.
Poniamo il caso di acquisire un indirizzo emali nome.cognome@azienda.it. Poichè questo indirizzo permette di identificare una persona, ancorchè sia un indirizzo in ambito professionale, non possiamo utilizzarlo prima di aver acquisito il consenso per una specifica finalità (il suo utilizzo rientra nel trattamento dei dati pesonali).

Diverso è il caso di un indirizzo email generico come info@azienda.it. In questo caso è possibile utilizzare l’indirizzo generico anche per attività di mail marketing., poichè quell’indirizzo non identifica una persona – e pertanto non è soggetto al GDPR.

Tuttavia è bene prestare attenzione a possibili penalizzazioni in ottica spam, provenienti direttamente dalle piattaforme di mail marketing.

#8 GDPR: consigli per la gestione del consenso

Una volta acquisito il consenso da parte dell’utente (che in genere – ma non è l’unico modo – viene espresso selezionando una o più checkbox che si trovano sotto al modulo) il GDPR prevede alcune pratiche specifiche da seguire per archiviare in maniera corretta questo consenso.

Il consenso va raccolto e archiviato in tutti i casi in cui l’utente può immettere direttamente i propri dati all’interno di un sito o un’app (es. form di contatto o modulo di registrazione).

Il consenso viene di norma raccolto attraverso una o più checkbox in calce al form (in alcuni casi possono servire anche due o più checkbox in riferimento ad uno specifico modulo, in particolare se i dati raccolti vengono utilizzati per più finalità).

Le checkbox non devono essere preselezionate, nè si deve forzare in alcun modo l’utente a spuntarle tutte.

Il GDPR ha introdotto la necessità di raccogliere e archiviare la prova inequivocabile del consenso.
Per essere inequivocabile, il consenso deve riportare alcune informazioni molto precise:

  • chi ha prestato il consenso
  • quando ha prestato il consenso
  • quali preferenze ha espresso
  • riferimento alle informative legali in vigore al momento in cui è stato prestato il consenso
  • quale modulo è stato compilato nel momento in cui è stato prestato il consenso

Mantenere un registro conforme può rivelarsi una sfida dal punto di vista tecnico ed ecco perchè iubenda ha una soluzione dedicata (la consent solution) che semplifica il processo permettendo di registrare le prove del consenso per ogni utente.


Ogni volta che un utente compila una form, viene generata una “prova” contenente i dati di cui sopra, inclusa una versione “in bianco” del modulo che dimostri la corretta configurazione iniziale del modulo (ad esempio che le checkbox non erano state preselezionate).

#9 GDPR: quante checkbox obbligatorie sotto le form?

Parliamo delle checkbox che vengono inserite sotto i moduli di contatto. Sono quelle che servono per raccogliere il consenso dell’utente. Ma è lecito, dal punto di vista del GDPR, inserire una checkbox obbligatoria? E più di una?

La prima checkbox può essere obbligatoria. In genrale, possiamo rendere obbligatoria la checkbox corrispondente alla finalità direttamenet connessa alla compilazione del modulo.

Non può essere resa obbligatoria una checkbox per una finalità accessoria, come ad esempio l’iscrizione ad una mailing list al di sotto di un modulo di contatto (la finalità principale per l’utente, in questo caso, è quella di ricevere una risposta).

#10 I servizi di iubenda per aziende, agenzie e professionisti

In questo video Martina Medri presenta i servizi di iubenda come il generatore di privacy e cookie policy, la consent solution e tutti gli altri servizi a disposizione di aziende, agenzie e professionisti.

Ti ricordo che utilizzando questo link puoi ottenere uno sconto del 10% sul primo acquisto dei servizi di iubenda.

#11 DPA: il contratto che agenzie e freelance dovrebbero sempre stipulare con i propri clienti

In quest’ultimo video affrontiamo un tema molto importante per aziende e professionisti che hanno accesso ai dati personali dei clienti e utenti del sito web dei propri clienti.

Aziende e professionisti devono cercare di tutelarsi nei confronti dei propri clienti, predisponendo ad esempio delle manleve ad hoc.

Dal punto di vista della tutela dei dati personali, spesso il professionista marketing/web ricopre il ruolo di responsabile esterno di trattamento dei dati.
Quando ci troviamo in questi casi, dopo aver effettuato tutte le verifiche necessarie, è opportuno sottoscrivere un DPA – Data Process Agreement (contratto di nomina del responsabile esterno del trattamento).

Questo contratto aiuta i professionisti perchè consente di delimitare il perimetro di competenze e quindi di responsablità nei confronti dei propri clienti.

Da questo link è possibile scaricare un modulo fornito direttamente da iubenda.


Inviami eventuali domande, condividi l’articolo con qualcuno a cui pensi possa interessare e linkalo nel tuo blog se ne hai uno.