ADEMPIMENTI PRIVACY

L’informativa privacy: indicazioni normative e best practice per la piena conformità al GDPR

L’informativa privacy è un documento che molti sviluppano come attività di routine senza rendersi conto che al suo interno si scrivono regole e concetti che poi ci porteremo dietro per tutta l’attività di adeguamento alla normativa privacy. Ecco i consigli pratici per redarla in piena conformità col GDPR

16 Dic 2019
V
Alfredo Visconti

Amministratore unico Brain-it, consulente esperto privacy


Effettuate le varie ricognizioni per la raccolta dei dati ed avendo acquisito tutti i dati necessari a sviluppare la propria attività rispetto alla privacy, la prima attività da fare è sicuramente quella di sviluppare la giusta documentazione per poter cominciare ad operare stando in regola con le attività e gli obblighi formativi: tanto ciò detto non possiamo che partire dallo sviluppo dell’informativa privacy, documento che molti sviluppano come attività di routine senza rendersi conto che qui si scrivono regole e concetti che poi ci porteremo dietro per tutta l’attività.

L’informativa privacy: indicazioni normative

Il GDPR prevede che, in base alla finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento, le informazioni richieste dalle norme (art. 12).

L’informativa è una comunicazione rivolta all’interessato che ha lo scopo di informare l’interessato sulle finalità e le modalità dei trattamenti operati dal titolare (società, studio professionale, attività online ecc.) del trattamento.

L’informativa, quindi, riveste importanza non tanto per il rispetto del diritto individuale ad essere informato, quanto nel dovere del titolare del trattamento di assicurare la trasparenza e correttezza dei trattamenti fin dalla fase di progettazione dei trattamenti stessi, e di essere in grado di comprovarlo in qualunque momento (principio di accountability).

Mediante l’informativa, infatti, il titolare dimostra che le cose scritte relativamente ai dati e alla loro raccolta e gestione sottostanno a delle regole di controllo (gestione dei rischi) che sono mirate a tutelare l’integrità dei dati stessi.

Naturalmente lo scopo non secondario dell’informativa è di permettere all’interessato di firmare consenso valido, ragionato e coscienzioso. L’informativa è dovuta anche e soprattutto in base al principio di trasparenza e correttezza, in quanto è una condizione di legittimità del consenso.

L’informativa deve essere chiara e avere forma coincisa: la sua leggibilità e conoscenza deriva anche dal fatto che sia facilmente accessibile e intellegibile per l’interessato (Considerando 39).

L’informativa deve essere resa per iscritto o con altri mezzi (anche elettronici, come ad esempio la posta elettronica). Se richiesto dall’interessato l’informativa va data oralmente. È preferibile fornirla in forma tale da provarne l’esistenza e per consentire alle autorità di vigilanza di verificarne la completezza e correttezza.

Pubblicare l’informativa privacy sul sito Internet

È ammessa la possibilità di pubblicare l’informativa privacy su un sito web, inserendo il collegamento (link) a tale pagina web nella pagina principale (home) del sito web, ma anche nelle comunicazioni e nella corrispondenza, compreso la corrispondenza cartacea.

Nel caso di comunicazioni postali è, però, necessario prevedere anche delle forme alternative, come ad esempio l’invio di fax a seguito di richiesta da parte degli interessati, per coloro che non hanno la possibilità di leggerla online.

Se il sito web non prevede alcuna registrazione degli utenti e comunque non gestisce dati, l’informativa privacy non ha ragione di esistere. È opportuno ricordare, però, che i siti in genere acquisiscono comunque informazioni (anche dati personali) tramite i server sui quali sono ospitati, per cui la decisione di inserire o meno l’informativa deve essere presa con l’esperto informatico che ci deve garantire che nessun dato viene salvato o trattato, motivo per cui si consiglia di non interpretare questa regola ma pubblicare sempre l’informativa.

L’informativa privacy è sempre dovuta ogni qual volta vi sia una raccolta e trattamento dei dati (es. indirizzi IP, e-mail) degli utenti, per cui anche nel caso in cui il sito utilizzi cookie tramite i quali raccoglie dati degli utenti. È altresì dovuta anche quando il consenso dell’interessato non è richiesto, oppure quando l’interessato è tenuto obbligatoriamente per legge a fornire i dati.

Se il sito permette la registrazione degli utenti, ma i dati vengono usati solo per fini del sito medesimo e non per l’invio di proposte commerciali, profilazioni o attività di marketing ecc., occorre solo l’informativa privacy ma non occorre la raccolta del consenso.

Contrariamente, anche solo per deduzione, se il sito permette la registrazione degli utenti e raccoglie dati anche a fini promozionali e pubblicitari, compreso la trasmissione a terzi, occorre l’informativa privacy e il consenso deve essere espresso con accettazione separata dell’informativa.

L’informativa privacy per i cookie

Il regolamento europeo norma e specifica la regolamentazione sull’utilizzo dei cookies.

La normativa riguardante i cookie è entrata in vigore a metà 2015, quindi ben prima della piena applicabilità del GDPR. Il Regolamento UE, però, ha comunque avuto un forte impatto su come i cookie devono essere trattati, in quanto questi possono trasportare dati personali degli utenti.

L’art.4 del GDPR nel suo primo paragrafo specifica cosa si intenda per “dato personale” definendolo come: “Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

È il concetto di “identificabilità” quello che lega l’argomento cookie a doppia mandata con il Regolamento, in quanto l’utilizzo di cookie proprietari e di terze parti potrebbe rendere identificabile un individuo, anche tramite la raccolta di dati apparentemente anonimi quali ad esempio l’indirizzo IP di un utente.

FORUM PA 6 - 11 LUGLIO
Costruire la fiducia digitale: cybersecurity e privacy
Network Security
Privacy

Le linee guida del GDPR sanciscono che i vari siti non possono:

  • rendere l’accettazione delle politiche cookie una scelta obbligata per l’utente per riuscire a navigare il sito;
  • installare cookie che possono identificare un utente o renderlo identificabile prima che questo abbia dati il proprio consenso.

Assume una certa importanza la gestione del Cookie Banner che è l’interfaccia attraverso cui un utente può scegliere se accettare o meno l’utilizzo di cookie, durante la sua prima navigazione oppure dopo che il consenso dato sia scaduto.

Nel banner devono essere presenti i seguenti elementi:

  • link all’informativa sui cookie;
  • un pulsante per acconsentire all’installazione/uso di cookie durante la navigazione;
  • un modo per rifiutare l’installazione/uso di cookie durante la navigazione.

L’informativa dei cookie va ospitata assieme alla politica sulla privacy all’interno del sito, andrà inserita nel Cookie Banner e dovrà contenere al suo interno:

  • un collegamento alla politica sulla privacy del sito/azienda;
  • una spiegazione per l’utente di cosa sono i cookies, della differenza tra cookies di sessione e cookies persistenti, nonché della differenza tra i vari tipi di cookie (di navigazione, tecnici, di marketing e profilazione, analitici);
  • il link alle informative dei proprietari di cookie di terze parti che vengono utilizzati dal sito;
  • l’elenco di tutti i cookies utilizzati in dettaglio, corredati dalle informazioni sul nome del cookie, tipologia, proprietario, finalità, tempo di persistenza dello stesso;
  • una spiegazione all’utente su come visualizzare e/o cancellare i cookies installati nel proprio browser.

Informativa privacy: mettere a norma il sito Web

In fase di ispezione privacy la verifica delle attività svolte attraverso la rete internet e per essa dal sito ufficiale o dai siti ufficiali e a volte anche ufficiosi è di fondamentale importanza in quanto occorre sempre ricordare che i siti internet hanno un valore non solo per quello che comunicano ma anche per quello che trasmettono.

Occorre in fase di ispezione verificare ogni pagina del sito web andando a verificare:

  • come avviene la raccolta di dati;
  • come avvengono la gestione e la conservazione dei dati;
  • la presenza di tutte le informative necessarie;
  • la completezza e la correttezza delle informative presenti;
  • la gestione della cookie policy;
  • tutti gli aspetti che rendono il sito conforme o meno alla norma.

In particolare, occorre verificare dove possono essere raccolti i dati degli utenti, sapendo che questi possono dividersi in:

  • semplici dati personali (nome, cognome, telefono, e-mail, geo localizzazione ecc.);
  • dati sensibili (origine razziale od etnica, convinzioni religiose, filosofiche, opinioni politiche, appartenenza sindacale, relativi alla salute, alla vita o all’orientamento sessuale, dati genetici e i dati biometrici);
  • dati giudiziari (esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale, la qualità di imputato o di indagato, dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza).

Occorre poi verificare se si utilizzano, determinati form come quelli che andremo ad analizzare.

Form di registrazione

Il GDPR prevede che il consenso al trattamento dei dati personali debba essere raccolto con le seguenti caratteristiche:

  • informato;
  • specifico;
  • libero;
  • revocabile;
  • documentato.

Occorre quindi verificare con attenzione che i moduli di richiesta contatto (tutti non vi sono eccezioni) nel sito raccolgano il consenso evidenziando le caratteristiche prima citate. Se ne evince quindi che non è ammesso il consenso tacito o presunto e non si possono utilizzare caselle prespuntate su un modulo di raccolta dati.

Form di iscrizione a newsletter

I moduli utilizzati sui siti o anche in modalità cartacea che invitano gli utenti a iscriversi alle newsletter, o a richiedere informazioni o anche a registrarsi alla area riservata del sito, devono:

  • prevedere sempre ed obbligatoriamente caselle spuntabili dall’utente;
  • per non perdere efficacia le caselle devono essere impostate su “no” o essere vuote, ma non possono e non devono essere preimpostate sul “Si”.

Form di richiesta informazioni di un singolo oggetto

Il consenso, e quindi di conseguenza il suo modulo, per l’accettazione di termini e condizioni deve essere separato da quelli relativi ad altri modi di utilizzo dei dati.

Si prevederà, ad esempio:

  • un consenso solo per i termini e condizioni;
  • un consenso separato per l’iscrizione alla newsletter;
  • un consenso separato per il contatto commerciale;
  • un consenso separato per la profilazione

Di seguito un elenco non esaustivo dei moduli che è possibile incontrare sui vari siti e che devono essere gestiti secondo le regole appena citate:

  • form di richiesta di contatto;
  • form di conferma ordine;
  • form per l’inserimento di commenti;
  • form per l’inserimento di messaggi nel forum;
  • form di inserimento annunci;
  • in generale tutti i form in cui un utente può inserire dati.

Gestire i servizi di terze parti

Si passa poi con l’aiuto di un tecnico, se necessario, ad analizzare il sito con lo scopo di verificare quali servizi di terze parti, eventuali o meno, vengono utilizzati, ad esempio:

  • servizi di statistiche, come Google Analitycs, ShinyStat ecc.;
  • servizi di controllo funzionamento, come Google WebMasterTools ecc.;
  • servizi pubblicitari, come Google AdWords, Google AdSense, The Monitezer, Pixel di Facebook ecc.;
  • servizi antispam, come Google ReCaptcha;
  • servizi di condivisione su social network, come “Mi piace” di Facebook, condivisione su Facebook, condivisione su Twitter, condivisione su GooglePlus, “+1” di GooglePlus ecc.;
  • servizi vari, come il meteo, GoogleMaps, YouTube, Vimeo ecc.;
  • servizi di live chat;
  • servizi di pagamento, come ad esempio PayPal, interfacciamento a Banche esterne, Pay with Google ecc.;
  • in generale tutti i servizi esterni incorporati nel sito web.

Se qualcuno di questi servizi, che sono solo un breve esempio, viene utilizzato occorre decidere con il titolare e con il gestore del sito se tenere attivi questi servizi sul sito web nel qual caso diventa obbligatorio includerli nella privacy policy e cookie policy.

Se il sito non raccoglie dati degli utenti si può decidere di non attivare il banner cookie ma è comunque necessaria la cookie policy.

In base a quanto appena detto occorre creare il documento privacy policy in base all’analisi effettuata e con esso occorre creare il documento cookie policy.

Attenzione e studio diverso e più meticoloso va gestito se siamo di fronte ad un sito di e-commerce in tal caso occorre rispettare la legislazione specifica e sviluppare documenti necessari che informano gli utenti di termini e condizioni di utilizzo e di acquisto del tuo sito.

L’accettazione della privacy policy va inserita in tutti i form presenti sul tuo sito web rendendo obbligatoria la spunta da parte dell’utente, verificare soprattutto nei consensi che vengono mostrate tutte le accettazioni disponibili sul sito, e che sia sempre abilitato il clicca sull’accettazione relativa alla Privacy Policy. In questo modo hai associato l’accettazione della privacy policy al form.

Gestire le aree private del sito web

Sui siti/portali web spesso si incontra la voce di menu o l’area dedicata che viene indentificata come area riservata. Stiamo parlando di un’area dove è possibile accedere solo previa registrazione da parte dell’utente e accettazione della procedura di registrazione da parte dell’amministratore delle aree private.

Queste aree devono comunque essere gestite con informativa e consenso, infatti in questi form si rilasciano dati personali[1] che devono essere sottoposti a tutela.

Si verifichi in fase di ispezione i dati richiesti al fine di garantire che almeno in fase di registrazione non vi sia una richiesta di dati eccedente la normale proporzionalità[2] rispetto alla funzione che si sta attivando.

Gestire una eventuale newsletter

Sempre più spesso si incontra sui siti internet, ma a volta anche in modo autonomo e senza l’ausilio di strumenti informatici, la fase di richiesta di dati a fini di poter poi inviare attività di marketing riconducibili ad attività di profilazione[3].

In questi casi occorre uno studio serio per verificare che la raccolta di questi dati sia effettuata previa consenso specifico e firmato da poter poi esibire in caso di contestazione. Ricordarsi che in caso di raccolta di dati come newsletter, aree private o quant’altro occorre sempre rendere visibile anche la possibilità di cancellazione dalle eventuali liste.

Gestire eventuali attività promozionali (carte punti)

Se il cliente effettua raccolte punti utilizzando o meno schede promozionali si deve prestare attenzione al fatto che questa attività ricade a pieno titolo nella configurazione denominata profilazione e per giunta a fini commerciali espliciti, occorre quindi che questo passaggio sia chiaramente indicato nell’informativa e nel relativo consenso.

Questa attività ricade pienamente nelle attività più volte definite di profilazione, che quindi consta di tre elementi fondamentali:

  1. un trattamento automatizzato;
  2. eseguito su dati personali;
  3. con lo scopo di valutare aspetti personali di una persona fisica.

Ovviamente non deve trattarsi di mero “tracciamento” dell’interessato che naviga online, ma di analisi per prendere decisioni che riguardano il soggetto oppure per analizzarne o prevederne le preferenze o i comportamenti.

Da ciò si evince che si è in presenza di profilazione in relazione allo scopo dei dati raccolti. Ad esempio, l’applicazione di sanzioni per eccesso di velocità, erogate sulla base delle immagini raccolte dagli autovelox non comporta alcuna valutazione di aspetti personali, per cui non costituisce profilazione.

Gestire i link per la cancellazione da eventuali sottoscrizioni

L’esistenza di link per la cancellazione automatica dalle liste deve sempre essere visibile ed attivo e la cancellazione deve avvenire in tempo reale rispetto alla richiesta.

A fronte dell’operazione di cancellazione si deve prestare attenzione a che i dati siano cancellati effettivamente sui data base di riferimento.

Naturalmente si deve anche verificare che la richiesta di cancellazione comporta che a chi ne ha fatto richiesta non arrivino comunicazioni in data successiva alla cancellazione stessa. In caso di cancellazione si provvede a cancellare i dati e la posizione relativa a meno di eventuale documentazione che per ragioni legislative devono essere conservati per un determinato periodo.

NOTE

  1. Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica ecc.
  2. Il principio di necessità, in generale, insieme a quello di proporzionalità, è parte integrante della struttura del Regolamento ed accompagna qualsivoglia attività di elaborazione dei dati personali rientrante nell’applicazione del GDPR: le informazioni relative alle persone fisiche quindi non possono mai essere raccolte ed utilizzate indiscriminatamente. Ciò significa che i dati utilizzati devono essere limitati a quelli strettamente necessari rispetto allo scopo per cui gli stessi sono raccolti, scopo che deve, inoltre, essere stato precisamente comunicato prima della raccolta agli interessati. Se dei dati personali non servono, non devono neppure essere raccolti.
  3. Per profilazione si intende l’insieme delle attività di raccolta ed elaborazione dei dati inerenti agli utenti di un servizio, al fine di suddividerli in gruppi a seconda del loro comportamento (segmentazione). In ambito commerciale, la profilazione dell’utente è il mezzo che consente la fornitura di servizi personalizzati oppure l’invio di pubblicità comportamentale.
WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

@RIPRODUZIONE RISERVATA

Articolo 1 di 5