ADEGUAMENTI PRIVACY

GDPR e siti Web: consigli e best practice per un corretto adeguamento

L’adeguamento al GDPR dei siti Web è un procedimento complesso che deve tener conto sia della tipologia di dati trattati, sia degli strumenti utilizzati per il trattamento stesso e dunque non può essere svolto una tantum. Ecco cosa fare per mettersi in regola

24 Apr 2019
D
Federica De Stefani

Avvocato diritto della Rete, Consulente GDPR e privacy

Adeguare al GDPR i siti Web è un procedimento complesso che coinvolge una duplice analisi: da un lato la tipologia di dati trattati e dall’altro gli strumenti utilizzati per il trattamento stesso. Cade in errore chi crede di poter risolvere l’adeguamento alla normativa sul trattamento dei dati personali con la sola redazione di un’informativa privacy da inserire nel sito proprio perché il concetto di adeguamento è profondamente diverso.

Si tratta, infatti, di un processo in continua evoluzione che impone una costante analisi degli strumenti utilizzati e dei dati trattati.

In altre parole, l’adeguamento al GDPR dei siti Web non può essere considerato come un’attività da svolgere una tantum, ma impone un monitoraggio costante sia degli strumenti impiegati sia dei trattamenti eseguiti.

GDPR e siti Web: cosa fare per mettersi in regola

Il punto di partenza dell’adeguamento di un sito Web non può che essere l’analisi delle componenti tecniche dello stesso, analisi che impone un esame dall’interno del sito, proprio perché si dovranno verificare quali plug-in sono installati, come funzionano e quali dati trattano.

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati

L’analisi esterna del sito, ossia effettuata da un utente qualsiasi, non è sufficiente per predisporre un corretto adeguamento. Ci sono infatti casi nei quali gli strumenti che il sito utilizza non sono visibili all’utente che accede al sito come visitatore, ma che per loro natura realizzano dei trattamenti di dati personali che, in quanto tali, impongono l’adozione di particolari misure.

Due siti apparentemente uguali dall’esterno, possono infatti presentare peculiarità tali da imporre l’adozione di misure diverse.

Si pensi, per esempio, all’installazione di Google Analytics, strumento di web analytics che consente di monitorare le visite sul sito. Questo servizio non si appalesa all’utente che accede al sito come visitatore, ma comporta un trattamento di dati personali per il quale è necessario richiedere il consenso all’interessato.

I trattamenti realizzati dai due siti apparentemente identici sono in realtà diversi, anche se dall’esterno questo non emerge in maniera palese, e comportano, di conseguenza, l’adozione di misure diverse per quanto concerne la compliance.

Questo è il principale motivo per il quale il procedimento di adeguamento al GDPR non può essere considerato un’attività standard, ma deve, al contrario, essere personalizzato ed effettuato con riferimento ad ogni singola specifica realtà.

GDPR e siti Web: modello standard o facsimile?

Per definizione il modello standard non può essere considerato compatibile con l’adeguamento di un sito Web, e più in generale con il GDPR.

Quando si fa riferimento ad un modello generico che, proprio per la finalità alla quale tende, deve abbracciare il numero più altro possibile di casi, è possibile che restino esclusi dalle previsioni dettagli importanti che possono comportare conseguenze giuridicamente rilevanti.

Non si deve infatti dimenticare che il trattamento illecito di dati espone a sanzioni non solo amministrative (che arrivano a 20 milioni di euro), ma anche civili e penali.

Tuttavia, quando si tratta di redigere l’informativa da rendere agli interessati, il testo del GDPR viene in soccorso del titolare del trattamento e gli fornisce un vero e proprio facsimile.

Non si tratta di un modello già predisposto nel quale inserire i propri dati negli spazi bianchi, ma di un’elencazione che deve essere seguita pedissequamente.

Gli articoli 13 e 14, infatti, elencano in modo tassativo, sebbene non esaustivo, le informazioni da rendere all’interessato e, pertanto, rappresentano a tutti gli effetti un modello dal quale partire per la redazione dell’informativa.

Basta quindi seguire le indicazioni degli articoli 13 e 14 del GDPR.

Il vero problema è relativo all’esatta individuazione delle informazioni che vanno date all’interessato.

Non si deve infatti dimenticare che l’intero processo di adeguamento, e quindi anche la redazione dell’informativa, parte dalla corretta analisi degli strumenti utilizzati e dei trattamenti realizzati.

Se non si individuano correttamente questi, non si potrà addivenire neppure alla corretta formulazione dell’informativa.

Il problema è identico anche nel caso in cui la redazione venga affidata a servizi esterni che si basano sulla compilazione di questionari da parte del titolare. Laddove le informazioni rese dal titolare non siano corrette non si potrà neppure pretendere che l’informativa sia esente da errori ed omissioni posto che l’unico responsabile non può che essere il soggetto che ha effettuato l’analisi del sito e la comunicazione delle relative informazioni.

Informativa e consenso: cosa cambia per i siti Web

L’informativa, come anticipato, altro non è che l’insieme di tutte le informazioni attinenti ai trattamenti di dati personali che vengono effettuati sul sito e che, per espressa previsione normativa, devono essere resi all’interessato. In altre parole, a fronte di un trattamento di dati è necessario spiegare al soggetto come gli stessi verranno trattati.

Non bisogna inoltre cadere in errore pensando che il consenso dell’interessato possa in qualche modo incidere sulla necessità di redigere l’informativa.

Capita, infatti, che si confondano i due aspetti, si ritenga sufficiente la richiesta del consenso e non si perfezioni in questo modo il complesso procedimento di adeguamento.

Il consenso, infatti, vale la pena sottolinearlo, rappresenta una delle basi giuridiche del trattamento dei dati e, a parte il dover essere indicato nell’informativa, non ha alcun collegamento con quest’ultima.

Un ulteriore problema è in ogni caso rappresentato dal numero di informative da inserire in un sito Web: è sufficiente una sola informativa generale o sono necessarie più informative diverse?

Il numero delle informative da inserire in un sito Web

Le informative da inserire in un sito dipendono direttamente dai trattamenti che il sito effettua.

Ciascun trattamento infatti dovrà prevedere una specifica informativa che potrà poi rimandare a quella generale del sito perché ogni trattamento ha caratteristiche diverse e l’informativa che deve essere resa all’interessato deve riguardare quello specifico trattamento.

Così l’iscrizione alla newsletter prevedrà un’informativa ad hoc che, è evidente, sarà diversa da quella del modulo di contatto o di quella della richiesta di invio di curriculum vitae proprio perché diversi sono i trattamenti che vengono realizzati con i dati richiesti.

Ancora una volta si torna alla necessità di effettuare l’analisi del sito e la mappatura dei dati trattati, punti di partenza indispensabili per rendere compliant il sito stesso.

Dati forniti dall’utente: cosa fare

Cosa accade se è lo stesso utente a fornire volontariamente i dati? Dipende dalle modalità e dalle circostanze.

Se il soggetto compila dei form messi a disposizione degli utenti in aree specifiche del sito, il fatto che la compilazione degli stessi sia volontaria non cambia la prospettiva.

Il sito, infatti, gli mostra un modulo da compilare con i dati, ma deve spiegare quale dati richiede, come avverrà il trattamento e per quali finalità.

Del consenso rilasciato in questo modo dall’utente il titolare dovrà tenere traccia, ossia dovrà essere in grado di dimostrare che l’utente ha rilasciato il consenso (conservando i file di log), la data e le eventuali revoche dello stesso.

Non bisogna infatti dimenticare che i dati, anche se rilasciati volontariamente dall’utente, possono essere utilizzati per un periodo di tempo determinato.

Non sono, in altri termini, a differenza di quanto si possa pensare, eterni.

Questo comporta che alla scadenza, che dipende direttamente dalla finalità per la quale si trattano i dati, dovrà essere richiesto un nuovo e ulteriore consenso, in difetto del quale il trattamento risulterà a tutti gli effetti un trattamento illecito.

GDPR e siti Web: il principio di privacy by design

La necessità di monitorare i consensi e la loro validità impone l’adozione di strumenti che garantiscano il rispetto del periodo massimo di utilizzo dei dati.

Questo significa che a fronte di questa necessità gli strumenti impiegati per l’acquisizione e la gestione dei dati personali dovranno essere ideati e strutturati secondo quella impostazione di privacy by design che prevede, appunto, l’adozione di metodologie che tengano in considerazione i principi del Regolamento già nella fase di progettazione in modo da garantire la compliance del sito.

Il Regolamento prevede infatti la necessità di configurare il trattamento dei dati prevedendo fin dall’inizio (ossia in fase di progettazione) le garanzie indispensabili “al fine di soddisfare i requisiti” previsti dalla normativa e tutelare i diritti degli interessati.

Tutto ciò deve necessariamente avvenire prima dell’inizio del trattamento stesso poiché è proprio in questa fase che devono essere predisposte le misure tecniche e organizzative che siano in grado di garantire la protezione dei dati durante tutte le fasi del procedimento, non solo quello dell’acquisizione, ma anche quello del trattamento e della conservazione dei dati.

Come si è visto l’adeguamento di un sito web comporta un’analisi complessa e costante sia degli strumenti utilizzati sia dei trattamenti realizzati, analisi senza la quale la compliance del sito non può essere in alcun modo garantita.

Per approfondire l’argomento si suggerisce il testo “Il GDPR per il marketing e il business online” edito da Hoepli.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr