Un’informativa sulla privacy per il proprio sito web

Un’informativa sulla privacy è una spiegazione per iscritto delle misure applicate da un’azienda o un’organizzazione, per garantire la sicurezza e l’utilizzo a norma di legge dei dati dei clienti e degli utenti rilevati e registrati dal momento dell’accesso al sito. Inoltre tale informativa serve anche a mettere l’utente al corrente dei modi di raccolta, archiviazione e del successivo utilizzo dei dati, inclusa la fornitura a soggetti terzi.

La legge sulla privacy è ovunque piuttosto complessa. I gestori di siti e online shop, durante la preparazione di un’informativa sulla protezione dei dati, devono tenere in conto il loro obbligo d’informazione, in base al d.lgs. n. 196 sul “Codice in materia di protezione dei dati personali”, che prevede vengano fornite ai soggetti interessati le informazioni in merito al trattamento dei propri dati personali. Vale a dire che colui che eroga i servizi deve descrivere in modo chiaro e preciso come avviene il processo di raccolta dati, se per esempio vengono memorizzati solo nome utente e indirizzo e-mail o anche altri dati.

Mentre la funzione della raccolta dati in un negozio online e la necessità dell’informativa sulla protezione sono facilmente comprensibili, in altri siti la situazione sembra piuttosto diversa. Vengono raccolti e memorizzati automaticamente diversi dati, spesso addirittura senza che il gestore ne sia consapevole: server web protocollano indirizzi IP nei file di log, i pulsanti social media collegati forniscono informazioni personali ai social network e anche i cookies memorizzano informazioni sull’utente e sul suo comportamento sul web.

Un tema ancora scottante è quello che riguarda gli strumenti di analisi web come Google Analytics, che protocollano il traffico di dati. Questo strumento di Google è particolarmente problematico per quanto riguarda la legge sulla protezione dei dati, in quanto gli indirizzi IP dell’utente vengono memorizzati su server statunitensi.

Per non dover chiedere all’utente il consenso necessario, i gestori di siti web possono provvedere all’abbreviazione dell’indirizzo IP togliendo le ultime cifre, facendo in modo che non si possa risalire precisamente alla persona.

Prima dell’entrata in vigore del GDPR la presentazione di un’informativa sulla protezione dei dati personali incompleta o assente era punibile con sanzioni dai 6.000 ai 36.000 euro, come stabilito dal d.lgs 196/03, importo raddoppiabile in base alla gravità della violazione della legge.

A partire dallo scorso 25 maggio, come riportato dal Garante della Privacy, chi omette completamente l’informativa sulla privacy o ne fornisce una inidonea sarà punito con la sanzione amministrativa pecuniaria stabilita dall’articolo 83, paragrafo 5, lett. b) del Regolamento (UE) 2016/679, corrispondente a un massimo di 20 milioni di euro o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

In qualità di gestori di un sito siete obbligati a informare gli utenti sulla raccolta e sulla protezione di dati personali a partire dal momento in cui gli utenti iniziano a utilizzare il vostro sito. In pratica però su un sito web diventa abbastanza difficile fornire in modo sufficiente queste informazioni mentre si raccolgono i dati. Per questo motivo è buona prassi quella di rendere l’informativa sulla privacy facilmente accessibile da ogni pagina del vostro sito web, così come per l’impressum.

Il modo migliore per farlo è quello di dedicarle una pagina, raggiungibile da qualunque altra pagina del sito attraverso un collegamento. Inoltre bisogna prestare attenzione al fatto che tali link non vengano coperti o nascosti da banner vari e che l’informativa sia ben visualizzabile e leggibile da diversi tipi di browser e dispositivi (PC, tablet, smartphone, ecc.).

Un altro importante aspetto è che l’informativa sulla privacy sia formulata in maniera precisa, trasparente e comprensibile, evitando per esempio termini tecnici e giuridici. In base al raggio d’azione, è importante che le informazioni vengano messe a disposizione non solo in italiano, ma anche nelle lingue degli utenti interessati. Da un punto di vista contenutistico è invece importante badare alla correttezza e alla completezza delle informazioni. Se fino adesso non era del tutto chiaro quali fossero le informazioni imprescindibili, l’articolo 13 del GDPR fornisce un catalogo generale degli obblighi e delle informazioni aggiuntive che non possono mancare nell’informativa sulla privacy.

È importante includere i dati di contatto dell’azienda e delle persone responsabili dell’elaborazione dei dati personali degli utenti. Oltre ai nomi è necessario riportare un indirizzo postale valido così come un indirizzo e-mail e un numero telefonico. Se la sede dell’azienda o del responsabile del sito è al di fuori dell’Unione Europea è necessario indicare anche i dati di contatto dei responsabili. Il relativo paragrafo della vostra informativa sulla privacy potrebbe assomigliare all’esempio riportato qui in seguito.

Se all’interno della vostra azienda il numero di persone addette all’elaborazione automatizzata dei dati è superiore alle dieci unità o se l’attività principale dell’azienda stessa è legata alla trasmissione commerciale di dati personali, allora siete obbligati a indicare un responsabile della protezione dei dati. Lo stesso vale anche quando lavorate con particolari categorie di dati personali, come l’orientamento politico, la fede religiosa o l’origine etnica. In ciascuno di questi casi è necessario indicare i dati di contatti della persona responsabile, che può essere sia interna che esterna all’azienda.

È vostro dovere informare gli utenti riguardo ai fondamenti giuridici per la rilevazione e l’elaborazione dei dati personali. A questo scopo è necessario che si verifichi una delle condizioni dell’articolo 6 del GDPR:

• L’interessato ha dato il proprio consenso.
• L’elaborazione dati è necessaria per adempiere a un contratto tra voi e la persona interessata o per l’esecuzione di azioni precontrattuali.
• Il responsabile adempie a un dovere legale al quale sottostà.
• L’elaborazione serve alla protezione di interessi di valore vitali dell’interessato o di un’altra persona.
• L’elaborazione serve l’interesse pubblico.
• L’elaborazione è necessaria per garantire interessi legittimi del responsabile o di un soggetto terzo (sempre ammesso che non vengano inficiati i diritti di base e di libertà dell’interessato).ella persona interessata, allora la base giuridica è l’articolo 6 paragrafo 1 comma 1f del GDPR.

All’interno della vostra informativa sulla privacy, oltre ai fondamenti giuridici, dovete addurre anche gli obiettivi per l’elaborazione delle relative informazioni personali. Dunque, per una maggiore trasparenza, è consigliabile rendere di pubblica conoscenza anche tutte le componenti del vostro progetto web che raccolgono dati, ad esempio:

• Moduli di contatto
• Registrazione alla newsletter
• Campi di immissione dati (ad esempio i dati bancari all’interno del carrello degli acquisti)
• Tracking code
• Plug-in terzi (ad esempio i cosiddetti social button)
• Contenuti di terzi (ad esempio video YouTube)
• Giochi a premi
• Cookies

Nel caso in cui la base giuridica della raccolta e dell‘elaborazione dati sia il già menzionato articolo 6 paragrafo 1 lettera f del GDPR, allora dovreste mettere per iscritto anche i vostri legittimi interessi. Successivamente dovreste accertarvi di garantire nel miglior modo possibile gli interessi e i diritti dei vostri utenti. Obiettivi tipici possono essere l’analisi del comportamento dei visitatori finalizzata all’ottimizzazione del sito web, oppure orientata a fornire contenuti personalizzati o ad attuare misure di marketing.

Nell’informativa sulla privacy siete anche tenuti a informare i vostri utenti dell’eventuale inoltro a parti terze dei dati raccolti, come ad esempio i servizi di pagamento nel caso in cui gestiate un negozio online.

Allo stesso modo va fatto riferimento all’implementazione di cookies di fornitori terzi e di estensioni di terze parti, nel caso in cui il loro utilizzo sia legato alle informazioni personali. A questo riguardo vanno menzionati i tracking code e i social media button. In entrambi i casi potete fare riferimento a un interesse legalmente valido, per renderne lecito l’utilizzo. Tuttavia è consigliabile richiedere comunque il benestare del visitatore e nel caso dei social media button utilizzare assolutamente un procedimento rispettoso della protezione dei dati, come ad esempio la cosiddetta two-click solution.

Inoltre vanno citati come riceventi anche i servizi pubblicitari come Google AdSense o AdWords, sempre che li utilizziate per supportare e finanziare il vostro progetto.

Per rendere l’elaborazione dei dati il più corretta e trasparente possibile, dovreste rendere nota la durata dell’archiviazione dei dati personali. Se non è possibile sarà sufficiente indicare i parametri che influenzano l’archiviazione dei dati. Quindi potete fare dichiarazioni concrete per quel che riguarda la memorizzazione di indirizzi IP (anonimi) nei file di log, se ad esempio avete previsto una cancellazione dopo un lasso di tempo prestabilito. Se invece lavorate con cookies che rendono identificabili gli utenti solo per il tempo della loro visita al vostro sito, l’archiviazione dei dati dipende dalle singole visite da parte degli utenti.

Tutti gli utenti di cui vengono raccolti dati possiedono una serie di diritti denominati anche diritti degli interessati. L’Articolo 15 del GDPR “Diritto di accesso dell’interessato” stabilisce il diritto di ottenere informazioni dettagliate riguardo ai fini dell’elaborazione dati, ai possibili destinatari dei dati, all’origine e alla durata di archiviazione. Oltre a questo gli utenti hanno anche il diritto di rettifica grazie all’articolo 16 e, nel caso si presentino determinate circostanze, il diritto alla cancellazione dei dati personali, anche denominato “diritto all’oblio”.

I vostri utenti devono sempre essere messi al corrente nel caso in cui la fornitura dei dati personali è prevista giuridicamente o contrattualmente o necessaria per la chiusura di un contratto. Inoltre è necessario rendere noto le conseguenze dell’omissione dei dati.

Se utilizzate processi decisionali automatizzati, incluso il profiling (in italiano: “profilazione”), siete costretti a fare dichiarazioni chiare riguardo alla logica che ne sta alla base. Si tratta principalmente di identificare l’entità e l’impatto desiderati che questi processi di elaborazione dei dati hanno sulle persone interessate. Alla base vi è il fatto che i vostri utenti hanno il diritto “di non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona“ (Articolo 22 del GDPR).

Tuttavia questo diritto non vale se il processo automatizzato è necessario per la chiusura del contratto o per la sua compilazione, se le normative europee o dei singoli Stati membri lo permettono o se avviene con il consenso della persona interessata.

Il nuovo Regolamento generale sulla protezione dei dati rende la privacy nei paesi dell’Unione europea più trasparente, più comprensibile e più sicura. La necessità di un’informativa completa e correttamente redatta rappresenta la parte centrale, in modo particolare per i gestori di siti web e che hanno spesso a che fare con una grandissima quantità di dati personali diversi tra loro. Se avete già redatto un’informativa sulla privacy secondo il vecchio modello, a rappresentare le maggiori novità tra i punti sopra elencati saranno la rivelazione delle basi giuridiche e i riferimenti ai diritti degli utenti.

Naturalmente questi due aspetti non sono le uniche differenze rispetto ai vecchi modelli. In quanto responsabili avete più che mai il compito di chiarire il senso e l’obiettivo della vostra elaborazione dati e farlo in maniera che ai vostri utenti non rimangano dubbi di alcun tipo. Nel caso in cui questo capiti, ovvero che i vostri utenti abbiano delle domande in merito, voi o il vostro responsabile dovete essere pronti a fornire le risposte necessarie. Il GDPR rende chiaro che gli utenti vanno informati il prima possibile e comunque sempre prima che i dati vengano rilevati.

La nuova riforma unitaria semplifica la gestione delle infrazioni da parte dei tribunali. Considerando poi la possibilità di sanzioni fino a 20 milioni di euro, è necessario fare estrema attenzione all’informativa sulla tutela dei dati.

Su Internet trovate numerosi modelli gratuiti che vi aiutano a creare informative sulla protezione di dati personali per il vostro sito web. Ci sono modelli già pronti sia per le informative generali sulla raccolta e protezione dei dati dell’utente sia per categorie speciali come per esempio social network (Facebook, Twitter e altri), cookies, moduli di contatto o invio di newsletter. È disponibile anche l’informativa per Google Analytics o altri strumenti di analisi in un modulo già compilato inclusivo di link per gli utenti che non sono d’accordo con la registrazione e la cessione dei loro dati.

Insieme ai diversi modelli alcuni siti offrono anche generatori di informative per la raccolta di dati. Potete affidarvi al sito del Garante per la protezione dei dati personali per assicurarvi di includere tutte le informazioni in maniera chiara e precisa.

Nel caso in cui non siate sicuri di avere inserito la giusta informativa sulla privacy o abbiate ancora domande specifiche è consigliabile rivolgersi a esperti legali.

Vi preghiamo di osservare la nota legale relativa a questo articolo.