La normativa in materia di protezione dei dati personali si applica in tutti i casi in cui vi è un trattamento dei dati personali. Un privato che effettua un trattamento di dati a fini personali non è soggetto alla normativa in materia, ma la Corte di Giustizia europea ha chiarito che la pubblicazione online di dati costituisce sempre trattamento ai sensi della normativa in materia di tutela dei dati personali, determinando la possibilità di accedere a tali dati da parte di un numero elevato ed indeterminato di persone (stiamo parlando, infatti, di diffusione).
In tale prospettiva, quindi, chi gestisce un sito web tratta sempre dati personali. Ad esempio la mail fornita da un utente quando compila un modulo online, ma anche i dati raccolti dal server (indirizzo IP, dati di navigazione) nel suo normale funzionamento, oppure quelli raccolti dai vari servizi digitali inseriti nel sito (come Google Analytics ad esempio). Ovviamente si deve considerare l'attività concreta al fine di stabilire a quali oneri esso va soggetto.
Informativa
Il titolare del sito deve, innanzitutto, in ossequio al principio di trasparenza, fornire agli utenti le informazioni sui dati raccolti dal sito e sulle finalità della raccolta. Tali informazioni vengono fornite tramite l'informativa sulla privacy che deve contenere gli elementi indicati dalla normativa, deve essere scritta in linguaggio chiaro e comprensibile, e deve essere facilmente accessibile agli utenti, in genere tramite un link nella pagina.
Base giuridica del trattamento
Per poter raccogliere e trattare i dati occorre una specifica base giuridica, che può essere il consenso dell'utente ma anche una diversa condizione che legittimi il trattamento. Ad esempio, nel caso di un sito di eCommerce non occorre il consenso al trattamento dei dati poiché la base giuridica sta nell'adempimento di un obbligo contrattuale (il contratto di compravendita). Questo purché i dati raccolti siano solo quelli strettamente necessari per la fornitura del servizio e non siano eccedenti, e i dati siano utilizzati solo per la fornitura del servizio. In caso contrario, cioè ad esempio se si vogliono utilizzare i dati (es. mail) anche per altri motivi (es. invio di pubblicità) occorrerà una base giuridica specifica per tale finalità, e tale raccolta e la sua finalità dovranno essere esplicitate ulteriormente nell'informativa.
Moduli di contatto (form)
Un modulo (form) è utilizzabile per varie finalità, per l'iscrizione al sito, oppure per richiedere informazioni, o anche per l'iscrizione ad una newsletter. Nello strutturare il form è impotante rispettare il principio di essenzialità, il quale richiede che i dati raccolti (e quindi chiesti all'utente) siano limitati a quelli strettamente essenziali per la fornitura dello specifico servizio. Bisogna stare attenti, quindi, a non richiedere dati ulteriori solo perché domani potrebbero essere utili, tanto più che l'utilizzo di dati per una specifica finalità è comunque soggetto ad un consenso specifico e separato che va spiegato nell'informativa al momento della raccolta del dato. In assenza di consenso specifico comunque quel dato non potrebbe essere utilizzato. E' necessario, quindi, far precedere il modulo dall'apposita informativa specifica per il modulo stesso.
Se il modulo di contatto viene utilizzato anche per ricevere curriculum, o per sollecitarne l'invio (es. lavora con noi), occorre predisporre l'apposita informativa correlata alla finalità specifica (selezione candidati).
Consensi separati
Il consenso occorre per il trattamento dei dati, ma deve essere specifico, cioé collegato alla finalità. Per cui se il sito presenta un form per l'iscrizione al sito, e i dati vengono utilizzati anche per l'invio di una newsletter e per la profilazione degli utenti a fini di marketing (o solo per l'invio di pubblicità commerciale), occorrono tre consensi separati per le singole finalità, con check box non preselezionate. L'utente potrà così selezionare solo le caselle che ritiene, e in tal modo il suo sarà un consenso veramente libero e quindi conforme alla normativa sulla protezione dei dati personali. Obbligare l'utente ad accettare il trattamento per finalità di marketing quando si iscrive alla newsletter non è ammesso.
Cookie e banner
La quasi totalità dei siti web utilizza dei cookie per vari scopi, principalmente veicolati da servizi terzi inglobati (es. like di Facebook) all'interno del sito. Molti di questi servizi possono essere opportunamente configurati per minimizzare la raccolta dei dati o addirittura per impedire tale raccolta almeno fino al momento in cui l'utente utilizzi effettivamente il servizio (es. tramite click). Laddove ciò è possibile è auspicabile che il gestore del sito, in qualità di titolare, imposti in tal modo tali servizi. In ogni caso, in presenza di cookie il titolare del trattamento deve predisporre l'apposito banner (informativa breve) con le indicazioni previste, e i link all'informativa, e la possibilità di impostare i cookie.
Servizi di terze parti
Nel caso in cui si vogliano utilizzare servizi di terze parti, occorre comunque impostare tali servizi per minimizzare la raccolta di dati, e quindi raccogliere il relativo consenso tramite il banner (informativa breve). Ad esempio nel caso di utilizzo di servizi di Google, Facebook o MailChimp.
***
Di seguito si segnalano alcuni strumenti utili per minimizzare la raccolta dei dati nella gestione di un sito web.
Plugin sociali
Jooag Shariff plugin (social button) per CMS (Joomla, Wordpress, Drupal)
I plugin sociali, come i Like di Facebook, sono estremamente invasivi perchè raccolgono dati personali degli utenti che navigano nel sito che li propone, e inviano cookie già al momento della visita, documentando le abitudini del visitatore, senza che questi ne sia avvertito. Siamo, quindi, in presenza di una vera e propria profilazione. Per tale motivo la Cookie Law impone il blocco preventivo dei cookie inviati da tali plugin.
Un modo per ovviare al problema del blocco preventivo e, nel contempo, tutelare i diritti dei visitatori, è quello di utilizzare plugin sociali che non utilizzano cookie, come i plugin Shariff. Il plugin presenta i classici pulsanti per i principali servizi online, e solo nel momento in cui il pulsante viene cliccato, si attiva il plugin e invia le informazioni necessarie per condividere l'articolo. Se il pulsante non viene cliccato nessuna informazione è condivisa con i server del servizio online. Usando tali plugin non occorre bloccare i cookie ma comunque occorre indicarli nell'informativa.
Servizi di Analytics
Recenti pronunce dei Garanti europei hanno messo in discussione la conformità di Google Analytics con le norme europee, problema che comunque sembra risolto con il Data Privacy Framework. In ogni caso esistono altri servizi di analytics che offrono configurazioni gratuite e conformi (occorre configurali in alcuni casi per la conformità) alle norme europee in materia di protezione dei dati personali:
- Matomo (offre servizio gratuito - on-premise - molto completo ma da installare in locale);
- ShinyStat (offre servizio grauito in cloud, ma limitato);
- Clicky (offre servizio gratuito in cloud limitato a 3000 pagine visitate al giorno).
Gestione cookie
GDPR (Joomla)
Plugin (a pagamento) che blocca selettivamente i cookie fino a consenso, consentendo anche la revoca del consenso. Permette di esportare o cancellare i profili utente, e la gestione della notifica di un data breach, oltre ad altre funzionalità. L'ultima versione è compatibile col Google Consent Mode.