Adeguare al GDPR i siti Web è un procedimento complesso che coinvolge una duplice analisi: da un lato la tipologia di dati trattati e dall’altro gli strumenti utilizzati per il trattamento stesso. Cade in errore chi crede di poter risolvere l’adeguamento alla normativa sul trattamento dei dati personali con la sola redazione di un’informativa privacy da inserire nel sito proprio perché il concetto di adeguamento è profondamente diverso.
Si tratta, infatti, di un processo in continua evoluzione che impone una costante analisi degli strumenti utilizzati e dei dati trattati.
In altre parole, l’adeguamento al GDPR dei siti Web non può essere considerato come un’attività da svolgere una tantum, ma impone un monitoraggio costante sia degli strumenti impiegati sia dei trattamenti eseguiti.
Indice degli argomenti
GDPR e siti Web: cosa fare per mettersi in regola
Il punto di partenza dell’adeguamento di un sito Web non può che essere l’analisi delle componenti tecniche dello stesso, analisi che impone un esame dall’interno del sito, proprio perché si dovranno verificare quali plug-in sono installati, come funzionano e quali dati trattano.
L’analisi esterna del sito, ossia effettuata da un utente qualsiasi, non è sufficiente per predisporre un corretto adeguamento. Ci sono infatti casi nei quali gli strumenti che il sito utilizza non sono visibili all’utente che accede al sito come visitatore, ma che per loro natura realizzano dei trattamenti di dati personali che, in quanto tali, impongono l’adozione di particolari misure.
Due siti apparentemente uguali dall’esterno, possono infatti presentare peculiarità tali da imporre l’adozione di misure diverse.
Si pensi, per esempio, all’installazione di Google Analytics, strumento di web analytics che consente di monitorare le visite sul sito. Questo servizio non si appalesa all’utente che accede al sito come visitatore, ma comporta un trattamento di dati personali per il quale è necessario richiedere il consenso all’interessato.
I trattamenti realizzati dai due siti apparentemente identici sono in realtà diversi, anche se dall’esterno questo non emerge in maniera palese, e comportano, di conseguenza, l’adozione di misure diverse per quanto concerne la compliance.
Questo è il principale motivo per il quale il procedimento di adeguamento al GDPR non può essere considerato un’attività standard, ma deve, al contrario, essere personalizzato ed effettuato con riferimento ad ogni singola specifica realtà.
GDPR e siti Web: modello standard o facsimile?
Per definizione il modello standard non può essere considerato compatibile con l’adeguamento di un sito Web, e più in generale con il GDPR.
Quando si fa riferimento ad un modello generico che, proprio per la finalità alla quale tende, deve abbracciare il numero più altro possibile di casi, è possibile che restino esclusi dalle previsioni dettagli importanti che possono comportare conseguenze giuridicamente rilevanti.
Non si deve infatti dimenticare che il trattamento illecito di dati espone a sanzioni non solo amministrative (che arrivano a 20 milioni di euro), ma anche civili e penali.
Tuttavia, quando si tratta di redigere l’informativa da rendere agli interessati, il testo del GDPR viene in soccorso del titolare del trattamento e gli fornisce un vero e proprio facsimile.
Non si tratta di un modello già predisposto nel quale inserire i propri dati negli spazi bianchi, ma di un’elencazione che deve essere seguita pedissequamente.
Gli articoli 13 e 14, infatti, elencano in modo tassativo, sebbene non esaustivo, le informazioni da rendere all’interessato e, pertanto, rappresentano a tutti gli effetti un modello dal quale partire per la redazione dell’informativa.
Basta quindi seguire le indicazioni degli articoli 13 e 14 del GDPR.
Il vero problema è relativo all’esatta individuazione delle informazioni che vanno date all’interessato.
Non si deve infatti dimenticare che l’intero processo di adeguamento, e quindi anche la redazione dell’informativa, parte dalla corretta analisi degli strumenti utilizzati e dei trattamenti realizzati.
Se non si individuano correttamente questi, non si potrà addivenire neppure alla corretta formulazione dell’informativa.
Il problema è identico anche nel caso in cui la redazione venga affidata a servizi esterni che si basano sulla compilazione di questionari da parte del titolare. Laddove le informazioni rese dal titolare non siano corrette non si potrà neppure pretendere che l’informativa sia esente da errori ed omissioni posto che l’unico responsabile non può che essere il soggetto che ha effettuato l’analisi del sito e la comunicazione delle relative informazioni.
Informativa e consenso: cosa cambia per i siti Web
L’informativa, come anticipato, altro non è che l’insieme di tutte le informazioni attinenti ai trattamenti di dati personali che vengono effettuati sul sito e che, per espressa previsione normativa, devono essere resi all’interessato. In altre parole, a fronte di un trattamento di dati è necessario spiegare al soggetto come gli stessi verranno trattati.
Non bisogna inoltre cadere in errore pensando che il consenso dell’interessato possa in qualche modo incidere sulla necessità di redigere l’informativa.
Capita, infatti, che si confondano i due aspetti, si ritenga sufficiente la richiesta del consenso e non si perfezioni in questo modo il complesso procedimento di adeguamento.
Il consenso, infatti, vale la pena sottolinearlo, rappresenta una delle basi giuridiche del trattamento dei dati e, a parte il dover essere indicato nell’informativa, non ha alcun collegamento con quest’ultima.
Un ulteriore problema è in ogni caso rappresentato dal numero di informative da inserire in un sito Web: è sufficiente una sola informativa generale o sono necessarie più informative diverse?
Il numero delle informative da inserire in un sito Web
Le informative da inserire in un sito dipendono direttamente dai trattamenti che il sito effettua.
Ciascun trattamento infatti dovrà prevedere una specifica informativa che potrà poi rimandare a quella generale del sito perché ogni trattamento ha caratteristiche diverse e l’informativa che deve essere resa all’interessato deve riguardare quello specifico trattamento.
Così l’iscrizione alla newsletter prevedrà un’informativa ad hoc che, è evidente, sarà diversa da quella del modulo di contatto o di quella della richiesta di invio di curriculum vitae proprio perché diversi sono i trattamenti che vengono realizzati con i dati richiesti.
Ancora una volta si torna alla necessità di effettuare l’analisi del sito e la mappatura dei dati trattati, punti di partenza indispensabili per rendere compliant il sito stesso.
Dati forniti dall’utente: cosa fare
Cosa accade se è lo stesso utente a fornire volontariamente i dati? Dipende dalle modalità e dalle circostanze.
Se il soggetto compila dei form messi a disposizione degli utenti in aree specifiche del sito, il fatto che la compilazione degli stessi sia volontaria non cambia la prospettiva.
Il sito, infatti, gli mostra un modulo da compilare con i dati, ma deve spiegare quale dati richiede, come avverrà il trattamento e per quali finalità.
Del consenso rilasciato in questo modo dall’utente il titolare dovrà tenere traccia, ossia dovrà essere in grado di dimostrare che l’utente ha rilasciato il consenso (conservando i file di log), la data e le eventuali revoche dello stesso.
Non bisogna infatti dimenticare che i dati, anche se rilasciati volontariamente dall’utente, possono essere utilizzati per un periodo di tempo determinato.
Non sono, in altri termini, a differenza di quanto si possa pensare, eterni.
Questo comporta che alla scadenza, che dipende direttamente dalla finalità per la quale si trattano i dati, dovrà essere richiesto un nuovo e ulteriore consenso, in difetto del quale il trattamento risulterà a tutti gli effetti un trattamento illecito.
GDPR e siti Web: il principio di privacy by design
La necessità di monitorare i consensi e la loro validità impone l’adozione di strumenti che garantiscano il rispetto del periodo massimo di utilizzo dei dati.
Questo significa che a fronte di questa necessità gli strumenti impiegati per l’acquisizione e la gestione dei dati personali dovranno essere ideati e strutturati secondo quella impostazione di privacy by design che prevede, appunto, l’adozione di metodologie che tengano in considerazione i principi del Regolamento già nella fase di progettazione in modo da garantire la compliance del sito.
Il Regolamento prevede infatti la necessità di configurare il trattamento dei dati prevedendo fin dall’inizio (ossia in fase di progettazione) le garanzie indispensabili “al fine di soddisfare i requisiti” previsti dalla normativa e tutelare i diritti degli interessati.
Tutto ciò deve necessariamente avvenire prima dell’inizio del trattamento stesso poiché è proprio in questa fase che devono essere predisposte le misure tecniche e organizzative che siano in grado di garantire la protezione dei dati durante tutte le fasi del procedimento, non solo quello dell’acquisizione, ma anche quello del trattamento e della conservazione dei dati.
Come si è visto l’adeguamento di un sito web comporta un’analisi complessa e costante sia degli strumenti utilizzati sia dei trattamenti realizzati, analisi senza la quale la compliance del sito non può essere in alcun modo garantita.
Per approfondire l’argomento si suggerisce il testo “Il GDPR per il marketing e il business online” edito da Hoepli.
