GDPR: COME ADEGUARE CORRETTAMENTE UN SITO WEB

Adeguare un sito web alle disposizioni del GDPR non può ridursi ad una informativa standard, che non esiste, proprio perché il concetto di adeguamento è per definizione profondamente diverso. Ha a che fare, infatti, con la tipologia di dati trattati e con gli strumenti, di carattere tecnico, utilizzati per i trattamenti. Per questo motivo, inoltre, non è una attività che può essere svolta una tantum per poi dimenticarsene.

Come fare per mettersi in regola.

Analisi

La prima cosa da fare, per un sito esistente è l’analisi sia delle componenti tecniche, sia delle tipologie e modalità dei dati trattati.

Un sito web, anche se in apparenza uguale ad un altro, in realtà può contenere degli strumenti tecnici (Google Analitics ad esempio che richiede il consenso al trattamento anche se l’utente visitatore non può verificarne l’utilizzo) o trattare dei dati in modo diverso. Va da se che dovranno essere implementate misure diverse di trattamento e protezione.

E non può essere sufficiente una analisi dall’esterno, proprio perché le componenti tecniche, le finalità e le misure di trattamento non sono visibili ad un utente esterno.

Per questo motivo, il procedimento di adeguamento, dovrà essere necessariamente personalizzato.

Informativa

L’informativa è l’insieme delle informazioni che devono essere date ad un interessato per spiegare come e perché vengono trattati i dati.

In realtà bisognerebbe parlare al plurale, informative, almeno nella maggior parte dei casi. Anche qui un modello standard non può esistere proprio perché non compatibile col concetto di adeguamento del sito web ma, più in generale, con i principi del GDPR.

Per redigere correttamente la, o meglio le informative del sito basta fare riferimento alla normativa; agli articoli 13 e 14 del GDPR sono sicuramente il modello da cui partire: contengono tutte le informazioni che, obbligatoriamente, devono essere contenute nella informativa stessa. Non è un modello standard già pronto all’uso ma può essere considerato un fac simile da seguire alla lettera.

Non si dimentichi che un trattamento illecito dei dati è punito con sanzioni amministrative fino a 20 milioni di euro, ma anche civili e penali.

A questo punto si tratterà di individuare correttamente le informazioni da dare agli interessati, e qui torna in gioco l’analisi di cui abbiamo detto al paragrafo precedente, che ci fornirà quelle che dovremo inserire all’interno della informativa.

Abbiamo detto che, a proposito della informativa, bisognerebbe parlare al plurale. Infatti questo adempimento ha a che fare col numero di trattamenti che vengono effettuati: più trattamenti equivalgono a più informative: l’iscrizione ad una newsletter avrà una informativa diversa dalla compilazione di un form coi dati di contatto per richiedere informazioni o completare un acquisto on line.

Consenso

Diversa è la questione riguardante il consenso. La raccolta del consenso non ha alcun legame con la informativa. Il consenso infatti è una delle basi giuridiche per il trattamento dei dati: dove richiesto o raccolto non esime il titolare dall’obbligo di fornire la informativa.

Anche nei casi in cui sia l’utente a fornire spontaneamente i dati, il consenso deve essere richiesto ove necessario. In questi casi, ad esempio con la compilazione di un form, il fatto che l’utente agisca in autonomia non cambia di una virgola la situazione.

Anzi, di fronte al modulo da compilare con i dati, vanno spiegati chiaramente quale dati si richiedono, come avverrà il trattamento e per quali finalità. Inoltre il titolare dovrà tenere traccia di questo consenso (conservando i file di log) al fine di poter dimostrare che il consenso è stato rilasciato dall’interessato e quando, ma anche le eventuali revoche dello stesso consenso.

Non bisogna infatti dimenticare che i dati, anche se rilasciati volontariamente dall’utente, possono essere utilizzati per un periodo di tempo determinato.

La scadenza dipende dalla finalità e quindi, se scaduto, dovrà essere richiesto un nuovo e ulteriore consenso, mancando il quale saremo di nuovo di fronte ad un trattamento illecito.

Conclusione

Abbiamo visto, quindi, che l’adeguamento di un sito, richiede una attività costante nel tempo oltre che complessa.

A questo si aggiunga, in conclusione, che il principio della privacy by design, prevede l’adozione di metodo e misure idonee a garantire la compliance del sito fin dalla fase della progettazione proprio perché, il corretto trattamento necessita di adottare misure tecniche ed organizzative previste dalla normativa che sono le garanzie per gli interessati.