gdpr, cookie e norme di legge
gdpr

Informazioni sulla privacy, sui cookie e sulle informazioni societarie da utilizzare per i siti internet

Quanto esposto in questa pagina contiene delle semplificazioni ed è soggetto a revisione periodica in base a nuove informazioni disponibili. Il testo è frutto di studio ed esperienza, serve per aiutare a capire quali siano le richieste della legge, ma solo un esperto legale può stabilire cosa sia giusto per ogni singola azienda

Il diritto alla privacy


Premessa, maggio 2018: il regolamento europeo della protezione dei dati personale (GDPR, General Data Protection Regulation) non riguarda solo i siti internet ma qualsiasi acquisizione di dati personali.

GDPR: regolamento europeo sul trattamento dei dati personali

Il GDPR è una normativa europea per “tutelare i diritti alla privacy delle persone fisiche”. Stabilisce le procedure di gestione dei dati, la trasparenza, la documentazione e il consenso dell’utente. L’elaborazione di dati personali non è consentita senza un consenso preventivo. Il consenso sarà valido se manifestato in modo non equivoco.

Cosa si intende per consenso

Al punto 32) del GDPR leggiamo: il consenso viene espresso mediante un atto inequivocabile con il quale l’interessato manifesta l’intenzione libera e informata di accettare il trattamento dei dati personali. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web o la chiusura di un evidente banner informativo. Non è consenso il “non fare”, o la preselezione di caselle.

Cosa implica il GDPR nella gestione di un sito internet?

Occorre chiedersi se con il sito internet si acquisiscono “dati personali“. Il GDPR definisce dato personale “qualsiasi informazione riguardante una persona fisica identificabile; si considera identificabile la persona fisica che può essere individuata con nome, ubicazione, un identificativo online o altri elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale“.

Cambia qualcosa per la norma sui Cookies?

La “cookie policy” stabilita nel 2015 resta perfettamente valida. Con tutti i dubbi per la disattivazione preventiva di eventuali cookie.

Come deve essere scritta la pagina web della Privacy?

Il GDPR richiede una semplificazione valida per tutta la documentazione pubblica: “Le informazioni destinate al pubblico devono essere concise, facilmente accessibili e di facile comprensione” GDPR, punto 58). Quindi vanno rimosse le incomprensibili pagine lunghe e illeggibili.

I tre casi dell’applicazione del regolamento (GDPR – CAPO I – Articolo 3)

“Il presente regolamento si applica al trattamento dei dati personali … quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi, indipendentemente dall’obbligatorietà di un pagamento; oppure riguardano il monitoraggio del comportamento di una persona fisica”.

Acquisiamo dati per una Newsletter o con l’E-commerce?

Bisognerebbe:
– Conservare la dimostrazione del consenso all’acquisizione dati, programmare il tempo di conservazione degli stessi
– Un interessato ha il diritto di rettifica dei dati personali e il diritto di cancellazione degli stessi
– Necessita la documentazione del consenso e comunicazione dell’uso dei dati personali agli interessati
– Necessita avere procedure di salvaguardia dati e saper gestire l’obbligo di notifica delle violazioni
– Nominare un responsabile della sicurezza e della privacy in azienda (DPO – Data Protection Officer). Il responsabile è comunque il titolare dell’azienda.
– Verificare il flusso extraeuropeo dei dati se si usano servizi cloud (Mailchimp, o Google… o Microsoft…)
Ma senza analisi chiare, sui singoli casi, diventa difficile regolarizzarsi. Certamente la legge è indirizzata alle grandi aziende. Al punto 13) del GDPR, leggiamo: “Per tener conto della specifica situazione delle micro, piccole e medie imprese, il presente regolamento prevede una deroga per le organizzazioni che hanno meno di 250 dipendenti per quanto riguarda la conservazione delle registrazioni. Inoltre, le istituzioni e gli organi dell’Unione e gli Stati membri e le loro autorità di controllo sono invitati a considerare le esigenze specifiche delle micro, piccole e medie imprese nell’applicare il presente regolamento”.

Cosa fare con dati personali raccolti precedentemente

Si consiglia di inviare una comunicazione chiara ed esplicita che ricordi agli interessati la presenza dei loro dati personali e l’autorizzazione degli stessi all’utilizzo di tali dati.

Dati personali e dati aziendali

Le informazioni aziendali non sono un dato personale. Acquisire mail tipo info@nomeazienda.com non ha riferimenti con il trattamento della privacy (salvo casi particolari). Da interpretare è la gestione di mail del tipo mario.rossi@nomeazienda.it, in questo caso potremmo avere a disposizione dei dati personali. Il punto 44) nel GDPR specifica però che il trattamento dei dati è considerato lecito se è necessario nell’ambito di un contratto o ai fini della conclusione di un contratto. Per estensione credo che possiamo stare tranquilli con le mail aziendali utilizzate per lavoro.

Sulle sanzioni in merito al mancato rispetto del regolamento

Online si leggono multe dalle cifre iperboliche, ma sono tetti massimi stabiliti. Il regolamento raccomanda una sanzione pecuniaria proporzionale alla colpa con criteri stabiliti in autonomia dai singoli Stati tenendo conto di tutte le circostanze, in particolare della gravità e durata dell’infrazione, delle conseguenze e dell’effettivo dolo – GDPR, punti 149) e 150).
In pratica la Legge Italiana dovrà fare le norme attuative e stabilire i criteri per le sanzioni.

Cose da fare, per tutti
Questo non dipende dal sito internet, chiunque viene in possesso di dati personali, deve anche garantire la protezione degli stessi

  1. Fate un elenco dei dati personali che avete, risalendo a come sono stati acquisiti e verificando che gli interessati ne siano a conoscenza
  2. Fate un’analisi dei rischi. Chiedetevi se e come possono esservi sottratti i dati personali che possedete.
    Non potete semplicemente pensare che non ci sono rischi, basatevi su: https://it.wikipedia.org/wiki/ISO_31000
  3. Scrivete la procedura che adotterete in caso di furto dei dati
  4. Proteggete i dati memorizzati sui computer con crittografia, aggiornamenti di software e antivirus di buona qualità.
  5. Fate un piano di adeguamento. Se la vostra ditta è in continuo sviluppo o non può riuscire ad adeguarsi immediatamente, scrivete come e cosa intenderete fare per adeguarvi.

Alcune agenzie cercheranno di vendervi software o consulenza, magari è utile ma non è obbligatorio. Non ci sono obblighi capestro per le aziende, serve una presa di coscienza che i dati personali non possono essere usati liberamente o conservati senza precauzioni.

ALTRI OBBLIGHI DI LEGGE


PARTITA IVA
sulla HOME PAGE di ogni sito deve essere presente la Partita Iva dell’azienda proprietaria.

Obbligo di pubblicazione di INFORMAZIONI LEGALI
Ogni sito deve riportare i dati identificativi dell’azienda proprietaria. La legge riguarda qualsiasi spazio su cui un’azienda ottiene visibilità online, anche sui social network.

Informazioni che suggeriamo di pubblicare per Società di capitali:

– ragione sociale e sede legale
– l’ufficio del registro delle imprese ove è iscritta e il numero di iscrizione
– codice fiscale, partita iva e numero R.E.A.
– indirizzo di posta elettronica certificata
– eventuale stato di liquidazione della società a seguito dello scioglimento
– il capitale effettivamente versato e quale risulta esistente dall’ultimo bilancio
– lo stato di società con unico socio (per le s.p.a e le s.r.l. “unipersonali”)

Informazioni che suggeriamo di pubblicare per Ditte individuali:

– ragione sociale e sede legale
– codice fiscale e partita iva
– numero di iscrizione REA
– indirizzo di posta elettronica certificata

NOTE PER E-COMMERCE


Maggiorazioni
È vietato applicare maggiorazioni sulle tariffe applicate nel caso in cui l’acquirente scelga di pagare attraverso carte di credito, o forme di pagamento elettroniche.

Informativa
Il commerciante è tenuto a fornire informazioni il più chiare e complete possibili: caratteristiche del prodotto o servizio, prezzo totale, identità e indirizzo del venditore, modalità di pagamento, termini del diritto di recesso.

Recesso
Da quando l’acquirente riceve la merce, su hanno 14 giorni di tempo per ripensarci. Dalla data di comunicazione della volontà di restituire la merce, l’acquirente ha altri 14 giorni a disposizione per rispedire i prodotti acquistati. In questi 14 giorni il venditore deve provvedere a rimborsare la somma versata dall’acquirente, comprensiva dei costi di spedizione. Se i rivenditori intendono addebitare al cliente i costi della restituzione sono obbligati a specificarlo in anticipo. Se il venditore non adempie all’obbligo d’informativa al consumatore sul diritto di recesso al momento della vendita, il limite del diritto di recesso viene prolungato di 12 mesi e il bene può essere restituito anche se danneggiato, senza alcuna responsabilità nemmeno sul minor valore.

Newsletter pubblicitarie

E’ contro la legge spedire newsletter promozionali senza un CHIARO ed ESPLICITO consenso. 
Da una comunicazione del Garante, luglio 2016.

“No alle newsletter promozionali senza consenso. È quanto ha riaffermato il Garante per la privacy affrontando il caso di un utente che lamentava la ricezione sulla propria mail di una newsletter a carattere promozionale proveniente dall’indirizzo di posta elettronica di una società che opera nell’e-commerce… La comunicazione, giunta all’utente dopo l’acquisto on line di alcuni prodotti sul sito della società, era stata inviata senza che avesse fornito un esplicito e specifico consenso al ricevimento di materiale pubblicitario. Una procedura più volte sanzionata dall’Autorità perché in aperta violazione con quanto stabilito dal Codice sulla protezione dei dati personali.

Dalle verifiche effettuate dall’Autorità sul sito dell’azienda è emerso che gli utenti non solo non potevano esprimere uno specifico consenso per le finalità di marketing ma erano per di più impossibilitati a procedere all’acquisto di un prodotto senza aver prima fornito un generico consenso al “trattamento dei dati personali”. Inoltre, dai riscontri è risultato che anche l’informativa fornita dalla società presentava profili di inidoneità, non specificando le modalità di contatto per lo svolgimento di attività a contenuto promozionale.

Il Garante ha quindi vietato alla società l’ulteriore trattamento per finalità di marketing dei dati personali raccolti in assenza di idonea informativa e di consenso legittimamente manifestato, imponendole, inoltre, la riformulazione del form con il quale si chiede il consenso, l’integrazione del testo con le modalità utilizzate per il contatto promozionale e, infine, l’adozione delle misure opportune affinché la manifestazione del consenso da parte degli interessati al trattamento per finalità di marketing non sia condizione necessaria per il perfezionamento dell’acquisto tramite sito web…”

Aggiornamento 24 giugno 2022