Vediamo quali sono gli obblighi scaturenti dal GDPR ed in che modo è possibile adeguare il nostro sito Web alla nuova normativa in materia di dati personali. L’obiettivo di questo articolo, in particolare, sarà quello di fornire suggerimenti ed indicazioni pratiche per chi vuole mettere in regola il proprio sito Web ed evitare di incorrere in (pesanti) sanzioni a seguito dell’entrata in vigore del nuovo regolamento europeo in tema di privacy.
Premessa
L’articolo, per ragioni espositive, avrà una prima parte teorica ed una seconda di natura più pratica. E’ consigliabile non tralasciare la parte introduttiva in quanto indispensabile ad una piena comprensione degli aspetti operativi dell’adeguamento al GDPR.
È opportuno precisare che questo articolo non è – e non può essere inteso – come una consulenza legale, pertanto s’invita il lettore a valutarne prudentemente il contenuto per decidere se operare autonomamente o ricorrere all’ausilio di un professionista certificato (ipotesi caldamente consigliata qualora la gestione dei dati personali abbia un ruolo centrale nel proprio business).
Cos’è il GDPR?
Il GDPR (acronimo di General Data Protection Regulation, in italiano "Regolamento generale sulla protezione dei dati") è un regolamento della Commissione Europea (Regolamento UE 2016/679) col quale si è voluto effettuare un vasto intervento normativo in materia di dati personali, allo scopo di uniformare le legislazioni vigenti e di garantire una maggior tutela ai diritti dei cittadini e dei residenti nei confini della UE.
E’ importante precisare che il GDPR non riguarda esclusivamente la privacy on-line ma, più genericamente, il trattamento dei dati personali a prescindere dall’ambito – sia esso "analogico o digitale" – nel quale viene effettuato. Si tratta, pertanto, di un intervento generale che riguarda la Rete ma non si esaurisce in essa, in quanto è volto a regolare l’attività di tutti i soggetti che raccolgono o elaborano dati personali, sia on-line che off-line, di cittadini europei dentro e fuori l’Unione Europea.
GDPR: di cosa parleremo
Affronteremo la tematica legata agli adeguamenti imposti dal GDPR per chi gestisce un sito web, sia esso una community, un magazine, un blog, un sito aziendale o personale. Partendo dai principi generali scenderemo nei meandri della nuova regolamentazione per vedere, all’atto pratico, cosa fare per adeguarsi.
GDPR: di cosa non parleremo
Non parleremo di tutti gli aspetti non strettamente attinenti al nostro ambito, quindi, ad esempio, non discuteremo degli obblighi riguardanti l’off-line così come, per ragioni espositive, non ci occuperemo degli adempimenti previsti per particolari soggetti o per quelle attività dove la gestione dei dati personali richieda, per la sua natura, particolari attenzioni (non parleremo, ad esempio, di DPO – Data Protection Officer – e DPIA – Data Protection Impact assessment – in quanto la loro adozione non è generalizzata ma è limitata a casistiche specifiche).
In altre parole ci limiteremo ad affrontare solo i principi e gli obblighi di portata generale, evitando di far menzione di quelli che riguardano esclusivamente le realtà più "grandi" (come ad esempio le pubbliche amministrazioni o le grandi aziende) o che operano con dati sensibili (ad es. dati sullo stato di salute, sul reddito, ecc.). In tutti questi casi è fondamentale l’ausilio di un professionista e consigliabile valutare l’opportunità di una certificazione.
Quando entra in vigore il GDPR?
Il GDPR diventerà operativo a partire dal 25 maggio 2018. La norma in questione, essendo contenuta in un Regolamento UE, sarà direttamente operativa negli stati membri senza necessità di recepimento da parte dei parlamenti nazionali. Si tratta, pertanto, di un atto giuridico direttamente vincolante non solo per gli Stati ma anche per i singoli individui e le altre persone giuridiche (enti, società, ecc.) che, a partire dal 25 Maggio, dovranno adeguarsi obbligatoriamente alla nuova normativa.
GDPR: cosa succede se non mi adeguo?
Adeguarsi al GDPR non è una facoltà ma un obbligo. Il GDPR è una norma imperativa di natura comunitaria, assolutamente efficace e vincolante nei confronti di tutti i soggetti residenti in uno degli stati membri della UE.
Il mancato adeguamento ai dettami del GDPR può comportare sanzioni molto pesanti, con multe fino a 20 milioni di Euro o fino al 4% del fatturato dell’anno precedente (se da tale percentuale scaturisce una somma maggiore a 20 milioni).
L’autorità chiamata a garantire (e valutare) il rispetto del GDPR in Italia è il Garante della Privacy.
GDPR e normativa Italiana: cosa cambia rispetto al D.lgs 196/2003?
Nel caso dell’Italia, il GDPR andrà ad inserirsi nel quadro normativo tracciato dal D.lgs 196/2003 che, attualmente, costituisce le norma di riferimento in materia di trattamento di dati personali. Con l’avvento del GDPR la norma citata verrà integrata da nuovi obblighi ed, in parte, derogata (ove non compatibile col nuovo regolamento europeo).
Vediamo, di seguito, quali sono le principali innovazioni che verranno introdotte a seguito dell’entrata in vigore del Regolamento 2016/679.
In sintesi il GDPR introduce una serie di nuovi principi, cioè:
- Privacy by design
- Privacy by default
- Accountability
- Data breach
- Diritto all’oblio
Oltre ai principi appena citati, il GDPR introduce nel nostro ordinamento numerose altre novità in tema di:
- raccolta e validità del consenso dell’interessato (con importanti ripercussioni sulle modalità di redazione della privacy policy);
- raccolta, elaborazione e conservazione dei dati (con implicazioni sul tema della sicurezza informatica).
Vediamo nel dettaglio di cosa stiamo parlando.
I principi di "Privacy by design" e "Privacy by default"
In linea di massima possiamo dire che il GDPR, seppur con una certa approssimazione (che lascerà non pochi dubbi in fase applicativa) traccia un perimetro molto netto e rigoroso statuendo alcuni principi di portata molto ampia e di natura decisamente innovativa.
Tra questi principi, un posto di primo piano è riservato ai concetti di "Privacy by design" e "Privacy by default", i quali impongono al titolare del trattamento una protezione dei dati fin dalla progettazione del database e per impostazione predefinita, così come previsto nell’art.25 del Regolamento UE:
Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita – 1.Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati. 2.Il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica (…)
Vediamo, di seguito, come devono essere intesi i concetti esplicitati in questo articolo del regolamento UE:
- Privacy by design: viene introdotto il concetto di "privacy by design", cioè l’onere, per chi costruisce un database di informazioni personali, di organizzarlo e strutturarlo avendo ben in mente gli obblighi imposti dalla nuova normativa: eventuali problemi legati alla riservatezza dei dati, in altre parole, vanno prevenuti (e non corretti!) utilizzando tecniche adeguate come la pseudonimizzazione dei dati. In altre parole, qualora un soggetto intenda trattare dati altrui, deve prevedere un sistema che, sin dall’inizio dell’attività, riduca al minimo i rischi di una possibile violazioni dei dati raccolti.
- Privacy by default: la quantità di dati raccolti ed il tempo di loro conservazione non deve eccedere il minimo necessario all’espletamento delle finalità perseguite dal trattamento. In quest’ambito diventa centrale il concetto di minimizzazione, cioè quel principio che impone la riduzione al "minimo indispensabile" dei dati richiesti obbligatoriamente in fase di iscrizione ad un servizio secondo i principi di necessità, pertinenza, adeguatezza e non eccedenza rispetto alle finalità dichiarate.
La responsabilità (accountability)
Uno degli elementi centrali della nuova normativa introdotta dal GDPR è il principio di accountability (impropriamente tradotto in italiano come "responsabilità del titolare del trattamento").
Questo principio è sancito dall’articolo 24:
Articolo 24 – Responsabilità del titolare del trattamento – 1. Tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento. Dette misure sono riesaminate e aggiornate qualora necessario. (…)
Il citato articolo prevede che il titolare del trattamento è tenuto ad adottare politiche e misure adeguate per garantire e dimostrare che il trattamento dei dati personali è conforme a quanto previsto dalla nuova normativa. Il principio di accountability, quindi, prevede che il titolare non debba solo adempiere, ma anche provare ogni singolo adempimento.
Un altro elemento centrale del principio di accountability è la discrezionalità (la norma parla di "misure tecniche e organizzative adeguate"): il titolare del trattamento, infatti, è libero di decidere quali modalità adottare per la protezione dei dati personali (il GDPR non offre alcun elenco tassativo) ma, allo stesso tempo, tale discrezionalità è accompagnata dall’onere di dimostrare le motivazioni delle proprie scelte (oltre che di documentarle).
Notifica delle violazioni (data breach)
Un altro elemento fortemente innovativo del GDPR riguarda il data breach, cioè il comportamento da tenersi in caso di violazioni a carico dei dati.
Il riferimento normativo del data breach è contenuto nell’articolo 33:
Articolo 33 – Notifica di una violazione dei dati personali all’autorità di controllo – 1. In caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo. (…)
In altre parole, il GDPR impone al titolare del trattamento di effettuare un controllo costante dei dati e di comunicare tempestivamente alle autorità competenti eventuali violazioni dei dati; tale comunicazione può essere omessa solo se la violazione subita non sia tale da comportare rischi morali e/o materiali per i soggetti coinvolti.
Diritto all’oblio
Con l’entrata in vigore del GDPR vi sono novità sostanziali anche per il cosiddetto diritto all’oblio.
Con il GDPR, infatti, questo diritto assume una veste normativa (Articolo 17) che ne determina, con una certa precisione, l’ambito di applicazione ed anche i casi nei quali può legittimamente essere escluso (come, ad esempio, qualora sussista un diritto di cronaca).
GDPR e siti web: aspetti centrali della nuova normativa
Il nuovo Regolamento UE 2016/679 prevede una serie di oneri in capo ai gestori di siti web, indipendentemente che si tratti di motori di ricerca, social network, magazine, blog o piccoli siti aziendali: Il GDPR si applica a tutti i siti web che, in qualche modo, effettuano il trattamento di dati personali di cittadini e/o residenti nei confini dell’UE.
In altre parole, siete tenuti ad adeguare il Vostro sito web alla normativa del GDPR qualora il vostro sito soddisfi entrambi i seguenti requisiti:
- il sito web effettua trattamento di dati personali;
- il sito web è di proprietà di un soggetto UE e/o tratta dati personali di soggetti UE.
Se ad uno solo dei citati requisiti potete rispondere "no" allora potete smettere di leggere e dedicare il vostro tempo a qualcosa di più divertente. Se non è così, purtroppo per voi, è opportuno proseguire nella lettura.
Una precisazione importante: se alla seconda domanda è facile rispondere, la prima potrebbe sollevare qualche dubbio: quando un sito web effettua trattamento di dati personali?
In realtà è molto semplice rientrare in questa casistica: è sufficiente, infatti, avere un modulo per i contatti o uno strumento di misurazione degli accessi per finire – almeno teoricamente – tra le maglie del GDPR. Per rispondere in maniera più precisa, tuttavia, è bene definire il concetto di dato personale.
Cosa s’intende per "dati personali"?
Il concetto di "dati personali" ha assunto, nel tempo, un’accezione piuttosto ampia. Può essere definito dato personale qualsiasi informazione (nome, codice fiscale, indirizzo, data di nascita, numero telefonico, ecc.) riguardante una persona fisica identificata o identificabile, anche indirettamente, oppure informazioni riguardanti una persona la cui identità è nota o può comunque essere accertata mediante informazioni supplementari.
Secondo questa definizione, oggi comunemente condivisa, possono essere qualificati come dato personale anche informazioni, tipicamente usate nel mondo digitale, quali email, IP, cookie e fingerprint.
Alla luce di questa precisazione possiamo dire che il 99% dei siti web, in qualche modo, direttamente o indirettamente, effettua un trattamento di dati personali e, quindi, è tenuto ad adeguarsi alla nuova normativa europea del GDPR.
L’importanza del consenso nel GDPR
Uno dei nodi centrali della nuova normativa è il consenso dell’interessato. Il GDPR definisce il consenso (articolo 4) come una "manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento".
Il consenso, per essere valido, deve essere libero, cioè dovrà anche essere incondizionato. L’articolo 7 (par. 4) prevede che "Nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto". In altre parole: il consenso è inefficace (quindi NON è valido) se l’esecuzione di un contratto o la prestazione di un servizio è subordinata al consenso, pur non essendo quest’ultimo indispensabile per tale esecuzione.
Non sarà più possibile, quindi, pretendere l’accettazione del trattamento dei dati personali per l’esecuzione di un servizio a meno che tali dati non siano effettivamente necessari!
Oltre ad essere libero ed incondizionato, il consenso dell’interessato deve essere preventivo, esplicito ed informato.
- Preventivo – l’interessato deve prestare il proprio consenso prima che il trattamento abbia inizio e non successivamente;
- Esplicito – l’accettazione del trattamento deve essere esplicita e non può ritenersi sottintesa;
- Informato – l’interessato deve essere adeguatamente informato sui suoi diritti e sulle finalità del trattamento, in particolare il titolare del sito web deve fornire all’interessato, in modo chiaro e intellegibile, le seguenti informazioni:
- quali dati vengono raccolti;
- con quali modalità avviene il trattamento;
- chi effettua il trattamento;
- quali sono le finalità del trattamento;
- per quanto tempo vengono conservati i dati;
- in quale modo l’interessato potrà accedere ai propri dati per effettuare modifiche e/o richiederne la cancellazione;
- quali sono i diritti dell’interessato in relazione ai propri dati;
- ecc.
Un altro obbligo previsto dal GDPR riguarda la prova del consenso: in altre parole, il titolare del sito web deve essere in grado di dimostrare l’avvenuto consenso da parte dell’interessato (ad esempio registrando l’indirizzo IP ed il momento del click sul pulsante "Accetto"). Tale prova deve essere disponibile per tutto il periodo in cui perdura il trattamento e, una volta che questo sia cessato, può essere conservata per il tempo strettamente necessario a rispondere ad obblighi di legge e/o per far valere in giudizio un proprio diritto.
Sempre in relazione al consenso, il GDPR prevede che l’interessato possa negarlo e/o ritirarlo in ogni momento.
Raccolta, elaborazione e conservazione dei dati: cosa prevede il GDPR per i siti web?
Relativamente alla raccolta, all’elaborazione e alla conservazione dei dati, il GDPR prevede che il titolare del sito web riconosca sempre tre diritti fondamentali in capo all’interessato circa i dati di sua pertinenza:
- Diritto all’accesso – l’interessato deve essere messo nella condizione di poter accedere, in ogni momento, ai propri dati, al fine di poterne verificare la correttezza ed, eventualmente, modificarli.
- Diritto all’oblio (diritto di cancellazione) – come già detto all’inizio di questo articolo, il GDPR prevede un vero e proprio diritto all’oblio, cioè il diritto dell’interessato di ottenere la cancellazione dei propri dati in modo semplice o, meglio ancora, automatico mediante apposite funzioni disponibili online.
- Diritto di portabilità – l’articolo 20 del GDPR prevede la facoltà per l’interessato di chiedere ed ottenere una copia di tutti propri dati al fine di poterli portare presso un altro gestore di servizio (non è ancora chiaro in che modo, secondo quali modalità e standard tale diritto troverà effettiva applicazione; per maggiori informazioni si faccia riferimento a questo documento).
Adeguare un sito web al GDPR: cosa fare
Vediamo ora come procedere, da un punto di vista pratico, per adeguare un sito web alle nuove disposizioni in materia di privacy previste dal GDPR.
Questa seconda parte del nostro articolo avrà un approccio prevalentemente pratico ed intende descrivere comportamenti ed attività necessarie per la messa in regola di una serie di funzionalità/servizi comuni a numerosi siti web.
La sicurezza on-line in ottica GDPR
Uno dei principi generali del GDPR consiste nell’obbligo, per il titolare del trattamento, di adottare misure adeguate per la sicurezza dei dati. L’articolo 32 del Regolamento UE prevede, infatti, che vengano adottate misure di sicurezza idonee a "garantire un livello di sicurezza adeguato al rischio" del trattamento.
In questa espressione, volutamente generica, rientrano sicuramente tutte le attività necessarie per mettere in sicurezza il sito web, inteso quale strumento attraverso il quale dei malintenzionati potrebbero accedere a dati personali altrui.
Ma cosa significa mettere in sicurezza il sito web? Come possiamo essere certi che il nostro e-commerce è sicuro? Quando possiamo dire di aver fatto "tutto ciò che era ragionevolmente possibile fare" per mettere in sicurezza i dati trattati attraverso il nostro website?
Ovviamente non è facile rispondere in maniera generica, in quanto ogni sito web dovrebbe essere analizzato singolarmente per identificarne le possibili falle di sicurezza, in linea di massima, tuttavia, è possibile definire una checklist di attività da attuare per migliorare la sicurezza di ogni sito web.
- Passare a HTTPS – passare da HTTP ad HTTPS significa garantire che le informazioni in transito sulla Rete – dal client dell’utente al nostro sito web – siano criptate e non "in chiaro". Si tratta di una procedura piuttosto semplice: se avete un hosting condiviso sarà sufficiente richiedere al Vs. provider il passaggio ad una soluzione con SSL; se avete un server dedicato dovrete provvedere da soli ad installare un certificato SSL (ce ne sono anche di gratuiti).
- Aggiornare il server – una buona prassi è effettuare aggiornamenti periodici del vostro server, aggiornando il sistema operativo ed i vari componenti, come DBMS e linguaggi. Se il vostro sito è in hosting, non dovete fare nulla (al massimo potete chiedere informazioni al Vs. provider circa lo stato di aggiornamento del sistema).
- Aggiornare i CMS – se utilizzate dei CMS (come WordPress o Joomla) è determinante effettuare aggiornamenti periodici del core e di eventuali plugin installati.
- Implementare soluzioni per la sicurezza – se utilizzate un CMS come WordPress, potete installare qualche plugin per la sicurezza come, ad esempio, un plugin per limitare i tentativi di accesso falliti ad aree riservate, o per aggiungere un CAPTCHA (codice di sicurezza) a talune procedure come il login o il recupero password.
- Implementare la crittografia per i dati – quando il trattamento dei dati lo richiede, è opportuno valutare soluzioni di crittografia anche in fase di storage dei dati in modo da ridurre i rischi di furti di dati da parte di soggetti non autorizzati. Se operate con dati sensibili o gestite una grossa mole di dati è indispensabile valutare soluzioni di questo tipo.
Come detto, ogni sito web dovrebbe essere verificato singolarmente per poter identificare eventuali rischi ed adottare le necessarie contromisure. A seconda del tipo di trattamento effettuato, quindi, è opportuno verificare la necessarietà o meno di una valutazione di questo tipo ad opera di un esperto in sicurezza informatica.
Progettazione di un nuovo sito web in ottica GDPR
Qualora siate in procinto di sviluppare un nuovo sito web, e questo necessiti di effettuare il trattamento di dati personali, è opportuno (anzi indispensabile!) valutare sin da subito l’impatto del GDPR tenendo bene a mente i principi di "Privacy by design" e "Privacy by default" già esposti all’inizio di questo articolo.
Se avete optato per uno sviluppo su misura assicuratevi che il team incaricato sia a conoscenza della nuova normativa; se avete optato per un CMS assicuratevi che sia compatibile con i principi del GDPR.
Adeguare un sito web esistente ai principi del GDPR
Se avete già un sito web che effettua trattamento di dati personali è opportuno attivarsi quanto prima per effettuare una valutazione circa l’impatto del GDPR. Una volta identificate le criticità, bisognerà muoversi adottando gli opportuni correttivi.
Ma quali sono (o potrebbero essere) gli elementi "critici" di un sito web in ottica GDPR?
- Moduli di contatto – Quasi tutti i siti web hanno almeno un modulo di contatto. Si tratta di moduli HTML (form) con una serie di campi che l’utente deve compilare per entrare in contatto col gestore del sito web. Per rendere i Vs. moduli conformi al GDPR è importante, prima di tutto, aggiungere gli opportuni riferimenti – qualora non siano già presenti – alla Vostra informativa sulla privacy (che dovrà essere riscritta seguendo le direttive del GDPR): l’utente deve accettare esplicitamente il trattamento, ad esempio, mettendo la spunta sull’apposito checkbox. Una nota importante: in ottica GDPR è assolutamente vietato utilizzare controlli preselezionati per l’informativa privacy!. Si ricordi che se la finalità del modulo è consentire il contatto, i dati potranno essere trattenuti e gestiti solo fino all’espletamento di tale finalità e non oltre. E’ altresì vietato chiedere il consenso obbligatorio per trattamento di dati non necessari alla finalità indicata (in un modulo di contatto, ad esempio, è vietato richiedere obbligatoriamente dati quali il titolo di studio, la data di nascita, lo stato civile, ecc. a meno che non indispensabili per lo specifico scopo del contatto richiesto).
- Moduli di registrazione / Aree private – Se il Vs. sito web ospita moduli di registrazione, l’adeguamento al GDPR potrebbe essere tutt’altro che indolore. In questo caso è necessario verificare che il vs. sistema integri alcune funzionalità, e in particolare che sia sempre permesso all’utente:
- accedere ai propri dati;
- modificare i propri dati;
- modificare il proprio consenso in relazione al/i trattamento/i effettuati dal sito;
- cancellare la propria iscrizione (e tutti i propri dati).
- E-commerce – valgono le considerazioni appena fatte per i siti web che ospitano aree protette e sistemi di registrazione. Solitamente i negozi online, infatti, chiedono agli utenti di registrarsi per poter effettuare gli acquisti. In questo caso sarà necessario verificare, oltre alla sicurezza dell’applicativo, che i dati richiesti obbligatoriamente siano effettivamente necessari all’espletamento della finalità (la vendita). Sarà altresì indispensabile informare gli utenti di tutti i soggetti a cui verranno comunicati i dati (ad esempio il corriere che gestisce le spedizioni, l’intermediario per i pagamenti on-line, ecc.). Nel caso degli E-commerce, infine, è anche necessario verificare che l’applicativo non compia una qualche attività di profilazione dell’utenza (ad esempio per consigliare l’acquisto di determinati prodotti o servizi), in quest’ultimo caso, infatti, il GDPR pone oneri particolarmente gravosi.
- Sistemi di Analytics – Quasi tutti i siti web integrano un sistema di misurazione degli accessi. Il più famoso (ed utilizzato) tra questi è certamente Google Analytics. L’utilizzo di questo, come di altri strumenti aventi le medesime finalità, comporta solitamente una trattamento di dati personali in quanto, solitamente, viene registrato l’IP del visitatore ed associato ad una serie di azioni (come ad esempio le pagine visualizzate, i tempi di accesso, il referrer, ecc.). In questo caso le regole del GDPR ci obbligano ad informare adeguatamente l’utente prima del tracciamento (in altre parole la registrazione dell’IP di accesso dovrà avvenire dopo che l’utente ha prestato consenso nei modi e nei termini già visti in precedenza). In alternativa è consigliabile procedere all’anonimizzazione degli IP (per maggiori informazioni si legga qui), in quest’ultimo caso l’attività di Analytics assume valore statistico e non rientra più nella definizione di "dato personale".
- Banner pubblicitari – Sono moltissimi i siti e i blog nel mondo che mostrano banner pubblicitari ai propri utenti. Il sistema di monetizzazione più conosciuto e diffuso, per questo tipo di finalità, è sicuramente Google AdSense. Con l’entrata in vigore del GDPR, gli editori che utilizzano AdSense (o altri strumenti analoghi per la gestione degli spazi pubblicitari sul sito) dovranno apportare delle modifiche ai propri siti web, al fine di ottenere un consenso preventivo da parte dell’utente circa eventuali strumenti di profilazione e personalizzazione dei messaggi pubblicitari. In situazioni come queste, in modo analogo a quanto già accade con la Cookie Law, il gestore del sito web deve ottenere il consenso per un trattamento effettuato da soggetti terzi e consentire all’utente di accettare o meno tale trattamento, senza precludere l’accesso alle informazioni in caso di diniego (si noti che, di efault, tutti i cookie di profilazione – in quanto non necessari – devono essere disabilitati).
- Widget di terze parti – Anche l’utilizzo di widget come, ad esempio, mappe, video o pulsanti sociali, avrà un certo impatto in ottica GDPR. Anche in questo caso, infatti, il gestore del sito web è tenuto ad ottenere il consenso dell’utente circa eventuali operazioni compiuti dai soggetti terzi (cioè chi eroga il servizio incorporato nel sito per il tramite del widget). Ancora una volta l’utente deve essere messo in condizione di poter scegliere se accettare ogni singolo trattamento (ad esempio: l’utente deve poter accettare i cookie di Google Maps ma non quelli di Facebook, attivando e/o disattivando solo le specifiche funzionalità coinvolte).
- Email marketing – Con il GDPR si chiude (almeno formalmente) l’epoca dello spam indiscriminato, delle mail inviate a contatti pescati a caso. Come detto il consenso è centrale nell’ottica del GDPR. Importantissimo, inoltre, il rispetto della finalità: se un utente accetta il trattamento dei propri dati per ricevere news, non sarà più possibile inviargli messaggi pubblicitari. Ogni finalità richiede un esplicito consenso (per il quale, nel caso dell’email marketing, il sistema del double opt-in continua ad essere la soluzione preferibile). Ma cosa fare con le "vecchie liste", cioè con le liste di indirizzi email raccolti prima del GDPR? Sicuramente non vanno buttate ma, alla luce della riforma, appare opportuno inviare una mail informativa a tutti i contatti che rassicuri il destinatario in merito all’utilizzo dei suoi dati e alle finalità perseguite dal gestore della lista.
Modifiche e cancellazione dei dati: l’importanza dell’audit trail
Se il nostro sito integra un’area privata è opportuno integrare un sistema di log di tutte le attività riguardanti i dati, è indispensabile, cioè, tenere una traccia di tutte le operazioni svolte (audit trail). In pratica è necessario creare un diario che registri tutti gli eventi riguardanti i dati personali in modo da avere la prova di ogni attività svolta (si ricordi che, in base al princio dell’accountability, il titolare del trattamento è tenuto a dimostrare e documentare le attività sui dati).
La traccia di audit deve essere così formattata:
- Timestamp dell’avvenimento
- Autore dell’avvenimento (ad es. titolare del trattamento, incaricato, interessato, ecc.)
- Tipo di avvenimento (registrazione, accesso, modifica, cancellazione)
- Cosa è cambiato (ad es. "modifica del nome" oppure "cambio indirizzo email", ecc.)
Avere un simile diario è fondamentale qualora ci venga contestata, ad esempio, una modifica non autorizzata o l’invio di comunicazioni successivamente ad una cancellazione, ecc. In tutti questi casi, e in molti altri ancora, sarà importante poter esibire i dati per dimostrare l’eventuale infondatezza di una eventuale contestazione.
Come titolare del trattamento hai il diritto di conservare una traccia di audit per un dato personale, anche se il suo proprietario richiede la cancellazione di tutti i dati.
GDPR e la "nuova" informativa sulla privacy
IL GDPR riscrive anche le regole per la stesura dell’informativa sul trattamento dei dati personali. L’obiettivo perseguito dal GDPR è quello di garantire in modo effettivo (e non soltanto formale) il diritto dell’interessato ad essere pienamente informato sul modo in cui verranno utilizzati i suoi dati.
In altre parole, l’informativa dovrà essere breve, priva di riferimenti normativi, trasparente e scritta con un linguaggio semplice e chiaro, pertanto comprensibile a tutti.
Vediamo di elencare, di seguito, le caratteristiche che dovranno essere soddisfatte dall’informativa successivamente all’entrata in vigore del GDPR:
- concisa – l’informativa deve essere il più possibile breve e concisa (ma non superficiale, ovviamente). Tutte le informazioni devono essere facilmente reperibili, possibilmente anche a "colpo d’occhio" (vedi requisito dell’intelligibilità);
- trasparente – l’informativa deve essere chiara e comprensibile all’uomo medio, cioè non deve contenere tecnicismi e riferimenti legali inutili e/o di difficle comprensione;
- intellegibile – compatibilmente con il requisito della concisione, quando le informazioni da dare sono parecchie, sarà necessario strutturarle in modo adeguato, anche utilizzando elementi grafici o icone che rendano immediatamente comprensibile al lettore in che modo saranno utilizzati i suoi dati;
- facilmente accessibile – l’informativa non dovrà essere nascosta all’interno del sito, ma dovrà essere facilmente rinvenibile;
Ma quali informazioni dovrà contemplare l’informativa? Gli articoli 13 e 14 del nuovo Regolamento descrivono in modo chiaro i contenuti dell’informativa, la quale dovrà indicare obbligatoriamente:
- quali sono le finalità perseguite dal trattamento;
- quali dati vengono trattati (se si tratta di dati sensibili – come le preferenze religiose o l’orientamento sessuale – avrai probabilmente bisogno di nominare un DPO e di farti assistere da un legale esperto sulla tematica);
- chi è il titolare del trattamento;
- quali soggetti possono accedere ai dati (elenco dipendenti ed eventuali partner);
- dove ed in che modo verranno conservati i dati;
- per quanto tempo verranno conservati i dati;
- quali misure sono state adottate e implementate per la protezione dei dati;
- quali sono i diritti dell’interessato (in particolare deve essere menzionato il diritto di presentare un reclamo all’autorità di controllo).
Inoltre:
- se presente, dovranno essere inseriti i dati del DPO (Responsabile della protezione dei dati o Data protection Officer);
- se presente, dovrà essere indicata la base giuridica del trattamento o l’interesse legittimo del titolare se questo costituisce la base giuridica del trattamento;
- se i dati personali vengono trasferiti in Paesi terzi, ciò deve essere esplicitamente indicato e devono essere precisati anche gli strumenti che verranno adottati per effettuare tale trasferimento;
- se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l’informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.
Informativa multi strato
Una soluzione, che appare assolutamente compatibile con le richieste del GDPR, consiste nella stesura di informative multi strato, cioè di informative che si presentino a più livelli:
- quello più superficiale, molto conciso e sintetico, con le sole informazioni essenziali;
- quelli più profondi, accessibili solo dietro esplicita azione dell’interessato (ad esempio il click per espandere una tendina) con gli approfondimenti sulla specifica tematica selezionata.
In questo modo sembrano potersi soddisfare diversi requisiti di semplicità e sinteticità, senza tuttavia rinunciare alla completezza.
GDPR e Cookie Law: punti di contatto e differenze
Con l’avvento del GDPR sono attese novità importanti anche in merito alla famigerata Cookie Law, cui abbiamo già imparato a sottostare dal 2015. Con l’avvento del nuovo Regolamento UE, anche la disciplina sull’uso dei Cookie cambierà radicalmente. Forse gli utenti non se ne accorgeranno nemmeno, ma i gestori di siti web sicuramente sì perché gli oneri previsti potrebbero essere tutt’altro che di semplice implementazione.
Sintetizzando, la situazione attuale è questa: il gestore di un sito web mostra un’informativa breve (all’interno di un banner) in cui informa l’utente circa l’utilizzo di cookie sul sito web. L’utente, in pratica, può solo accettare oppure andarsene.
Con l’avvento del GDPR questa prassi non sarà più legittima: in altre parole, il gestore di un sito web dovrà consentire agli utenti di effettuare una scelta, consapevole e informata, su quali cookie autorizzare e quali no e non potrà proibire l’accesso alle informazioni del sito per il solo fatto che l’utente rifiuti l’installazione di un cookie a meno che non sia idispensabile al funzionamento del sito.
Il GDPR, inoltre, afferma chiaramente che l’interessato deve essere sempre in grado di revocare il consenso con la stessa facilità con cui lo ha prestato. Questo significa che l’utente dovrà essere in grado di revocare il consenso a tutti o a specifici cookie nello stesso modo e con la stessa semplicità di quando ha dato il consenso alla loro installazione. Ad esempio, se l’utente ha acconsentito facendo clic su alcune caselle, deve essere in grado di revocare il consenso nello stesso modo.
GDPR e file di log del server web
Un altro punto critico della normativa riguarda la compatibilità delle nuove direttive in tema di privacy con le esigenze di sicurezza dei sistemi informatici. In particolar modo, molti amministratori di sistema si stanno interrogando circa la compatibilità del GDPR con la registrazione di log all’interno dei web server.
Tutti i server web, come Apache o IIS ad esempio, registrano dei file – detti appunto log – in cui vengono scritte una serie di informazioni tra cui date, orari, indrizzi IP, risorse rischieste, ecc. Queste informazioni vengono salvate all’interno di grandi file di testo (access.log, error.log, ecc.) solitamente accessibili solo all’amministratore di sistema per finalità di monitoraggio.
Essendo registrate, all’interno dei vari log, alcune informazioni personali come, ad esempio, gli indirizzi IP dei visitatori, qualche osservatore in Rete ha obiettato circa la legittimità di tali operazioni in assenza di un preventivo consenso da parte dell’interessato.
Personalmente mi sento di obiettare in quanto, a mio avviso, le attività di log svolte dal web server sono ampiamente giustificate da un interesse legittimo del titolare del sito web ad assicurare il corretto funzionamento del sistema e la sua sicurezza.
Il GDPR, infatti, riconosce che il trattamento dei dati anche senza il preventivo consenso dell’interessato è lecito, tra le altre cose, quando è necessario "ai fini degli interessi legittimi perseguiti dal responsabile del trattamento o da un terzo" (Articolo 6, paragrafo 1, punto F).
Tra le premesse del nuovo regolamento, inoltre, si legge che "costituisce legittimo interesse del titolare del trattamento interessato trattare dati personali relativi al traffico, in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione" (p. 49).
Alla luce di ciò, non vedo come possa essere messa in dubbio la legittimità della registrazione dei log da parte dei web-server. Ciò non toglie che, sempre in virtù delle statuizioni del GDPR, tali informazioni debbano essere conservate e custodite in modo adeguato e cancellate dopo un certo periodo di tempo (cioè dopo che hanno potuto assolvere la loro funzione).
Conclusioni
Con l’avvento del GDPR può essere chiesto ai gestori di siti web un certo sforzo per l’adeguamento alla nuova normativa. Tale sforzo potrà tradursi, nei casi più fortunati, in qualche ora di lavoro per la predisposizione di una nuova informativa, mentre nelle situazioni più complesse potrebbe comportare anche esborsi economici importanti.
L’adeguamento al GDPR, infatti, può coinvolgere aspetti tecnici non sempre facilmente risolvibili e richiedere interventi da parte di diverse figure professionali come consulenti legali, sistemisti e sviluppatori.
Se l’intento della norma appare sicuramente lodevole, il suo impatto sul mondo di Internet (ed in particolare sulla piccola imprenditoria digitale) potrebbe però rivelarsi non del tutto indolore, col rischio di penalizzare le realtà più piccole.