La pandemia COVID-19 sta spingendo la digitalizzazione delle aziende che, però, spesso ignorano ancora gli aspetti basilari della raccolta e del trattamento dei dati dei potenziali utenti/clienti. Fondamentale è il concetto di consenso libero.

Punto di riferimento della materia è il GDPR, Regolamento europeo 679/16.

COSA DICE IL GDPR

L’art.7, comma 4, dice che:

“nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento dei dati personali non necessario all’esecuzione di tale contratto”.

Il Considerando 32 aggiunge che:

“il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale.
Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto.
Non dovrebbe pertanto configurare consenso il silenzio, l’inattività o la preselezione di caselle. […]
Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste.
Se il consenso dell’interessato è richiesto attraverso mezzi elettronici, la richiesta deve essere chiara, concisa e non interferire immotivatamente con il servizio per il quale il consenso è espresso”.

QUANDO IL CONSENSO NON È LIBERO

Si potrebbe pensare che quanto detto qui sopra sia scontato. In realtà, non è così.

Immaginate di scaricare una app di un quotidiano sul vostro smartphone e che vi venga chiesto il consenso per accedere alla vostra galleria fotografica. Se non accettate, non potete utilizzare l’app. Questo genere di dato personale non è però necessario al funzionamento della app né è collegato al tipo di servizio che vi offre.

Certo, avete una scelta: accettare o meno; ma è una scelta forzata, perché l’unico modo per utilizzare la app è acconsentire alla condivisione dei vostri dati.

Diverso è, invece, il caso di una app come Instagram, che necessita dell’accesso alla galleria per funzionare.

TRATTAMENTO DEI DATI: COSA FARE NELLA PRATICA

Cosa deve fare un’azienda che ha deciso di trasformare il suo sito web in uno strumento di marketing e di vendita? A cosa deve stare attenta per garantire un consenso a prova di privacy?

Ci sarebbe molto da dire, ma in questo articolo ci soffermeremo su 3 elementi: cookies, form di contatto e privacy policy.

COOKIES

I cookies sono piccoli file di testo che vengono scaricati nei nostri computer quando navighiamo nei siti. Alcuni sono necessari al funzionamento del sito stesso, altri hanno finalità di marketing.

Punto di riferimento normativo è la Cookie Law del 2015. La normativa indica che l’utente deve dare il consenso prima che i cookie di profilazione vengano installati.

Per ottenere questo consenso è necessario:

• presentare un chiaro banner informativo appena l’utente apre il sito; il banner deve contenere le informazioni di base sui cookies: quali sono e che finalità hanno;
• ogni tipologia di cookies deve poter essere selezionata indipendentemente; non sono consentiti né le caselle preselezionate né rilascio del consenso con lo scroll della pagina;
• il consenso deve essere dato attraverso un’azione positiva inequivocabile;
• indicare il link all’informativa estesa (nella privacy policy).

FORM DI CONTATTO

I form servono all’utente per inviare richieste, iscriversi a newsletter, scaricare contenuti e altro ancora.
Non devono mai essere chiesti più dati di quelli necessari alle finalità di raccolta. Per esempio, se si tratta di un form per l’iscrizione alla newsletter non potremo chiedere il numero di telefono. 

Per i form si seguono più o meno le stesse regole dei cookies:

• le finalità di trattamento devono essere indicate una per una e devono essere chiare le modalità di conservazione dei dati raccolti;
• il consenso deve essere dato attraverso un’azione inequivocabile e positiva;
• non ci devono essere opzioni preselezionate;
• va inserito il link all’informativa estesa e la casella di spunta di presa visione.

PRIVACY POLICY

Il sito aziendale deve avere una pagina dedicata alla privacy policy, ovvero l’insieme di informazioni e condotte relative alla raccolta e al trattamento dei dati personali degli utenti.

Il GDPR indica che la privacy policy deve contenere:

• chi è l’azienda, cosa fa e a cosa serve il sito internet;
• chi è il titolare del trattamento dei dati (di solito corrisponde all’azienda titolare del sito);
• i link a terze parti che forniscono servizi di tracciamento (es.: Google Analytics o Facebook Pixel);
• link a plug-in, software o applicazioni che memorizzano i dati degli utenti (es.: Woocommerce);
• informazioni sui dati trattati: modalità e finalità di trattamento, modalità di conservazione, comunicazione e diffusione a terze parti;
• diritti degli utenti: conferma dell’esistenza dei dati; poter conoscere contenuto e origine; chiedere la rettifica, l’aggiornamento, la cancellazione, la trasformazione in forma anonima o il blocco. Deve essere indicato un indirizzo e-mail a cui inviare tali richieste;
• informazioni su come vengono conservati i dati forniti attraverso i form di contatto e e con quali finalità;
• newsletter: link alla privacy policy del provider del servizio mail, informazioni sui dati raccolti;
• e-commerce: quali dati sono raccolti tramite pagina check-out e la loro conservazione;
• informazioni sul server;
• informativa estesa sui cookie: finalità dei dati raccolti, tipologie di cookie attivi sul sito; modalità di consenso e di cancellazione;
• eventuali terze parti che trattano dati e link alle loro privacy policy; va indicato lo scopo e le modalità dell’eventuale trasferimento dei dati ad altri siti;
• misure in caso data breach;
• Indicazione del DPO.

Non esiste un modello standard valido per tutti i siti e una delle condotte più sbagliate consiste nel copiare la privacy policy di altre aziende.

L’unica soluzione è quella di rivolgersi a dei professionisti per una soluzione personalizzata. Puoi richiedere la stesura della tua privacy policy a studio@culturazienda.it.

———

LEGGI ANCHE:

Incidenti informatici e COVID: preoccupate le aziende italiane

Imprenditoria giovanile e femminile: le agevolazioni