GDPR e siti web: la guida antistress (2020)

In questo articolo il nostro esperto di Privacy e siti web – avvocato Giulia Valmacco – illustrerà i principali profili di criticità collegati alla mancata (o erronea) applicazione delle nuove norme poste in tema di tutela dei dati personali e di privacy. L’Avvocato illustrerà inoltre i requisiti minimi che ogni sito web dovrebbe rispettare in merito alla stesura dei termini e delle condizioni di utilizzo del sito e dei servizi erogati.  

 

Se sei una piccola impresa o un libero professionista, questa guida pratica potrà essere di grande aiuto.  

La normativa privacy in vigore prevede infatti l’applicazione di sanzioni molto rilevanti per chi contravviene agli obblighi di tutela dei dati personali. 

 

Indice:

1. Quali sono i requisiti previsti dal GDPR per i siti web?

2. Privacy e cookie policy

3. Cookie banner e raccolta del consenso

4. Registro delle attività di raccolta del consenso e trattamento dati

5. Sanzioni previste

6. Termini e condizioni  

 

1. Quali sono i requisiti previsti da GDPR per i siti web?

Gli utenti dovranno essere informati nel modo più trasparente e completo possibile in relazione a:  

-quali dati personali potranno essere raccolti 

-per quali finalità  

-in forza di quale “base giuridica” i dati saranno trattati dal soggetto che li raccoglie.  

Per fare ciò, dovranno essere predisposte una privacy policy e una cookie policy. 

Vediamo più in dettaglio di che documenti si tratta. 

 

2. Privacy e cookie policy

Privacy policy e Cookie policy, sono essenzialmente dei documenti in cui il proprietario del sito informa gli utenti su tutto ciò che concerne il trattamento dei loro dati personali. 

In particolare, la privacy policy per essere valida, deve contenere almeno alcuni elementi fondamentali. 

Dovrà ad esempio: 

  • indicare chi è il proprietario del sito 
  • descrivere la tipologia dei dati personali raccolti e le finalità del trattamento 
  • indicare la base giuridica del trattamento 
  • elencare tutti i servizi di terza parte con cui tali dati vengono condivisi 
  • informare gli utenti sui diritti relativi ai propri dati 

La “base giuridica” identifica ciò che rende lecito il trattamento dei dati personali. In alcuni casi è la stessa legge che consente a determinati soggetti, in determinate situazioni di poter trattare lecitamente i dati personali (ad esempio per motivi di interesse pubblico o in caso di tutela di interessi vitali della persona o di un terzo). In tutti gli altri casi è necessario chiedere e ottenere il consenso dell’utente al trattamento. 

E’ molto importante che questo documento sia personalizzato e confezionato su misura a seconda dell’attività effettuata e dei dati trattati. Ogni sito, infatti, a seconda dell’attività effettuata, dei temi trattati e della varie funzionalità e finalità dello stesso, avrà necessità di integrare la privacy policy secondo le proprie specifiche esigenze. 

siti web, poi, utilizzano cookie. Questi si possono descrivere – semplificando molto -  come informazioni che un server può inviare al dispositivo che utilizzato, quando si visita un sito web si utilizza un social network. Il server che li ha trasmessi può leggere e registrare i cookie che si trovano nel dispositivo utilizzato per ottenere informazioni.  

Esistono diversi tipi di cookie, con diverse funzioni e non per tutti è necessario acquisire il consenso prima di poterli utilizzare: 

Cookie tecnici: alcuni cookie, cosiddetti “tecnici”, sono usati per memorizzare informazioni specifiche sugli utenti che accedono ad una pagina web, eseguire autenticazioni informatiche o per il monitoraggio di sessioni. Il loro scopo è quello di consentire una navigazione più semplice e rapida. 

Cookie di profilazione: questi, invece, possono essere utilizzati per monitorare gli utenti durante la navigazione, studiando i loro movimenti e le loro abitudini di utilizzo del web, ma anche le loro abitudini di consumo. Per questo motivo, spesso, navigando sul internet ci imbattiamo in banner pubblicitari legati alle ultime ricerche fatte su Google o agli ultimi acquisti effettuati online. 

Cookie terze parti: un sito web potrebbe contenere anche cookie provenienti da altri siti, contenuti in vari elementi che troviamo sulla pagina stessa (come ad esempio pubblicità, immagini, video). In questo caso si tratta dei cookie terze parti, anche questi di solito sono utilizzati a fini di profilazione. 

La Direttiva E-privacy (detta anche cookie law) che si affianca al GDPR, prevede che sia necessario informare gli utenti dell’utilizzo dei cookieattraverso un’apposita cookie policy.

 

3. Cookie banner e raccolta del consenso

La normativa europea, tuttavia, in alcuni casi impone al proprietario di un sito web, non solo di predisporre una cookie policy, ma anche di raccogliere il consenso degli utenti all’utilizzo di particolari tipi di cookie.  

Nel caso in cui un sito utilizzi cookie di profilazione o cookie terze parti, che come abbiamo visto sopra hanno la medesima finalità, il sito dovrà richiedere agli utenti di prestare il consenso al loro utilizzo, attraverso un apposito banner in cui verrà fornita una breve informativa sul funzionamento dei cookie utilizzati. 

Sul punto si ricorda che una recente sentenza della Corte di Giustizia Europea (in particolare la Sentenza CGUE del 1° ottobre 2019 nella causa C-673/17) ha stabilito che il consenso che l’utente di un sito Internet deve prestare per l’installazione di cookie sul suo dispositivo non è validamente espresso attraverso una casella di spunta preselezionata, che l’utente deve deselezionare al fine di negare il proprio consenso. La scelta dell’utente, dunque, per essere valida deve essere attiva e consapevole. 

Un banner corretto e aderente alla normativa, dunque, dovrà semplicemente riportare le informazioni utili per far comprendere all’utente i tipi di cookie utilizzati e le loro finalità, nonché prevedere la possibilità per l’utente di scegliere liberamente se accettare o meno l’istallazione degli stessi.  

 

4. Registro delle attività di raccolta del consenso e trattamento dati

L’art. 30 del GDPR prevede, poi, tra gli adempimenti del titolare e del responsabile del trattamento la tenuta del registro delle attività di trattamento. 

Questo documento deve contenere le principali informazioni relative alle operazioni di trattamento svolte dal titolare e, se nominato, dal responsabile del trattamento.  Deve fornire, quindi, un quadro completo e sempre aggiornato dei trattamenti in essere all’interno del proprio sito e della propria attività.  

Proprio per questo motivo il registro delle attività di trattamento costituisce uno dei principali elementi di accountability del titolare ed è indispensabile per ogni attività di valutazione o analisi del rischio e dunque preliminare rispetto a tali attività.  

Il registro deve avere forma scritta, anche elettronica, e deve essere esibito su richiesta al Garante. 

 

5. Sanzioni previste

La normativa europea in tema di privacy prevede salatissime sanzioni amministrative in caso di violazione delle regole ivi contenute. 

Queste si possono dividere genericamente in due gruppi.  

1. Il primo, per le violazioni considerate di minore gravità,commesse dai seguenti soggetti: 

-il titolare ed il responsabile del trattamento (artt. 8, 11, da 25 a 39, 42 e 43 GDPR); 

-l’organismo di certificazione; 

-l’organismo di controllo dei codici di condotta (art. 41 GDPR)  

per cui la sanzione può arrivare fino a 10.000.000,00 di euro, o per le imprese, fino al 2% di fatturato mondiale annuo se superiore.  

2. Le violazioni più gravi, invece vengono sanzionate fino a 20.000.000,00 di euro o, per le imprese, fino a 4% del fatturato mondiale annuo se superiore.Queste concernono: 

-le violazioni dei principi di base del trattamento, comprese le condizioni relative al consenso (secondo gli articoli 5, 6, 7 e 9); 

-le violazioni dei diritti degli interessati (secondo gli articoli da 12 a 22); 

-i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale (secondo gli articoli da 44 a 49) 

-la violazione di qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX; 

-l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR 

Il Garante per la protezione dei dati personali è l’organo competente ad irrogare le sanzioni citate.  

L’entità effettiva delle sanzioni, come si intuisce dalla norma, è variabile. Il Garante per determinarla dovrà valutare caso per caso le violazioni. Dovrà, infatti, tenere conto della natura e della gravità della violazione, del carattere doloso o colposo della stessa, delle categorie di dati personali interessate dalla violazione, ma anche del comportamento del soggetto, verificando quindi quali comportamenti abbia posto in essere per evitare o limitare i danni derivanti dalla violazione (principio di accountability).  

Inoltre, il Legislatore nazionale, in attuazione della normativa europeaha disposto l’irrogazione di sanzioni penali per i casi di violazione più gravi, nonché di alcune specifiche e limitate disposizioni normative, come ad esempio in caso di irregolarità nel trattamento dei dati sensibili e sul trasferimento internazionale di dati. 

 

Normativa applicabile 

In Italia si applica il Regolamento europeo n. 679/2016, cosiddetto GDPR, cioè il General Data Protection Regulation, e il d.lgs. 196/2003, il “vecchio” codice della privacy, che ora adegua la normativa nazionale al regolamento europeo. Il GDPR racchiude le norme che tutelano i dati personali e le relative limitazioni al loro utilizzo. Come detto è una normativa europea - che quindi si applica in modo uniforme a tutti i paesi membri - che ci indica le regole da osservare per poter trattare lecitamente i dati personali. 

La normativa europea si applica a organizzazioni, imprese, persone, società, enti pubblici e di altro genere - incluse, associazioni di volontariato e organizzazioni senza scopo di lucro - che hanno sede nell'Unione Europea, o offrono beni o servizi (anche a titolo gratuito) ai cittadini dell'UE. 

*** 

6. Termini e condizioni di utilizzo di un sito web e dei servizi erogati

In questa sezione del nostro articolo ci occuperemo di approfondire il tema dei termini e delle condizioni di utilizzo di un sito web e dei servizi che per suo tramite sono erogati agli utenti/navigatori. 

Insieme alla policy privacy e alla cookie policy costituisce l’altro caposaldo che ogni sito internet dovrebbe avere.  

Vediamo più in dettaglio di cosa si tratta. 

Termini e condizioni sono contenuti in un documento che costituisce un vero e proprio contratto che intercorre tra gli utenti e il proprietario del sito web. Contratto in cui il titolare chiarisce, nero su bianco, quali sono le condizioni di utilizzo del proprio servizio, come ad esempio quelle relative all’uso dei contenuti, le regole che gli utenti devono seguire per interagire tra loro all’interno del sito, le caratteristiche e condizioni del servizio offerto, e molto altro. 

Non è sempre obbligatorio dotarsi di questo documento, anche se è molto utile perché posto a tutela anche del titolare del sito, che può utilizzarlo per difendersi e prevenire comportamenti scorretti da parte degli utenti. 

In alcuni casi, tuttavia, predisporlo è obbligatorio, ad esempio per un sito di e-commerce che per legge deve uniformarsi a quanto disciplinato nel codice del consumo (D.lgs. 206/2005 e fornire tutta una serie di informazioni ai consumatori. Come ad esempio: 

  • informazioni sull’attività e la descrizione del servizio offerto; 
  • informazioni su rischi, responsabilità e liberatorie; 
  • garanzie diritto di recesso (se applicabile); 
  • informazioni sulla sicurezza e condizioni di utilizzo (se applicabile); 
  • condizioni di consegna del prodotto/servizio; 
  • condizioni d’uso o di acquisto; 
  • politiche di rimborso e relative informazioni; 
  • informazioni sui metodi di pagamento; 

In questo caso, poi, le norme da seguire si complicano ulteriormente a seconda dello Stato in cui i prodotti vengono commercializzati. Si dovrà quindi tenere conto delle singole normative nazionali o sovranazionali per adeguare al meglio il proprio documento. 

 

 

 

CONTATTA L’AVVOCATO
Prenota subito online
Scopri come funziona
Avvocato Accanto ti consente di gestire senza stress e con comodità le tue questioni legali. Hai accesso ad un avvocato esperto sempre e ovunque tu sia per chiedere consulenza legale ed assistenza quando ti serve
1.
Seleziona il servizio che ti serve

Puoi contattare un avvocato, fissare un appuntamento, fare una domanda gratis o richiedere un preventivo gratuito

2.
Ricevi quello che hai chiesto

Consulenza telefonica, consulenza online, incontro presso uno spazio fisico, revisione documenti e preventivo

3.
Paga solo alla fine

Dopo aver ricevuto quello che hai chiesto

lawyer
Dove ci trovi
se vuoi incontrarci di persona
Se vuoi incontrarci di persona e conoscerci ci trovi in Via Crocefisso 6 a Milano, presso gli uffici di Avvocato Accanto, tutti i giorni da lunedì a venerdì e su appuntamento anche il sabato. Ti aspettiamo.
mappa avvocato accanto