Siti internet: il corretto trattamento dei dati

Il 75% delle aziende italiane attualmente ha un sito internet, di cui il 15% provvisto di e-commerce. In termini privacy, assistiamo a un molteplice trattamento di dati.

Quali sono gli adempimenti per essere compliance GDPR? 

La raccolta di dati 

La raccolta di dati online può avvenire in modalità differenti, infatti può essere:

  1. Involontaria, ovvero senza la volontà di chi sta effettuando la navigazione sul sito, a seguito delle impostazioni tecniche del sito web;
  2. Involontaria, ovvero senza la volontà di chi sta effettuando la navigazione sul sito, a seguito della modalità con cui è stato programmato il sito web e della presenza di cookies;
  3. Volontaria, a seguito di compilazione di form per richiesta informazioni, iscrizioni a newsletter o altro.

To do list delle attività

Immaginate una checklist delle attività da fare, in ordine di priorità. 

Al primo posto troviamo sicuramente la predisposizione dell’informativa Privacy Policy. Questa informativa deve essere inserita nel pedice del vostro sito, ed è fondamentale che sia raggiungibile in tutte le pagine web. 

Cosa deve esserci scritto in questa informativa? 

Nella Privacy Policy bisognerà inserire quanto richiesto dall’Art. 13 del GDPR, contestualizzato alla raccolta dei dati involontari, relativi alle impostazioni tecniche del web, a titolo di esempio:

  • Indirizzo IP utente
  • Giorno ed ora di connessione
  • Tempo di permanenza sul sito web

Al secondo posto della nostra checklist di controllo troviamo la predisposizione di una seconda informativa: quella relativa ai cookies presenti. 

Gli oneri rispetto questo punto non sono conclusi; a questo proposito va citato il Provvedimento del Garante: “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie” e documento successivo:” Chiarimenti in merito all’attuazione della normativa in materia di cookie”. Il Garante si espresso a riguardo, chiarendo alcune peculiarità:

  • I siti che non utilizzano cookie non sono soggetti ad alcun obbligo
  • Per l´utilizzo di cookie tecnici è richiesta la sola informativa (ad esempio nella privacy policy del sito). Non è necessario realizzare specifici banner.
  • I cookie analitici sono assimilati a quelli tecnici solo quando realizzati e utilizzati direttamente dal sito prima parte per migliorarne la fruibilità.
  • Se i cookie analitici sono messi a disposizione da terze parti i titolari non sono soggetti ad obblighi (notificazione al Garante in primis) qualora:
  1. Siano adottati strumenti che riducono il potere identificativo dei cookie (ad esempio     tramite il mascheramento di porzioni significative dell´IP);
  2. La terza parte si impegna a non incrociare le informazioni contenute nei cookies con altre di cui già dispone.
  • Se sul sito ci sono link a siti terze parti (es. banner pubblicitari; collegamenti a social network) che non richiedono l’installazione di cookie di profilazione non c’è bisogno di informativa e consenso.
  • Nell’informativa estesa il consenso all’uso di cookie di profilazione potrà essere richiesto per categorie (es. viaggi, sport).
  • È possibile effettuare una sola notificazione per tutti i diversi siti web che vengono gestiti nell’ambito dello stesso dominio.
  • Gli obblighi si applicano a tutti i siti che installano cookie sui terminali degli utenti, a prescindere dalla presenza di una sede in Italia.

COOKIES E CONSENSO: nuovi orientamenti dell’EDPB

Le Linee Guida 5-2020 dell’EDPB pongono molta attenzione sugli aspetti relativi al consenso.

In particolare possiamo così riassumere i nuovi orientamenti:

  • Banner: al momento, se io navigo su un sito, clicco da qualche altra parte, il banner scompare, ma così facendo presto il consenso al trattamento dei dati che si raccoglieranno con le mie ricerche. Cambieranno le dimensioni e le funzioni del banner: ci dovranno essere almeno due tasti che consentano all’utente di prestare liberamente il consenso o eventualmente negarlo. Il banner dovrà impedire la navigazione. Non sarà possibile associare lo scrolling alla prestazione del consenso. 
  • Scrolling: non è più sufficiente scorrere lo schermo e superare il banner per poter presumere che esista una valida manifestazione del consenso per usare i dati. 
  • Cookie wall: formula utilizzata per parlare di quelle situazioni nelle quali gli utenti si trovano davanti una schermata, dove il gestore del sito obbliga gli utenti, con barriere digitali, ad utilizzare cookies di profilazione. Questa proposizione da un certo punto di vista è anche ragionevole. Prima dell’EDPB quindi un sito poteva scegliere di perdere alcuni visitatori che non volessero accettare i cookies di profilazione. Il consenso deve essere libero e frutto di una scelta sempre. Quindi devo essere in grado di offrire all’utente un’azione A e un’azione B. Ma non sono più validi i cookie wall, dove solo chi garantisce il trattamento dei dati può entrare nel sito. Si deve garantire all’utente la scelta tra un SI o NO.

All’ultimo posto, non perché meno importante, la predisposizione, per ogni form di raccolta dati, una specifica informativa inerente i punti previsti all’art. 13 del GDPR. L’informativa deve essere completa ed il consenso deve essere espresso per ogni possibile trattamento relativo ai dati raccolti. Normalmente si utilizzano nei form dei checkbox che devono essere fleggati dall’utente come azione volontaria.

Ricordiamoci, inoltre, che questi accorgimenti oltre che essere necessari per essere cogenti ai requisiti norma (GDPR), sono utili per altri due aspetti:

  1. Adesione a standard volontari: (ad es.: certificazione ISO/IEC:27001);
  2. Web reputation: riflessione sul fatto che chi ha un sito Web, magari molto visitato o addirittura un e-commerce, non deve solo porsi il problema di non prendere sanzioni bensì anche quello di mantenere una buona Web Reputation.
Mary

About Mary

Laureata in Giurisprudenza, Mary ha un debole per la protezione dei dati. Ha effettuato un master in giurista di impresa ed ottenuto la certificazione come Privacy Specialist e Manager.