Come mettere a norma i moduli web che raccolgono dati personali?
Privacy, consensi e GDPR: le risposte ai dubbi più ricorrenti
Ho un sito web e voglio essere in regola col GDPR, per dimostrare ai miei visitatori che sono affidabile oltre che per evitare contestazioni dall’autorità competente. Cosa devo fare?
Se il sito web non fa trattamenti particolari (o su ampia scala) di dati personali, sono 3 gli elementi a cui prestare attenzione:
- la informativa privacy;
- la gestione dei cookies;
- la raccolta dati tramite moduli web (forms).
Questi 3 elementi vanno progettati innanzitutto dal punto di vista normativo (verificando che i trattamenti abbiano una base giuridica legale) e poi tecnico (ovvero che l’intervento sul sito renda efficaci le scelte effettuate dagli utenti tramite il consenso).
Hai dubbi riguardo al “trattamento di dati personali effettuato attraverso l’utilizzo di moduli web di raccolta dati”?
Qui sotto trovi le risposte.
Progettare un’informativa privacy per il tuo sito web
Quali elementi devono essere presenti nell'Informativa privacy?
L’art 13 del GDPR prescrive che con tale documento il Titolare del trattamento dei dati (che di solito è il proprietario del sito web) debba specificare all’interessato (ovvero l’utente che, per la semplice navigazione sul sito o per la compilazione di un modulo invia al Titolare uno o più dati personali):
- la tipologia di dati personali oggetto del trattamento;
- la modalità con cui i dati verranno trattati;
- la finalità del trattamento dei dati;
- il periodo e il luogo di conservazione degli stessi;
- le pratiche di tutela dei dati;
- i soggetti che avranno accesso a tali dati;
- gli eventuali soggetti terzi ai quali i dati potrebbero essere trasferiti o comunicati;
- le modalità per esercitare la revoca del consenso;
- l’eventuale presenza di un’attività di profilazione sui dati forniti;
- i dati del titolare e del responsabile del trattamento e, se nominato, i dati del DPO.
La privacy policy dovrà essere scritta in maniera concisa e di facile lettura: documenti confusi o con indicazioni imprecise potrebbero vanificare la validità dei consensi raccolti fino a costringere il titolare del trattamento a doverli eliminare o a richiedere nuovamente il consenso.
Il documento prodotto deve essere facilmente accessibile sul sito e l’utente deve potervi accedere prima di rilasciare i propri dati personali e consensi.
Quando l’informativa privacy non è obbligatoria?
Se il sito web non prevede la registrazione e non tratta dati degli utenti, l’informativa privacy può essere omessa. Va però considerato che i siti web in genere acquisiscono comunque informazioni tramite i server sui quali sono ospitati e alcuni di questi dati (ad esempio l’IP utente) possono essere dati personali.
L’informativa è sempre dovuta laddove vi sia una raccolta e trattamento di dati personali tramite moduli compilati dall’utente e nel caso in cui il sito utilizzi cookie in grado di tracciare l’attività di navigazione degli utenti.
L’informativa deve essere presente anche quando il consenso dell’interessato non è richiesto, oppure quando l’interessato è tenuto obbligatoriamente per legge a fornire i dati.
- Microteam esegue un’audit accurato dei trattamenti effettuati sul sito web e redige un’informativa privacy che viene mantenuta costantemente accessibile e aggiornata.
- In caso di siti multilingua, l’informativa è resa disponibile nelle varie lingue del sito.
- Un collegamento (link) nel footer del sito, nel cookie banner e nella casella di raccolta consenso di ogni form ne permette la piena accessibilità all’utente.
- Regolamento UE 216/679 (GDPR) Regolamento generale sulla protezione dei dati
- D.Lgs. 30 giugno 2003, n.196 “Codice in materia di protezione dei dati personali” (Testo coordinato)
- D.lgs. 10 agosto 2018, n. 101 “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento UE 2016/679)”
Come si progetta un form di raccolta dati a norma?
Quali sono i riferimenti normativi che regolano il trattamento dati personali effettuato sul sito web?
Per quanto riguarda i dati raccolti tramite moduli di raccolta dati, il regolamento UE 2016/679 (GDPR), in vigore ormai da alcuni anni, detta le indicazioni di massima rispetto al trattamento dei dati personali, la sua applicazione è stata oggetto di diverse interpretazioni, che oggi possiamo riassumere nelle indicazioni riportate al paragrafo successivo.
Quali caratteristiche deve avere un modulo di raccolta dati a norma?
- Richiedere solo i dati necessari per il trattamento richiesto
- Definire qual è la base giuridica che giustifica il trattamento dei dati in oggetto
- Predisporre un’informativa di facile comprensione che spieghi come i dati verranno trattati e da chi
- Raccogliere un consenso esplicito per ogni singolo trattamento
- Prevedere una modalità semplificata per revocare il consenso
- Registrare una prova documentabile delle condizioni in cui il consenso è stato rilasciato.
Il doppio consenso esplicito (o double opt-in) è necessario?
No, il GDPR non prevede tale l’obbligo. Questa modalità è però considerata una best practice in molti Paesi dell’Unione Europea, in particolare in Germania, e presenta diversi vantaggi:
- la certezza che l’indirizzo email che riceve la comunicazione appartenga effettivamente alla persona che presta il consenso
- migliora la qualità delle mailing list, riduce i tassi di cancellazione e preserva la reputazione del proprio indirizzo email
- aggiunge un ulteriore elemento di prova al consenso raccolto.
Va comunque ricordato che l’uso del double opt-in da solo non basta per essere conformi al GDPR, in quanto insufficiente a dimostrare il consenso.
Mantenere una prova del consenso raccolto è un obbligo di legge?
Sì, il regolamento UE 216/679 (GDPR) all’articolo 7 prevede specificamente che il titolare del trattamento sia in grado di dimostrare di aver raccolto un consenso valido.
Quali informazioni devo memorizzare per poter dimostrare un valido consenso?
- Quando è stato prestato il consenso
- Chi lo ha prestato
- Quali preferenze sono state espresse
- Le informative legali o privacy in vigore quando è stato raccolto il consenso
- Quale form è stato compilato al momento del conferimento del consenso
- Microteam verifica il form esistente o lo progetta da zero in base alle specifiche esigenze del cliente.
- La tipologia di dati raccolti è resa conforme alla base legale citata nell’informativa.
- Vengono inserite le caselle per la raccolta dei consensi specifici
- Una prova documentabile dei consensi raccolti viene memorizzata nella “Consent solution”