• Sviluppo applicazioni mobile
  • Conto alla rovescia per il GDPR. Come adeguare il tuo sito web al regolamento sulla privacy

    gdpr

    Se sei responsabile di un sito web o hai intenzione di crearne uno per promuovere il tuo business oppure possiedi un blog, un forum o qualsiasi piattaforma che raccolga dati degli utenti, dovrai prestare attenzione a un aspetto molto importante: la tutela della privacy. In questa semplice guida troverai le risposte a molti dubbi che lecitamente tormentano chi si trova nella situazione di capire come adeguare il proprio sito web al regolamento sulla privacy.

    Bisogna specificare che la raccolta dei dati per scopi strettamente personali non richiede alcuna autorizzazione formale o visione dell’informativa: siamo liberi di avere una rubrica o agenda personale dove raccogliere i nostri contatti o una lista dei clienti con le informazioni necessarie alla fatturazione, avendo cura di non diffondere pubblicamente e intenzionalmente tali informazioni ed evitarne per quanto possibile la diffusione.

    Nel caso in cui vogliamo invece utilizzare queste informazioni per fare attività promozionale, analisi di mercato, studiare l’andamento del nostro sito o trarre profitto dai dati dei nostri utenti, allora si deve adeguatamente informare il soggetto interessato, chiedere la sua autorizzazione o in alcuni casi informare l’Autorità Garante della Privacy.

    Da queste brevi osservazioni possiamo già intuire che la questione più importante è l’utilizzo che si intende fare dei dati, utilizzo che comunque deve essere sempre limitato il più possibile allo svolgimento delle attività dichiarate.

    Cosa sono i dati personali

    La normativa italiana ha una vasta e complessa disciplina in termini di riservatezza dei dati, e in particolare la giurisdizione italiana è stata un vero e proprio modello per la definizione della più recente normativa europea. La prima normativa italiana risale al decreto n.675 del 1996, oggi sostituito dal Codice per la protezione dei dati personali D.Lgs 196/2003, che resta la legge quadro di riferimento, ma che va affiancata alla normativa in materia di Cookie (cosiddetta Cookie Law) e che, a partire dal 2016, va inquadrata nella nuova disciplina europea General Data Protection Regulation (GDPR). L’Autorità Garante mette a disposizione anche un sito web istituzionale in cui potete trovare tutte le informazioni necessarie: www.garanteprivacy.it

    Cominciamo anzitutto a fare chiarezza sui termini, perché esistono varie tipologie di dati personali, e fra quelli che interessano la normale attività lavorativa troviamo: i dati identificativi, ossia quella serie di dati che contribuiscono a identificare una persona, e i dati sensibili, ossia quella serie di dati che rivelano opinioni politiche, appartenenza, origine etnica, convinzioni religiose.

    Il linguaggio utilizzato dal Garante è piuttosto rigoroso: la persona a cui si riferiscono i dati viene detta interessato, la persona o l’organizzazione che li raccoglie per determinati scopi è detta titolare, che a sua volta può nominare un responsabile dei dati e un incaricato che materialmente li gestisce. Utilizzando un esempio pratico, il titolare dei dati potrebbe essere un’azienda che raccoglie i dati dei suoi clienti per analisi di mercato. L’azienda potrebbe nominare un responsabile all’interno del proprio team, che si occupi della gestione e conservazione dei dati, e allo stesso tempo designare un incaricato che ad esempio svolge il compito di data entry e per questo tratta materialmente i dati.

    La prima domanda da porsi, alla luce di tutto questo, è: che tipo di dati raccoglierà il mio sito?
    La risposta può essere meno immediata di quanto sembri: se il vostro sito contiene dei campi form in un’area pubblica, ad esempio un semplice form di contatti o un form di commenti al blog, potrebbe raccogliere diversi dati personali, tra cui l’indirizzo e-mail che per diverse ragioni è stata assimilata a un dato personale.

    Ma anche se il vostro sito non contiene form da compilare, è bene ricordare che altre tipologie di dati, anche personali, possono essere raccolte in maniera automatica dalle applicazioni installate sul vostro sito: banner pubblicitari di terze parti, pulsanti di condivisione sui social, o strumenti di monitoraggio delle visite che tracciano l’indirizzo IP dell’utente. In tutti questi casi è infatti necessario adeguarsi alla normativa Cookie, riportandone le caratteristiche nell’informativa privacy ed eventualmente esponendo il famoso banner. Per capire se e come devi adeguare il tuo sito alla normativa Cookie, è disponibile un’intuitiva infografica sul sito del Garante.

    Va precisato che i log di accesso registrati sul server per lo svolgimento di finalità tecniche da parte di amministratori di sistema (ad esempio, i log di Apache sul vostro hosting) non rientrano nel raggio di applicazione della Cookie Law, ma i suddetti dati devono essere conservati per almeno 6 mesi in modo inalterabile (in modo tale quindi da non essere modificati) e gli accessi da parte dell’amministratore di sistema vanno anch’essi registrati ogni qualvolta che l’amministratore ne possa prendere visione. Va detto che gran parte dei servizi hosting in commercio sono già conformi a questo adempimento, ma è bene tenerne conto nel caso l’attività di hosting sia svolta in proprio o assicurarsi che l’hosting scelto preveda questa possibilità.

    Quando è necessario adempiere alla normativa

    Se il tuo sito non raccoglie dati di navigazione tramite cookies tecnici o di terze parti (ad esempio non esaustivo ma indicativo: login utente, strumenti di Google o Bing quali mappe o analisi delle visite, bottoni o finestre Facebook, video da piattaforme come Youtube, pulsanti Paypal, etc…) e se non prevede inserimento di caselle e-mail degli utenti o altri campi form da compilare con dati personali, fatta eccezione per eventuali altri casi particolari, allora non è prevista alcuna richiesta di autorizzazione.

    L’adeguamento alla normativa sulla privacy è indispensabile invece in tutti gli altri casi, che in un web moderno e interattivo rappresentano una grossa parte del mercato. Le sanzioni in caso di mancato adeguamento possono essere molto salate: le multe variano da un minimo di 6.000 fino a 36.000 euro in caso di mancata informativa sulla privacy, e fino a 120.000 euro in caso di mancata informativa sui cookies. L’informativa deve inoltre essere redatta in tutte le lingue utilizzate sul sito.

    Come deve essere redatta l’informativa

    Copiare l’informativa da un altro sito web può rivelarsi una pessima idea per diversi motivi, ma fra questi dovrebbe farvi desistere la difficoltà di trovare una privacy policy che si adatti esattamente alle vostre esigenze.

    Affidare questo compito a professionisti del settore è senza dubbio la scelta più saggia nel caso disponiate di un e-commerce, di un forum di discussione o di una piattaforma sul modello dei social network, oppure se parte del vostro business deriva dall’uso dei dati personali (in tal caso ne deve essere informata l’Authority della Privacy facendone notifica con l’apposito software online disponibile sul sito del Garante della Privacy). Figure professionali sapranno guidarvi anche nella redazione di Termini e Condizioni dei vostri servizi dove si espongono le reciproche tutele e i reciproci doveri.

    Cosa non deve mancare mai in una informativa

    L’informativa deve contenere l’esplicito riferimento alla legge di riferimento D.Lgs.196/2003.
    L’informativa deve inoltre spiegare in che modo e per quale scopo vengono richiesti e trattati i dati personali dell’interessato e se il conferimento dei dati è obbligatorio per l’erogazione del servizio, e, in tal caso, cosa comporti il rifiuto a fornirli.

    L’informativa deve essere chiara in merito all’uso e alla eventuale diffusione dei dati personali, deve esporre i diritti dell’interessato (ad esempio la possibilità di richiedere la cancellazione dei dati in qualsiasi momento) e dichiarare chi è responsabile del trattamento. Nel caso in cui il responsabile sia una persona interposta (ad esempio un professionista a cui abbiamo affidato il trattamento dei dati) deve essere dichiarato anche il nome o la ragione sociale e le informazioni di contatto del titolare in nome del quale il responsabile svolge il trattamento.

    Nell’informativa occorre anche fare riferimento alla modalità con cui vengono raccolti, trattati e conservati i dati, nonché le misure di sicurezza per prevenirne eventuali furti o manomissioni.

    Cosa dispone l’articolo 13 in materia di raccolta dei dati (Informativa)

    L’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:

    • Le finalità e le modalità del trattamento cui sono destinati i dati;
    • la natura obbligatoria o facoltativa del conferimento dei dati;
    • Le conseguenze di un eventuale rifiuto di rispondere;
    • I soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;
    • I diritti di cui all’articolo 7;
    • Gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile.

    Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili.
    Quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, è indicato tale responsabile.

    Cosa dispone l’articolo 7 circa i diritti dell’interessato

    • Le finalità e le modalità del trattamento cui sono destinati i dati;
    • la natura obbligatoria o facoltativa del conferimento dei dati;
    • Le conseguenze di un eventuale rifiuto di rispondere;
    • I soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;
    • I diritti di cui all’articolo 7;
    • Gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile.

    Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili.
    Quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, è indicato tale responsabile.

    Cosa dispone l’articolo 7 circa i diritti dell’interessato

    • L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
    • L’interessato ha diritto di ottenere l’indicazione:
      1. Dell’origine dei dati personali;
      2. Delle finalità e modalità del trattamento;
      3. Della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti elettronici;
      4. Degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell’articolo 5, comma 2;
      5. Dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.
    • L’interessato ha diritto di ottenere:
      1. L’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
      2. La cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
      3. L’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
    • L’interessato ha diritto di opporsi, in tutto o in parte:
      1. Per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta;
      2. Al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

    Cosa dispone l’articolo 11 in materia di modalità del trattamento

    • I dati personali oggetto di trattamento sono:
      1. Trattati in modo lecito e secondo correttezza;
      2. Raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;
      3. Esatti e, se necessario, aggiornati;
      4. Pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
      5. Conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
    • I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

    Consenso

    Il consenso viene normalmente raccolto a seguito della presa visione dell’informativa, direttamente presso l’interessato, solitamente tramite la firma di un modulo o registrazione vocale. Nel caso in cui i dati personali vengano raccolti online, il sito deve prevedere dei sistemi che provino che il consenso sia reso esplicitamente.

    Un esempio molto comune è quello di prevedere all’interno di un form una casella-opzione da spuntare in corrispondenza del testo dell’informativa (fornito anche sotto forma di link alla pagina che contiene l’informativa per esteso).

    Un altro esempio tipico è il sistema double opt-in, pienamente recepito dalla normativa italiana e molto comune nelle sottoscrizioni a servizi quali newsletter, mailing-list o registrazioni ad aree riservate del sito. Il sistema prevede una verifica a due passaggi tramite indirizzo e-mail: viene inviato un link di conferma alla mail inserita nel form di registrazione, accedendo al link (è raccomandabile che sia valido solo una volta) viene attivato il servizio richiesto.
    Si tratta di un sistema relativamente affidabile per verificare la proprietà dell’indirizzo e-mail tramite il quale ci si iscrive al servizio, richiede delle azioni volontarie all’utente e per questo è considerato un mezzo legittimo di acquisizione del consenso.

    Un capitolo a parte merita l’utilizzo della posta elettronica per comunicazioni commerciali: anche in questo caso vige una ferrea disciplina con le sue linee guida da seguire.

    Lascia un commento