Strumenti

Shape 5 Live Search

logo

La normativa in materia di protezione dei dati personali si applica in tutti i casi in cui vi è un trattamento dei dati personali. Un privato che effettua un trattamento di dati a fini personali non è soggetto alla normativa in materia, ma la Corte di Giustizia europea ha chiarito che la pubblicazione online di dati costituisce sempre trattamento ai sensi della normativa in materia di tutela dei dati personali, determinando la possibilità di accedere a tali dati da parte di un numero elevato ed indeterminato di persone (stiamo parlando, infatti, di diffusione). 

In tale prospettiva, quindi, chi gestisce un sito web tratta sempre dati personali. Ad esempio la mail fornita da un utente quando compila un modulo online, ma anche i dati raccolti dal server (indirizzo IP, dati di navigazione) nel suo normale funzionamento, oppure quelli raccolti da Google Analytics. Ovviamente si deve considerare l'attività concreta al fine di stabilire a quali oneri esso va soggetto. 

 

Informativa

Il titolare del sito deve, innanzitutto, fornire agli utenti le informazioni sui dati raccolti dal sito e sulle finalità della raccolta. Tali informazioni vengono fornite tramite l'informativa sulla privacy. L'informativa deve contente gli elementi indicati dalla normativa e deve essere facilmente accessibile agli utenti, in genere tramite un link nella pagina. 

 

Base giuridica del trattamento

Per poter raccogliere e trattare i dati occorre una specifica base giuridica, che può essere il consenso dell'utente ma anche una diversa condizione che legittimi il trattamento. Ad esempio, nel caso di un sito di eCommerce non occorre un consenso al trattamento dei dati poiché la base giuridica è l'adempimento di un obbligo contrattuale (il contratto di compravendita). Questo purché i dati raccolti siano quelli essenziali per la fornitura del servizio e non siano eccedenti (cioè non siano raccolti dati non necessari) e i dati siano utilizzati solo per la fornitura del servizio. In caso contrario, cioè ad esempio se si vogliono utilizzare i dati (es. mail) anche per altri motivi (es. invio di pubblicità) occorrerà un consenso specifico per tale finalità, e tale raccolta e finalità dovranno essere esplicitate nell'informativa. 

 

Moduli (form) 

Un modulo (form) è utilizzabile per varie finalità, per l'iscrizione al sito, oppure per richiedere informazioni, o anche per l'iscrizione ad una newsletter. Nello strutturare il form è impotante rispettare il principio di essenzialità, il quale richiede che i dati raccolti (e quindi chiesti all'utente) siano limitati a quelli strettamente essenziali per la fornitura dello specifico servizio. Bisogna stare attenti, quindi, a non richiedere dati ulteriori solo perché domani potrebbero essere utili, tanto più che l'utilizzo di dati per una specifica finalità è comunque soggetto ad un consenso specifico che va spiegato nell'informativa al momento della raccolta del dato. In assenza di consenso specifico comunque quel dato non potrebbe essere utilizzato. 

 

Consensi separati

Il consenso occorre per il trattamento dei dati, ma deve essere specifico, cioé collegato alla finalità. Per cui se il sito presenta un form per l'iscrizione al sito, e i dati vengono utilizzati per l'invio di una newsletter e per la profilazione degli utenti a fini di marketing (o solo per l'invio di pubblicità commerciale), occorrono tre consensi separati per le singole finalità, con check box non preselezionate. L'utente potrà così selezionare solo le caselle che ritiene, e in tal modo il suo sarà un consenso veramente libero e quindi conforme alla normativa sulla preotezione dei dati personali. 

 

Google Analytics

Nel caso in cui i dati siano passati a terze parti, occorre informare gli utenti e raccogliere il loro consenso. L'esempio più comune si ha utilizzando i servizi di statistica (analytics), come Google Analytics, al fine di creare report basati sui dati. Google Analytics, ad esempio, è utilizzabile senza problemi nel caso si operi l'anonimizzazione del servizio, in questo modo non occorrerà alcun consenso dell'utente, ma solo indicarlo nell'informativa. 
Potremmo, però, voler attivare le funzioni avanzate: 

- metrica utenti
- rapporti dati demografici
- Remarketing

In questo caso dobbiamo informare l'utente e ottenerne il consenso specifico. 

 

 ***

 

Di seguito si segnalano alcuni strumenti utili per minimizzare la raccolta dei dati nella gestione di un sito web. 

 

Plugin sociali

Shariff plugin (social button) per CMS (Joomla, Wordpress, Drupal)

I plugin sociali, come i Like di Facebook, sono estremamente invasivi perchè raccolgono dati personali degli utenti che navigano nel sito che li propone, e inviano cookie già al momento della visita, documentando le abitudini del visitatore, senza che questi ne sia avvertito. Siamo, quindi, in presenza di una vera e propria profilazione. Per tale motivo la Cookie Law impone il blocco preventivo dei cookie inviati da tali plugin.
Un modo per ovviare al problema del blocco preventivo e, nel contempo, tutelare i diritti dei visitatori, è quello di utilizzare plugin sociali che non utilizzano cookie, come i plugin Shariff. Il plugin presenta i classici pulsanti per i principali servizi online, e solo nel momento in cui il pulsante viene cliccato, si attiva il plugin e invia le informazioni necessarie per condividere l'articolo. Se il pulsante non viene cliccato nessuna informazione è condivisa con i server del servizio online. Usando tali plugin non occorre bloccare i cookie ma comunque occorre indicarli nell'informativa. 

 

Video YouTube con opzione privacy avanzata

Per impedire che Google memorizzi le informazioni relative ai visitatori delle pagine dove sono presenti video embeddati da YouTube, è possibile impostare l'opzione "privacy avanzata (no cookie)". In tal modo la pagina non veicola cookie, a meno che gli utenti non riproducano volontariamente il video. 

 

youtube nocookie

 

***

 

Altri strumenti utili per mettere a norma il sito web. 

Gestione cookie


GDPR
(Joomla)

Plugin (a pagamento) che blocca selettivamente i cookie fino a consenso, consentendo la revoca del consenso. Permette di esportare o cancellare i profili utente, e la gestione della notifica di un data breach, oltre ad altre funzionalità. 

GDPR (Wordpress) 
Plugin (a pagamento) che blocca selettivamente i cookie fino a consenso, consentendo la revoca del consenso. Permette di esportare o cancellare i profili utente, e la gestione della notifica di un data breach, oltre ad altre funzionalità.