La compliance privacy nei siti web ai tempi del Gdpr
L’impatto del Gdpr sui siti web è stato in questi anni spesso sottovalutato. Molti operatori del settore hanno pensato che la redazione di una semplice privacy policy potesse, in qualche modo, bastare a rendere conforme al Gdpr il sito web. Il processo di compliance di un sito web, invece, passa inevitabilmente per l’analisi approfondita del sito, delle componenti tecniche di cui è composto e dei dati che raccoglie e tratta.
La prima considerazione che occorre fare è legata a quali dati vengono raccolti dal sito e con quali modalità. Un sito web raccoglie molteplici tipologie di dati, sia attraverso i forms che l’utente può compilare, sia automaticamente solo per effetto della navigazione delle pagine che lo compongono. Inoltre, quasi tutti i siti web rilasciano i cookies, piccoli file di testo salvati sul computer dell’utente che servono per il funzionamento del sito o per raccogliere informazioni riguardanti l’utente stesso.
Una volta individuati quali dati il Titolare del trattamento raccoglie attraverso il sito, occorre definire come questi vengono raccolti, per quali finalità, per quanto vengono conservati e a chi vengono comunicati.
Sarà quindi necessario redigere, per ogni form presente nel sito e quindi per ogni finalità per la quale si raccolgono i dati, una specifica informativa ai sensi dell’art. 13 del Regolamento Europeo 2016/679. Bisognerà poi prevedere la raccolta del consenso per ogni attività di trattamento che lo richiede come condizione di liceità e predisporre un apposito sistema di conservazione di tale consenso a fini probatori.
(Nella foto: Roberta Piscedda, Consulente Direzionale presso Nextbit srl e Delegato Federprivacy nella provincia di Perugia)
Un altro principio contenuto nel Regolamento che influirà nella realizzazione e nella gestione dei siti web è quello della minimizzazione. Infatti, il Gdpr prevede che I dati personali debbano essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati. Questo principio comporta che i forms dovranno essere realizzati tenendo conto dei soli dati necessari al raggiungimento delle finalità dichiarate nella informativa.
L’utente deve essere informato anche circa i dati che il sito raccoglie automaticamente come l’indirizzo IP di collegamento e le pagine visitate da ciascun utente. A tal proposito, la Privacy Policy ha lo scopo di descrivere le modalità di trattamento dei dati personali degli utenti che visitano il sito e deve contenere le stesse informazioni richieste nell’ art.13 del Gdpr.
Per quanto riguarda la gestione dei cookies, l’arrivo del regolamento europeo porta con sé un forte cambiamento nella gestione del banner. Infatti, in virtù dei principi stabiliti nel Gdpr riguardanti il consenso, l’utente deve poter scegliere quali categorie di cookies accettare e deve poterlo fare prima che questi vengano scaricati nel proprio dispositivo.
Inoltre, dovendo il consenso essere informato, libero e specifico, il consenso relativo ai cookies deve essere distinto per ogni categoria (marketing, statistici, profilazione, etc..) e non preselezionato.
In conclusione, l’attività necessaria a rendere compliance al Gdpr un sito web non si può limitare alla predisposizione di informative standard ma deve passare attraverso un’analisi approfondita dei processi oggetto delle attività di trattamento dei dati personali raccolti attraverso il sito. Tale analisi non può che essere effettuata da un team in possesso di competenze trasversali (tecniche, organizzative e legali).
