Come giudicare un sito internet conforme alla normativa in materia di protezione dei dati personali
Il sito Internet è la vetrina dell’attività d’impresa del titolare, il biglietto da vista per antonomasia, ma anche un importante veicolo di informazioni e di dati personali.
Il sito aziendale deve essere sottoposto a un’attenta analisi in base alla sua funzione: sia che venga utilizzato come sito informativo, sia che abbia invece una funzione interattiva con l’utente.
Anche un semplice sito Internet informativo deve essere conforme alla normativa in materia di protezione dei dati personali se in qualche forma raccoglie o tratta dati personali.
Ogni scelta intrapresa dal titolare deve quindi essere valutata dal punto di vista tecnico, commerciale e in conformità con la normativa europea sulla privacy.
Basti pensare ad un semplice form di contatto o alla sezione “lavora con noi” tramite la quale i candidati possono inviare il proprio curriculum vitae.Si tratta di strumenti di raccolta dei dati che necessitano di un’adeguata informativa che può essere resa solo dopo avere esaminato il flusso delle informazioni, dove vengono conservate e quale uso ne viene fatto.
Purtroppo i siti Internet sono spesso un susseguirsi di copia/incolla , ma se si vogliono evitare contestazioni o sanzioni è necessario rivolgersi ad un legale esperto della materia che sappia indicare le soluzioni adeguate al vostro caso.
Il Garante per la Protezione dei Dati Personali negli anni si è espresso diverse volte sul trattamento dei dati personali in che vengono trattati su internet attraverso i siti web. Importantissimo il provvedimento in materia di cookie dell’8 Maggio 2014 che ha ridefinito gli obblighi per l’uso di cookie collegati a siti internet.
Prima ancora di giudicare un sito internet e valutare se è adeguato agli obblighi imposti dal Regolamento Europeo bisogna verificare alcune preliminari skills:
1. Connessione SSL
È la connessione protetta che garantisce le intercettazioni da punto (il server del sito) a punto (il computer di chi visita il sito) la mancanza non è una violazione di norme di legge ma penalizza fortemente nei risultati dei motori di ricerca e di concerto la fruibilità del sito con i maggiori browser.
Numero partita IVA
È un obbligo di legge previsto dalla norma nazionale istitutiva dell’IVA (più volte modificata) sono previste sanzioni per i trasgressori applicate dall’Agenzia delle Entrate.
2. Privacy Policy
Deve essere presente una informativa, la sua mancanza è una formale violazione dell’art. 13 del GDPR e può provocare sanzioni amministrative salate.
Sezione Lavora con noi
Se c’è una sezione del sito dove si può inviare un curriculum e dove si invita a candidarsi per posizioni lavorative, in questa sezione deve esserci una informativa specifica, in mancanza di questa l’illecito potrebbe essere persino ricadere sul penale.
Cookie e informativa cookie
A questo punto c’ è bisogno di un controllo tecnico: è importantissimo controllare se il sito ha caricato dei cookie sul browser prima ancora di segnalarvelo o chiedervi un consenso. In questo caso siamo già in presenza di una violazione di legge. A prescindere dalla installazione, se vi viene chiesto il consenso, controllate poi i cookie installati: se sono di terze parti controllate l’informativa, deve essere specifica e diversa dalla privacy policy.
3.Valutazione della “Privacy Policy”
La privacy policy è una informativa per chi visita il sito2 ovviamente può anche avere nomi diversi (ad esempio semplicemente “Privacy”),adeguata e conforme alla normativa sulla privacy
Che cos’è Informativa per gli utenti del sito e informativa utenti del sito per i cookie?
Si tratta dell’informativa che riguarda tutti gli utenti che raggiungono il dominio a cui si rivolgono e, dopo averlo caricato, visitano, o meno, le pagine del sito Internet. Si tende a sottovalutare che visitare un sito Internet comporta comunque lo scambio di informazioni e quindi la raccolta di dati personali da parte del proprietario del dominio (il titolare del trattamento).
Questo discende da due elementi variamente :
• poca consapevolezza di cosa sia un indirizzo IP (che è un dato personale);
• poca consapevolezza, appunto, del fatto che l’obbligo di informativa scatta al trattamento di qualsiasi dato personale.
Pertanto sotto il nome Privacy Policy va quell’informativa che si rende agli utenti che visitano un sito Internet. L’aspetto più significativo dell’informativa è quello dei dati raccolti perché sono variabili e perché molti vengono raccolti tramite uno strumento automatizzato che è un cookie o un altro tracciatore.
Un cookie è uno strumento informatico consistente in un file di modeste dimensioni che viene installato da parte del gestore del sito Internet sui computer di chi lo visitano, allo scopo di:
• fornire una migliore visualizzazione del sito (ad esempio registrare le sue preferenze in tema di lingua o aspetto del sito quando questo è possibile);
• raccogliere informazioni sulla sua navigazione.
Queste informazioni vengono associate al visitatore e quindi sono incorporate in un profilo che è un insieme di dati personali.
L’esistenza dei cookie è coeva ai primi sviluppi del web e più di quindici anni chi scrive si è preoccupato di annotarne l’esistenza nelle informative che ha scritto. Ma l’evoluzione tecnologica ha implementato moltissimo la quantità e la qualità di dati personali che possono essere raccolti tramite i cookie. Sono infatti nati i cookie di terze parti e i cookie traccianti.
I primi sono cookie configurati e parzialmente gestiti da soggetti terzi rispetto al visitatore del dominio e al proprietario e titolare del trattamento, i secondi invece hanno il compito di interconnettere informazioni sulla storia dei siti Internet visitati dall’utente.
Il principale distributore di cookie è Google Inc. che, ovviamente, fornendo i propri cookie mentre garantisce una buona visibilità ai proprietari dei domini che adottano i propri servizi, al tempo stesso raccoglie informazioni sugli utenti che visitano i siti Internet, il che, come è ovvio, migliora il proprio servizio.
Queste situazioni vanno illustrate in modo chiaro e secondo indicazioni che l’Autorità Garante aveva fornito in un suo provvedimento, che, però, è anteriore all’entrata in vigore del Regolamento Europeo, pertanto il provvedimento del Garante va interpretato anche alla luce di una sentenza della Corte di Giustizia Europea (di poco più di un anno) e anche alla luce delle Linee Guida e raccomandazioni che l’Autorità di controllo francese (la CNIL) ha fornito per la Francia.
Nel silenzio dell’Autorità nazionale, ovviamente, le indicazioni di una Autorità europea (che si regola secondo la stessa norma che opera in Italia e condizionata dalla stessa sentenza efficace in Italia) hanno un valore che non può essere ignorato.
Le sanzioni effettive
Attualmente i controlli e le sanzioni del Garante privacy europeo non si sono fermati nemmeno in questo periodo di emergenza coronavirus, anzi si vocifera di controlli a tappeto. Adesso si parla in maniera costante di App che tracciano i movimenti delle persone per limitare il contagio da COVID-19, e nascono dibattiti molto accessi sulle possibili ripercussioni sul lato privacy, ma non dobbiamo dimenticare che molte volte, la tutela dei dati personali, viene violata da situazioni “più tradizionali” ovvero proprio nel caso classico in cui l’azienda e/o il professionista non ha ancora provveduto ad ottemperare a tutti gli obblighi di legge previsti dalla normativa.
Gli importi delle sanzioni previsti dal nuovo Regolamento UE in materia di protezione dei dati personali sono pari ad un massimo di 10 milioni di euro o 20 milioni di euro, o se l’importo è maggiore potranno arrivare fino al 2% o 4% del fatturato.
Non garantire e proteggere il lavoro on line vuol dire non solo rischiare delle pesanti sanzioni, ma anche esporsi ad una probabile figuraccia con i propri clienti