Sito web: come rispettare la normativa privacy?

di Roberta Rapicavoli, Avvocato esperto in Information Technology e privacy e Docente Ethos Academy www.robertarapicavoli.it

Chi non dispone di un sito web oggigiorno? Ebbene, chi decide di essere online con un sito web per promuovere la propria immagine e attività tratta molteplici dati personali degli utenti ed è tenuto pertanto a conoscere e rispettare gli adempimenti prescritti dalla normativa privacy.

LA NORMATIVA DI RIFERIMENTO

La normativa nazionale di riferimento in materia di privacy è contenuta nel D. lgs. 196/2003 (“Codice privacy”) e nei Provvedimenti del Garante per la protezione dei dati personali. La disciplina privacy attualmente in vigore è però destinata ad essere sostituita. Dal 25 maggio 2018, infatti, troverà applicazione il Regolamento europeo in materia di protezione dei dati personali (Regolamento UE 2016/679, di seguito indicato anche come “Regolamento”) ed è inoltre in fase di definizione il Regolamento che andrà ad abrogare la Direttiva e-privacy da cui derivano, tra gli altri, gli articoli 122 e 130 del nostro Codice privacy (norme di riferimento, rispettivamente, in materia di cookie e di marketing).

QUALI DATI VENGONO TRATTATI CON UN SITO WEB

La normativa in materia di protezione dei dati personali trova applicazione nel caso in cui il titolare del sito tratti dati personali. Pertanto, prima di indicare quali siano in concreto i principali obblighi da osservare, occorre chiedersi cosa si intenda per dato personale e se, attraverso un sito, si trattino informazioni che siano qualificabili come tali. Quando si utilizza il termine “dati personali” si fa riferimento a qualunque informazione che consente di identificare, anche indirettamente, una persona fisica (si veda, sul punto, l’art. 4 del Codice privacy e l’art. 4 del Regolamento). In concreto allora, sono dati personali le informazioni – come nome, cognome e indirizzo email – fornite direttamente dall’utente quando compila apposito modulo di contatto e si configurano quali dati personali le informazioni – come pagine visitate, prodotti acquistati o lasciati nel carrello – raccolti attraverso cookie o strumenti analoghi. Ma anche se un sito non avesse alcun form di raccolta di dati e non utilizzasse cookie o strumenti analoghi, comunque ci sarebbe un trattamento di dati personali, in quanto sono tali anche quelle informazioni (come gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito), la cui trasmissione è implicita nell’uso dei protocolli di comunicazione di Internet, in quanto potrebbero permettere di identificare gli utenti attraverso elaborazioni ed associazioni con dati detenuti da terzi.

I PRINCIPALI ADEMPIMENTI

Un primo aspetto che il titolare di un sito deve considerare è costituito dall’obbligo di fornire agli utenti le informazioni sui dati oggetto di trattamento (il riferimento è all’art. 13 del Codice privacy e agli artt. 13 e 14 del Regolamento). Tale obbligo informativo si traduce, in concreto, nella gestione della privacy policy – rivolta a tutti gli utenti che accedono al sito web – e nell’inserimento di specifiche informative relative a trattamenti di dati per determinati richieste o servizi – si pensi, ad esempio, alla gestione di un form contatti o al modulo di iscrizione al servizio di newsletter. L’informativa deve contenere tutti gli elementi indicati dalla normativa e deve essere chiara e facilmente accessibile agli utenti (inserendola direttamente nella pagina di interesse o rendendola raggiungibile attraverso apposito link).

CONSENSO AL TRATTAMENTO

Altro aspetto fondamentale che il titolare di un sito web deve considerare, per operare in linea con la normativa, è relativo alla necessaria sussistenza di una condizione che legittimi le operazioni di trattamento. Occorre cioè che l’utilizzo dei dati sia effettuato perché espressamente acconsentito dall’utente, oppure perché ricorra altra ipotesi a fronte della quale la legge ammette il trattamento dei dati – si pensi, ad esempio, al caso in cui lo stesso sia necessario per adempiere ad obblighi derivanti dalla legge o dal rapporto contrattuale di cui è parte l’interessato (si vedano gli artt. 23 e 24 del Codice privacy e l’art. 6 del Regolamento). Così, nel caso di un sito che venda online determinati prodotti, l’utilizzo dei dati rilasciati dall’utente in fase di acquisto (tra cui certamente: nome, cognome, email, codice fiscale, indirizzo di spedizione) non richiede alcun consenso se finalizzato unicamente a dare corso agli obblighi relativi all’acquisto del bene (quali: presa in carico dell’ordine, gestione magazzino, spedizione, fatturazione). Se invece il titolare volesse utilizzare l’indirizzo email dell’utente anche per ulteriori finalità (ad esempio per l’invio di comunicazioni promozionali), dovrà indicarlo nell’informativa ed acquisire, attraverso una dichiarazione o azione positiva (come, ad esempio, la spunta di apposita casella), il consenso libero e specifico dell’utente cui i dati si riferiscono – o, come stabilito dall’art. 8 del Regolamento, nel caso di minori che non abbiano ancora compiuto i 16 anni, dei genitori o di chi ne fa le veci.