I siti web e la tutela dei dati personali

È fondamentale per il successo delle imprese adoperarsi per ottenere e mantenere inalterata nel tempo una propria “Web reputation” sinonimo di affidabilità e sicurezza per l’utente che si affida al web.

Per garantire tale condizione è necessario verificare le caratteristiche del proprio sito web ed attivarsi per renderlo conforme alle normative di riferimento, ponendo particolare attenzione al tema della privacy e ai principi espressi dal GDPR.

È prioritario partire dalla premessa che sostanzialmente il soggetto che implementa e gestisce un sito web si troverà usualmente a trattare di dati personali che saranno differenti per quantità e tipologia in funzione delle applicazioni che verranno attivate (es: dati raccolti dal server, quali indirizzo IP, dati di navigazione, dati identificativi della persona fisica ….).

Il presente articolo si pone l’obiettivo di fornire delle indicazioni utili per indirizzare le attività di adeguamento del sito alla compliance privacy. In particolare, facendo riferimento a titolo esemplificativo e non esaustivo ai più comuni elementi che caratterizzano le “strutture web”, si ritiene utile porre l’attenzione sulla seguente selezione di temi:

1. Informativa privacy;
2. Base giuridica del trattamento;
3. Principio di minimizzazione;
4. Moduli (form);
5. Cookie e banner;
6. Google Analytcs;

1. Informativa privacy

Uno degli adempimenti più importanti e spesso sottovalutato nella gestione dei siti web è la redazione dell’informativa privacy. Attraverso la pubblicazione sul sito del documento informativo, devono essere fornite tutte le informazioni necessarie per illustrare quanto previsto dall’articolo 13 del GDPR (titolare del trattamento, tipologia di dati raccolti, base giuridica, finalità, destinatari, diritti dell’interessato). Nel rispetto dei dettami del GDPR è fondamentale che l’informativa sia facilmente accessibile da parte degli utenti (in genere tramite un link presente sulla pagina web) e che i contenuti previsti dalla normativa siano espressi in un linguaggio chiaro e comprensibile alla portata dell’amplia platea di utenti che potenzialmente possono accedere al sito.

2. Base giuridica del trattamento

Per poter raccogliere e trattare i dati occorre una specifica base giuridica: il consenso dell’utente oppure una diversa condizione che legittimi il trattamento. A titolo esemplificativo, qualora nel sito sia presente una attività di e-commerce non occorre un consenso al trattamento dei dati poiché la base giuridica è l’adempimento di un obbligo contrattuale (il contratto di compravendita).

3. Principio di minimizzazione dei dati

La raccolta dei dati personali deve essere svolta adottando un principio di minimizzazione, ovvero richiedendo soltanto i dati essenziali per la fornitura del servizio, senza mai eccedere con la rilevazione di ulteriori informazioni aggiuntive non pertinenti per la specifica finalità dichiarata.

4. Moduli (form)

Molti siti web prevedono l’implementazione di diverse tipologie di moduli di raccolta dati (form), attraverso i quali si realizza una compilazione diretta da parte degli utenti per varie finalità (es. richiesta di informazioni, iscrizione ad una newsletter…). L’acquisizione dei dati tramite il form deve essere preceduta da una apposita e specifica informativa che illustri le modalità e le finalità del trattamento dei dati e che sia funzionale al rilascio di un consenso libero ed esplicito. In questi casi uno dei possibili errori in cui si potrebbe incorrere è procedere alla raccolta di più informazioni per più finalità senza acquisire i necessari consensi specifici, separati ed espressi liberamente. Il concetto di consenso libero esclude tassativamente la presenza di caselle pre-fleggate e non consente di condizionare l’utente vincolando l’erogazione di un servizio all’accettazione di altre attività (es: non è possibile obbligare l’utente ad accettare delle attività di marketing quando compila un form di richiesta informazioni).

5. Cookie e banner

Uno degli elementi più rilevanti che occorre monitorare per avere un sito conforme è sicuramente la gestione dei cookie. La quasi totalità dei siti web utilizza dei cookie per vari scopi e tranne che per i cookie di natura tecnica tutti gli altri per poter essere rilasciati necessitano di un consenso attivo da parte dell’utente.  Pertanto, è necessario che il titolare proceda con la predisposizione di un apposto banner (informativa breve) con una sintesi informativa, rinviando tramite un apposito link all’informativa cookie nel formato più esteso ed esaustivo e alla possibilità di impostare le proprie preferenze, selezionando i cookie che si intendono attivare. La responsabilità del gestore del sito si estende anche ai cookie impostati da una terza parte tramite il suo sito. La questione più delicata su cui spesso possono generarsi delle problematiche interessa il consenso, o meglio il concetto di “consenso preventivo”, da acquisire prima che i cookie vengano scaricati sul terminale dell’utente. Inoltre, l’utente deve avere sempre la possibilità di gestire facilmente anche la revoca del consenso precedentemente accordato.

6. Google Analitycs

Nel caso in cui i dati siano trasferiti a terze parti occorre informare gli utenti e raccogliere il loro consenso. L’esempio più comune si ha utilizzando i servizi di statistica (analytcs) come Google Analitycs, al fine di creare report basati sui dati. Nel caso in cui si faccia ricorso all’anonimizzazione del servizio non occorrerà alcun consenso ma solo l’indicazione nell’informativa.

La trattazione esposta rappresenta una introduzione ad una tematica complessa che richiede interventi personalizzati in funzione delle peculiarità dei singoli siti. Il crescente orientamento all’uso di strumenti di comunicazione e commercializzazione on line, decisamente amplificato dalla pandemia Covid-19, ha rappresentato una spinta importante verso un ulteriore utilizzo del web, il quale tuttavia va opportunamente gestito in considerazione degli intrinsechi rischi connessi all’utilizzo dei dati che transitano attraverso la rete informatica. Una buona impostazione del sito sotto il profilo del trattamento dei dati personali, nel rispetto dei principi del GDPR ed un’accurata protezione da attacchi informatici, rappresentano i due tasselli fondamentali per assicurarsi una valida e duratura “Web reputation”.