Privacy: tutto quello che c'è da sapere per avere un sito compliance

Creare e gestire un sito web inevitabilmente impone di affrontare una serie di problemi relativi alla privacy ed al trattamento dei dati personali degli utenti visitatori.

Se si vuole gestire un sito web “compliance” con la norma vigente, è obbligatorio in primo luogo dotarlo di una dettagliata ed attenta privacy policy, in piena conformità al codice della privacy (D.lgs n. 196/2003) nonché alle nuove previsioni del Regolamento Europeo n. 2016/679, già in vigore ma applicabile soltanto dal 25 maggio 2018.

L’obbligo di fornire l’informativa agli utenti – previsto dall’art. 13 del Codice della Privacy – è infatti presente anche nel testo normativo europeo – si vedano gli artt. 13 e 14 del Regolamento UE n. 2016/679 – per cui si rende necessario verificare di gestire correttamente l’informativa sul sito e ricordarsi nei prossimi mesi di verificare la corrispondenza della propria privacy policy alle novità introdotte dal legislatore europeo per non subire provvedimenti sanzionatori di alcun genere.

L’utente deve essere informato non solo delle caratteristiche del trattamento dei dati conferiti volontariamente (pensiamo a un form contatti o di iscrizione alla newsletter), ma anche degli strumenti utilizzati dal titolare del sito per acquisire informazioni (attraverso cookie o strumenti analoghi).

Mediante la navigazione nelle pagine del sito web l’utente, a volte anche in maniera inconsapevole, fornisce al sito in questione dati personali e per tale motivo deve essere messo a conoscenza di questa possibilità e di come detti dati verranno trattati. Pertanto – in base all’art. 13 Codice delle Privacy,  paragrafo 1 ed art. 14 paragrafo 1 del Regolamento UE n. 2016/679 - il gestore del sito, quando entra in possesso di dati personali (nome, cognome, numero di telefono, email) ovvero utilizza cookie di profilazione oppure raccoglie dati per fini “non esclusivamente personali”, deve obbligatoriamente informare gli utenti di ciò e dichiarare le finalità e le modalità di utilizzo per metterlo a conoscenza dei suoi diritti e delle condizioni per poterli esercitare. L'informativa deve essere fornita all'interessato prima di effettuare la raccolta dei dati. Essa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico.

In particolare, l’informativa deve spiegare:

·       in che modo e per quale scopo verranno trattati i dati personali,

·       se il conferimento dei dati personali è obbligatorio o facoltativo,

·       le conseguenze di un eventuale rifiuto a rendere disponibili i dati personali,

·       a chi saranno comunicati o se saranno diffusi i dati personali

·       i diritti previsti per l’utente dall’art. 7 del Codice.

Ogni volta che le finalità cambiano, il Regolamento impone di informarne l'interessato prima di procedere al trattamento ulteriore.

Il trattamento dei dati personali deve essere improntato ai principi di correttezza, liceità, trasparenza, tutela della riservatezza e dei diritti di libertà degli utenti.

Nell’informativa, inoltre, devono essere specificati i dati del soggetto titolare del trattamento e, se previsto, anche del responsabile del trattamento. In base alla nuova normativa europea il titolare del trattamento deve comunicare se trasferirà i dati personali raccolti in Paesi terzi ed attraverso quali strumenti, nonché il periodo di conservazione dei dati o almeno i criteri per stabilire prevedibilmente tale periodo. Necessariamente i dati devono essere conservati per un tempo non eccedente quello strettamente necessario alla finalità per cui sono stati raccolti ed il titolare del trattamento è obbligato ad adottare almeno le misure minime di sicurezza idonee a ridurre il più possibile il rischio di perdita, distruzione, accesso non autorizzato, trattamento non consentito o non conforme alle finalità per le quali sono stati raccolti. Il Regolamento inoltre specifica che l’informativa deve avere una forma concisa, trasparente, comprensibile all'interessato e facilmente accessibile.

È necessario richiedere ed ottenere preventivamente il consenso dell’interessato non solo quando si ha intenzione di contattare l’interessato o l’utente tramite qualunque mezzo per effettuare comunicazioni commerciali e proposte di marketing. In base all’articolo 130 del Codice della Privacy non è consentito contattare telefonicamente attraverso sistemi automatizzati o inviare comunicazioni elettroniche - per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale - senza aver acquisito prima il consenso libero ed informato del destinatario.

Il consenso dell'interessato ha validità se successivo all'informativa ed espresso in riferimento specifico ad un utilizzo chiaramente individuato (oppure a singole operazioni di trattamento). Deve sempre essere informato, libero, inequivocabile e specifico e non è ammesso il consenso presunto o tacito (assolutamente da non utilizzare caselle pre-fleggate su un modulo), in quanto deve essere manifestato attraverso "dichiarazione o azione positiva inequivocabile" .

Deve essere "esplicito", come previsto dall’art. 9 del Regolamento europeo per i dati anche “sensibili”, anche in caso di trattamenti automatizzati (compresa l’attività di profilazione). Il titolare deve essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento. Non è obbligatorio che sia "documentato per iscritto" né che sia espresso in "forma scritta", anche se questa è modalità più idonea ad attestare la sua natura "esplicita".

Il consenso dei minori è valido a partire dai 16 anni. Prima di tale età è indispensabile quello dei genitori o di chi ne fa le veci. 

È valido il consenso raccolto prima del 25 maggio 2018 se rispetta tutte le prescrizioni del Regolamento europeo. In caso contrario occorrerà, prima di tale data, raccogliere nuovamente il corretto consenso degli interessati. Con particolare attenzione occorre accertarsi che la richiesta di consenso sia rivolta all’utente in modo da distinguerla chiaramente da altre richieste o dichiarazioni rivoltegli, per esempio, all'interno di modulistica.

Analogo discorso deve essere fatto per il servizio di newsletter. La newsletter consiste nel servizio di inoltro automatico, periodico e gratuito di articoli, comunicazioni ed informazioni via posta elettronica a chi ne fa richiesta in modo da mantenerlo aggiornato sulle attività del titolare. Compilando i form con i dati necessari, iscrivendosi alla mailing list e barrando la apposita casella di presa visione della informativa sulla privacy, l’interessato è consapevole trattamento dei dati forniti per ricevere il servizio di newsletter. Resta, quindi, fermo l’obbligo di fornire l’informativa specifica. Non devono essere richiesti più dati di quelli che sono strettamente necessari a erogare il servizio. L’iscrizione alla newsletter implica che l’utente abbia manifestato la volontà di ricevere comunicazioni commerciali in ordine ai servizi resi dal titolare o da terzi. Il conferimento dei dati è facoltativo, ma il rifiuto di fornire i dati comporta l'impossibilità di ottenere il servizio newsletter.

Abbiamo detto sicuramente molto, ma manca ancora qualcosa per poter affermare che il nostro sito è conforme alle previsioni legali, ma questo lo vedremo prossimamente. Continuate a seguirci!