La normativa del GDPR del sito web

Come rendere conforme al GDPR un sito web

Nel presente articolo illustriamo la normativa del GDPR sul sito web.
In materia di privacy la nuova normativa è dettata dal General Data Protection Regulation (Regolamento Europeo n. 2016/679) che fa parte della normativa dei siti web dal 2016, ma solamente dal 2018 è diventato effettivamente vincolante, tanto che il Garante della privacy dal secondo semestre 2018 sta svolgendo controlli a per verificare che i siti web europei siano “GDPR compliant”.
Secondo la prospettiva del GDPR il sito web è uno strumento con cui professionisti ed imprese (ma anche soggetti privati, nel caso di un blog) gestiscono i dati personali, cioè informazioni riconducibili, anche indirettamente, a persone fisiche identificate o identificabili, ovverosia gli utenti del sito.
Alla luce del GDPR cosa significa adeguare il sito web?
L’adeguamento del sito al GDPR richiede una preliminare conoscenza, oltre che della normativa sulla privacy dei siti web, anche di quali dati personali vengono “trattati” attraverso il sito.
Ad esempio, è considerato dato personale anche l’indirizzo ip statico o dinamico, se consente di identificare anche indirettamente la persona che sta “navigando” sul sito.
Occorre inoltre conoscere in che modo vengono trattati i dati personali. Ad esempio, se il sito utilizza “cookies” e di quale tipo oppure servizi di terze parti, oppure ancora se i dati vengono trasferiti su server collocati al di fuori dell’Unione Europea.
Alla luce di ciò, come è possibile rendere conforme al GDPR un sito web?
Tutte le informazioni che, secondo la normativa GDPR dei siti web, devono essere fornite dal titolare del trattamento (normalmente il titolare del sito, ma talvolta è la web agency) all’interessato (cioè colui che naviga), sono contenute nell’informativa privacy del sito, ed eventualmente in una informativa per i cookies.
L’adeguamento del sito web al GDPR potrebbe richiedere anche l’aggiornamento del “registro del trattamento”: si tratta di quel documento che riassume tutti i trattamenti dei dati che vengono posti in essere dal medesimo soggetto, sia in qualità di “titolare”, che in qualità di “responsabile”.
Oltre al GDPR, la normativa dei siti web comprende anche la “cookie law” (direttiva UE 2009/136, recepita con d.lgs. 69 e 70 del 2012, confluiti nel Testo unico Privacy d.lgs. 196/2003) che disciplina l’utilizzo dei “cookies”: files attraverso i quali il titolare del sito riesce ad ottenere informazioni, più o meno dettagliate, dei dispositivi collegati e dei loro utilizzatori.
In alcuni casi il sito web deve adottare un banner, che contenga un riferimento alla informativa sui cookies, e consenta all’utente di selezionare quali possono essere utilizzati.
Le conseguenze per il mancato adeguamento del sito al GDPR prevedono, oltre a sanzioni di varia natura (amministrative, pecuniarie e persino penali) anche l’eventuale risarcimento del danno.
Gli argomenti trattati in questo articolo sono:

La normativa del GDPR sul sito web: il GDPR cosa significa.
La normativa del GDPR sul sito web: cosa vuol dire essere GDPR compliant
Cosa richiede il GDPR sul sito web
Cos’è l’informativa GDPR del sito web
Normativa GDPR sul sito web: cosa deve contenere l’informativa privacy del sito
Cos’è il registro del trattamento
Qual è il rapporto fra normativa cookie e normativa GDPR del sito web
Normativa GDPR del sito web: il form di contatto
Come si applica la disciplina del GDPR ai blog
Quali conseguenze sono previste nel caso di violazione della normativa del GDPR sul sito web.

LA NORMATIVA DEL GDPR SUL SITO WEB: IL GDPR COSA SIGNIFICA.

Quando si parla di GDPR, si intende l’acronimo di General Data Protection Regulation, (in italiano regolamento generale per la protezione dei dati personali) altrimenti conosciuto come Regolamento Europeo n. 2016/679 che rappresenta la principale normativa europea in materia di protezione dei dati personali.
All’entrata in vigore del regolamento europeo, che per sua natura viene recepito in modo automatico e uniforme all’interno di tutti gli Stati membri dell’Unione Europea senza che occorra alcun atto di accoglimento, ha fatto seguito la modifica del Testo Unico Privacy (decreto legislativo n. 196/2003).
Dal “Considerando 9” del Regolamento stesso emergono quelli che sono i suoi obiettivi, ossia:

la definitiva armonizzazione della materia di protezione dei dati personali entro l’Unione Europea posto che, a partire dal trattato di Lisbona, la protezione dei dati personali risulta essere un diritto di ogni cittadino comunitario;
lo sviluppo di un Mercato Unico Digitale europeo;
fornire un’adeguata risposta alle nuove sfide determinate dall’avvento delle nuove tecnologie digitali.

In sintesi, il Regolamento europeo 2016/679, è volto a tutelare il trattamento (e cioè la raccolta, utilizzo e circolazione) dei dati personali, intendendosi per tali tutte quelle informazioni inerenti una persona fisica identificata o identificabile.
Pur avendo un campo di applicazione esteso a una molteplicità di ambiti nei quali avviene la raccolta dei dati personali, uno dei terreni maggiormente dibattuti attiene al rapporto fra GDPR e siti web.

LA NORMATIVA DEL GDPR SUL SITO WEB: COSA VUOL DIRE ESSERE GDPR COMPLIANT

Coloro i quali lavorano nell’ambito del Regolamento 2016/679, si occupano di rendere l’attività di professionisti ed aziende “GDPR compliant”.
La compliance consiste nel rispetto di un determinato sistema normativo e pertanto si riferisce ad una pluralità di leggi, regole e codici deontologici.

In materia di privacy, la compliance si riferisce alle regole dettate in materia di protezione dei dati personali, al recepimento dei suoi principi e valori, nonché alla predisposizione di apposite procedure di controllo, aventi lo scopo di mantenere basso il rischio di disperdere i dati personali, o di utilizzarli in modo illecito.

In particolare, il GDPR ha ribaltato il sistema precedente, per il quale erano sufficienti pochi adempimenti formali. Per essere GDPR compliant è necessario agire con accountability, cioè rispettare tre criteri di condotta: consapevolezza, competenza e responsabilità (art. 5 GDPR).

COSA RICHIEDE IL GDPR SUL SITO WEB

Nella prospettiva del GDPR il sito web che viene interessato è solamente quello che raccoglie i dati personali degli utenti, ad esempio mediante l’utilizzo di cookie (o quantomeno di alcune tipologie di cookie), oppure di un form di contatto, nel quale l’utente conferisce i propri dati (nome, email, numero di telefono).

Come ogni altro aspetto dell’attività di professionisti ed imprese, anche il sito web deve essere “GDPR compliant”.
In linea generale, la disciplina del GDPR sul sito web si ancora a due principi di base:

il controllo dei dati da parte dell’interessato,
la garanzia della maggior sicurezza possibile nella fase del trattamento con conseguente responsabilizzazione del titolare del trattamento (art. 5 GDPR).

Oltretutto, il rispetto del GDPR per il sito web non riguarda la mera predisposizione degli strumenti iniziali di raccolta dei dati, ma perdura per tutta la durata del trattamento e sino alla loro cancellazione.

COS’È L’INFORMATIVA GDPR DEL SITO WEB

La disciplina del GDPR del sito web impone che il gestore renda disponibile una informativa privacy nel sito (artt. 12 e 13 gdpr). Si tratta di un documento in cui il titolare del trattamento (che normalmente è il titolare del sito, ma talvolta è anche la web agency) informa l’interessato (cioè l’utente che naviga tra le pagine del sito) come vengono trattati i suoi dati personali. Ne consegue che non può esistere un’informativa privacy del sito che sia adeguata per tutti, posto che ciascun sito tratta i dati degli utenti in maniera diversa. Né i dati trattati sono gli stessi.
Ad esempio,

diversi possono essere i dati trattati (dal semplice indirizzo IP di un “sito vetrina” ai dati identificativi e persino sensibili di un e-commerce)
diverse possono essere le finalità di trattamento: dalla semplice fruizione del sito, alla profilazione dell’utente;
diversi possono essere gli strumenti con cui si trattano i dati (cookies, strumenti di terze parti….)
diversi infine possono essere i destinatari dei dati (se, ad esempio, il dominio del sito ha server fuori o dentro il territorio dell’unione europea).

NORMATIVA GDPR SUL SITO WEB: COSA DEVE CONTENERE L’INFORMATIVA PRIVACY DEL SITO

L’adempimento più importante per essere GDPR compliant è la redazione dell’informativa privacy del sito.
L’art. 13 GDPR individua dettagliatamente il contenuto dell’informativa privacy del sito.
Una prima parte si riferisce alle modalità di trattamento dei dati personali e per cui l’informativa deve indicare:

l’identità e i dati di contatto del titolare del trattamento (gestore del sito) e, ove applicabile, del suo rappresentante;
i dati di contatto dell’eventuale DPO (responsabile della protezione dei dati);
le finalità del trattamento cui sono destinati i dati personali;
la base giuridica del trattamento;
gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili.
il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Nella seconda parte dell’informativa GDPR il sito web deve indicare i diritti che l’utente/interessato può esercitare sui dati che lo riguardano. Egli può infatti:

chiedere al titolare del trattamento l’accesso, la rettifica, la cancellazione, la portabilità dei dati
chiedere la limitazione o opporsi al trattamento,
revocare il consenso, eventualmente fornito come base giuridica del trattamento, in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
proporre reclamo a un’autorità di controllo.

COS’È IL REGISTRO DEL TRATTAMENTO

Oltre all’informativa privacy del sito, altro adempimento richiesto dagli obblighi di legge per i siti web, è la redazione del registro del trattamento.
Si tratta di un documento che riassume tutti i trattamenti effettuati dall’azienda o dal professionista, non solo (ma anche) attraverso il sito, sia in qualità di titolare del trattamento (se tratta direttamente i dati personali dell’interessato), che in qualità di responsabile del trattamento (se effettua il trattamento in nome e per conto del titolare del trattamento).
Ai sensi del GDPR il sito web non deve essere inserito nel registro quando è offline, e perciò non raccoglie i dati personali degli utenti.
A differenza dell’informativa privacy del sito, il registro del trattamento non viene pubblicato in internet, ma redatto e conservato, anche in formato elettronico, presso la sede del “titolare del trattamento”, per essere poi esibito su richiesta del Garante della privacy.
In base all’art. 30 GDPR il sito web deve essere inserito nel registro, che deve contenere:

il nome e i dati di contatto di ciascun titolare del trattamento, del suo rappresentante e del responsabile della protezione dei dati (DPO);
le finalità del trattamento;
le categorie di interessati (ad esempio gli utenti che navigano nelle pagine web) e di dati personali (ad esempio dati identificativi, quali nome, cognome, indirizzo IP, …);
le categorie di destinatari a cui i dati personali sono comunicati;
gli eventuali trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale (ad esempio nel caso in cui il server si trovi al di fuori del territorio dell’UE) e la documentazione delle garanzie adeguate;
ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative

Ai sensi dell’art. 30 comma 2 GDPR il sito web deve essere incluso nel registro dei trattamenti, anche qualora il titolare del sito operi come responsabile del trattamento per conto altrui. In particolare, il registro del responsabile deve contenere:

il nome e i dati di contatto del responsabile del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del DPO;
le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, nonché la documentazione delle garanzie adeguate;
ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative;

QUAL È IL RAPPORTO FRA NORMATIVA COOKIE E NORMATIVA GDPR DEL SITO WEB

Molto spesso, i siti web utilizzano cookies: si tratta di file di testo che vengono inviati al dispositivo dell’utente, raccolgono le sue informazioni e successivamente vengono re-inviati al sito.
I cookies memorizzano dati diversi ed hanno funzioni diverse: dalla semplice ottimizzazione della navigazione (cookies necessari), alla analisi del comportamento della generalità degli utenti (cookies di analisi), alla creazione di un profilo di ogni singolo utente (cookies di profilazione).
Pertanto appare evidente come, in rapporto alla normativa GDPR del sito web, l’utilizzo dei cookie comporta un vero e proprio trattamento dei dati personali.
Affinché sia rispettato il GDPR nei siti web, il titolare del sito deve dar conto dei cookies nell’informativa privacy del sito, oppure in una informativa specificamente dedicata.
Inoltre, per alcune categorie di cookies, è necessario che nel sito sia presente un banner, che contenga un link alla informativa cookies e consenta all’utente di personalizzarne la presenza:

permettendo l’utilizzo dei soli cookies necessari,
scegliendo i cookies non necessari dei quali consentire l’utilizzo,
prestando il consenso all’utilizzo di tutti i cookies.

NORMATIVA GDPR DEL SITO WEB: IL FORM DI CONTATTO

Alcuni siti permettono agli utenti di comunicare direttamente con il titolare del sito, tramite un form di contatto, nel quale questi devono inserire i propri dati personali (nome, cognome, indirizzo e-mail, numero di telefono …) e la richiesta/comunicazione indirizzata al titolare del sito.
Si tratta, anche in questo caso, di un trattamento di dati, le cui modalità ai sensi della normativa GDPR il sito web deve illustrare nella informativa privacy del sito.
Non solo. Quando tramite il form potrebbero essere comunicati dati “particolari” (ad esempio relativi alla condizione di salute, all’orientamento religioso o politico, dati giudiziari …) ex art. 9 GDPR il sito web deve richiedere il consenso al trattamento dei dati.
In questi casi, per essere conformi al GDPR il sito web (tramite il form) deve poter ricevere la comunicazione dell’utente, solamente a condizione che questo “spunti” la presa visione dell’informativa e l’autorizzazione al trattamento dei dati.

COME SI APPLICA LA DISCIPLINA DEL GDPR AI BLOG

Il rispetto degli obblighi di legge per i siti web coinvolge anche i semplici blogger.
Come previsto dalla normativa per i siti web, occorre applicare il GDPR al blog ogni qual volta il suo titolare raccolga i dati personali degli utenti, abbia un form di contatto o di iscrizione a newsletter, oppure preveda servizi di terze parti come, per esempio, AdSense o Google Analytics.

QUALI CONSEGUENZE SONO PREVISTE NEL CASO DI VIOLAZIONE DELLA NORMATIVA DEL GDPR SUL SITO

In caso di mancato adeguamento del sito al GDPR il sito web può incorrere in limitazioni, ed il suo titolare può essere multato. Sono infatti previste sanzioni amministrative (pecuniarie e non pecuniarie) e addirittura penali. Le sanzioni amministrative pecuniarie prevedono:

per le violazioni meno gravi (che, per esempio, possono consistere nei difetti di esecuzione del trattamento dati) un’ammenda fino a 10 milioni di euro o al 2% del fatturato annuo dell’impresa;
per le violazioni più gravi (come, a titolo esemplificativo, l’assenza del consenso al trattamento, la violazione dei diritti dell’utente o la mancanza di un’adeguata informativa privacy) un’ammenda fino a 20 milioni di euro o al 4% del fatturato.

Inoltre, altri strumenti “correttivi” e “preventivi” sono previsti dal GDPR per blog e siti web non conformi: dal semplice ammonimento, all’ingiunzione al titolare a rendersi “GDPR compliant”, alla sospensione dei flussi dei dati in un paese extra-UE, al divieto del trattamento.
Infine, per alcune violazioni (trattamento illecito dei dati; comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala; acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala; falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante; inosservanza dei provvedimenti del Garante.) sono previste sanzioni penali, che arrivano sino alla reclusione per sei anni ex art. 167 ss Codice privacy.

Per richiedere il servizio di consulenza o assistenza sull’adeguamento di imprese e professionisti alla normativa privacy, è possibile compilare il form presente a questo link oppure contattaci all’indirizzo info@btstudiolegale.it.
Lo Studio Legale degli Avvocati Berti e Toninelli si trova a Pistoia, in Piazza Garibaldi n. 5.
Fornisce consulenza in tutta Italia tramite i servizi online ed opera inoltre presso i Tribunali di Pistoia, Firenze, Lucca e Prato.

Contatti

Consulenza Online

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-functional	11 months	Il cookie è impostato dal consenso dei cookie GDPR per registrare il consenso dell'utente per i cookie della categoria "Funzionale".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-necessary	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Necessario".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-others	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Altro".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
cookielawinfo-checkbox-performance	11 months	Questo cookie è impostato dal plugin GDPR Cookie Consent. Il cookie viene utilizzato per memorizzare il consenso dell'utente per i cookie della categoria "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
viewed_cookie_policy	11 months	Il cookie è impostato dal plugin GDPR Cookie Consent e viene utilizzato per memorizzare se l'utente ha acconsentito o meno all'uso dei cookie. Non memorizza alcun dato personale.