Essere titolari di un sito web è una grande opportunità di business. Ma anche una responsabilità. Il sito web è una “vetrina virtuale” per il nostro brand. Tuttavia, avere un sito comporta anche alcune responsabilità, in primis nei confronti degli utenti che visitano quel sito o che con il sito decidono in qualche modo di interagire. Vediamo insieme quali sono i principali adempimenti che possono essere adottati per avere un sito non solo funzionale rispetto alla propria strategia di marketing, ma anche compliant rispetto (soprattutto) al GDPR.
Siti web, come renderli compliant
Il punto da cui partire per valutare quali adempimenti debbano in concreto essere rispettati all’interno del nostro sito è analizzarne la struttura. In particolare, dobbiamo distinguere tra siti “vetrina”, ovvero finalizzati unicamente a presentare l’immagine dell’azienda o del professionista ed eventualmente ad interloquire con i propri utenti, e siti di vendita, ovvero di e-commerce. Le due fattispecie hanno talune caratteristiche in comune ed altre che li distinguono.
La costruzione del sito web e il principio di privacy by design. Partiamo dalle caratteristiche che accomunano ogni sito web. È importante ricordare, infatti, che ogni sito può contenere componenti che comportino un trattamento di dati personali.
Si pensi ai form di contatto che possono essere presenti (“contattaci”, “iscriviti alla newsletter”, “lavora con noi”, “lascia un commento”, ecc.). Ciascuno di questi form comporta a tutti gli effetti un trattamento di dati che l’utente rilascia nel momento in cui utilizza il form stesso. Diventa, quindi, fondamentale analizzarne la struttura per capire se sono stati rispettati tutti i principi previsti dal GDPR. Si pensi, in particolare, al principio di minimizzazione che impone al Titolare di richiedere all’utente unicamente i dati strettamente necessari rispetto alla finalità che viene perseguita.
In questo senso può essere molto utile un lavoro sinergico tra agenzia web e consulente legale, in modo da costruire tutte le pagine del sito affinché siano fin dal principio pensate in un’ottica di tutela dei dati personali che raccolgono.
Ma non finisce qui. Ogni sito può contenere anche altre componenti che in diversi modi (in taluni casi anche non evidenti all’utente che sta navigando) trattano i suoi dati personali.
Si pensi ai pulsanti che rimandano ai canali social aziendali e che collegano direttamente il profilo dell’utente alla pagina social dell’azienda o del professionista. Si pensi alla mappa interattiva che consente all’utente di individuare la sede dell’azienda e calcolare il percorso più rapido per raggiungerla dalla propria posizione. Si pensi ai plug-in installati sul sito per rendere la navigazione più interattiva. Si pensi a Google Analytics, servizio che consente al titolare del sito di avere delle analisi statistiche più o meno approfondite sull’utilizzo del proprio sito web.
Questi sono solo alcuni esempi, ma gli aspetti da valutare in sede di analisi del sito sono molti.
Come “accendere” privacy e cookie policy
La redazione della privacy e cookie policy si pone, in questa ottica, come passaggio finale. Prima è fondamentale impostare il sito in modo che sia “progettato” in modo da rispettare la privacy dei propri utenti. Successivamente, si redige il testo di privacy e cookie policy in modo da fotografare il lavoro svolto e renderlo comprensibile ai propri utenti. La sfida è quella di riuscire a redigere un testo che sia allo stesso tempo chiaro ed anche completo: lavoro non facile, ma che con un po’ di creatività può essere svolto positivamente.
La sezione dedicata alla privacy dovrà sicuramente contenere tutti i contenuti obbligatori previsti dagli artt. 13-14 GDPR e tenere presente quanto previsto dal D.Lgs 196/2003, come modificato dal D.Lgs. 101/2018 (ad esempio in tema di offerta di servizi della società dell’informazione a soggetti minorenni).
La sezione dedicata ai cookie, invece, dovrà considerare sia quanto previsto dal GDPR, ma anche dalla normativa nazionale e dai provvedimenti specifici del Garante per la protezione dei dati personali (vedi provvedimento del Garante per la Protezione dei Dati Personali n. 229/2014 contenente l’individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso all’uso dei cookie).
Alla luce di quanto esposto, è possibile comprendere perché i testi standardizzati di informativa privacy e cookie non possano essere considerati compliant rispetto al GDPR. L’attività, infatti, deve essere personalizzata rispetto alla specifica struttura del sito web e delle sue componenti.
Siti web: come gestire il consenso
Anche questo è un aspetto spesso sottovalutato. È bene ricordare che il consenso è una delle basi giuridiche che possono rendere lecito il trattamento. Oltre al consenso, l’art. 6 GDPR ne elenca anche altre.
Analizzare un sito significa valutare la sua struttura, analizzare ogni componente ed ogni form di contatto anche in un’ottica di basi giuridiche. È sempre necessario il consenso dell’utente o nel caso specifico posso avere un’altra base giuridica che supporta la mia richiesta di dati?
Questo passaggio è molto importante non solo perché andrà descritto all’interno dell’informativa, ma anche perché, sulla base di questo ragionamento, sarà possibile individuare il miglior testo da inserire all’interno dei vari flag presenti sotto i moduli di raccolta dati. Da questo punto di vista, è bene predisporre all’interno del sito medesimo degli strumenti che consentano di tenere traccia dei consensi eventualmente rilasciati dagli utenti, conservando la data del rilascio ma anche delle eventuali revoche dello stesso.
Siti web, obbligatorietà dei dati societari
Un altro aspetto spesso sottovalutato, ma che riguarda in generale tutti i siti web, è l’obbligo di inserimento dei cd. dati societari obbligatori. Infatti, sia nel caso in cui si tratti del sito web di una società, sia che si tratti del sito di un professionista, non bisogna dimenticare che questo strumento è considerato a tutti gli effetti un canale di comunicazione e, in quanto tale, è necessario che riporti i dati societari di chi propone la specifica attività o prodotto.
A tal fine, basti vedere l’art. 2250 del Codice Civile, che indica i dati societari che devono essere resi noti da parte delle aziende che posseggono un sito web aziendale, definito dalla norma come quello “spazio elettronico destinato alla comunicazione collegato ad una rete telematica ad accesso pubblico”. Questi dati possono essere inseriti nel footer o, in alternativa, in un apposito link facilmente raggiungibile da parte dell’utente.
Quando il sito è destinato all’e-commerce
Se il sito web vende prodotti o servizi l’analisi non può fermarsi alla normativa privacy. È chiaro che, rispetto agli adempimenti visti finora, la struttura di questa particolare categoria di siti web è normalmente più complessa e, di conseguenza, anche dal punto di vista privacy gli aspetti da tenere in considerazione saranno maggiori.
Normalmente i siti e-commerce, infatti, prevedono la possibilità per l’utente di registrarsi al sito creando un proprio account, consentono di acquistare prodotti, talvolta consentono anche di gestire delle wishlist. Sotto tale profilo, quindi, diventa fondamentale capire come il sito utilizzi questa grande mole di dati, valutarne le finalità e stabilire se avvenga anche una attività di profilazione degli utenti.
Oltre a tutti questi aspetti, tuttavia, non bisogna dimenticare la disciplina civilistica, ovvero le disposizioni previste dal D.Lgs. n. 206/2005 (cd. Codice del Consumo), oltre a quelle in generale applicabili al tipo di prestazione fornita in virtù del D.Lgs. n. 70/2003 sui servizi della società dell’informazione e il commercio elettronico, nonché le norme previste dal Codice Civile.
Sulla base di queste disposizioni legislative, quindi, dovrà essere predisposto un contratto contenente le cd. condizioni generali di vendita, che sia completo e redatto su misura rispetto ai bisogni e alle reali possibilità dell’azienda. Anche in questo caso servirsi di moduli prestampati o, peggio, copiare testi presenti su altri siti potrebbe comportare spiacevoli problematiche dal punto di vista giuridico. È importante, infatti, ricordare che questo contratto disciplina tutto il rapporto giuridico di compravendita che avviene tra azienda ed utente e, in caso di problematiche, sarà a questo testo che si dovrà fare riferimento. Pertanto, in un’ottica di prevenzione delle controversie, è sicuramente consigliabile predisporre un testo completo, ma anche personalizzato rispetto alla specifica attività svolta dal Titolare.
Siti web e esportazione di dati
Una delle grandi novità del GDPR riguarda il trasferimento di dati extra SEE. Oggi se un Titolare intende trasferire dati personali a un paese terzo, lo può fare solo rispettando talune specifiche prescrizioni (decisioni di adeguatezza, model contracts/clauses, BCR, consenso, ecc.). A tal fine, quindi, è importante analizzare tutte le fattispecie che possono comportare un trasferimento di dati (quali il posizionamento dei server, l’ubicazione dei fornitori, ecc.).
Ad esempio, se all’interno del sito è previsto un servizio di newsletter, sarà importante valutare se questa venga gestita internamente dall’azienda ovvero tramite piattaforme di web marketing (sul mercato sono presenti diverse tipologie, talune europee altre extraeuropee).
In questa seconda ipotesi, una volta analizzato il funzionamento del servizio per capire se può essere aderente all’idea di business aziendale, sarà fondamentale capire anche dove sono situati i server contenenti gli indirizzi e le e-mail inviate. Se all’interno della privacy policy il fornitore mi avvisa del fatto che i server sono situati extra SEE, sarà importante capire se ed eventualmente quale meccanismo di protezione dei dati è stato attivato.
Questo passaggio, come altri aspetti che abbiamo visto insieme, andrebbe pianificato prima di iniziare l’utilizzo del servizio. Analizzare il fornitore prima di concludere il contratto di fornitura di servizi è fondamentale per capire se il soggetto a cui mi sto rivolgendo sia affidabile e quindi, se la sua azienda sia già stata adeguata al GDPR e se gli strumenti che mi offre siano già stati disegnati in modo da tutelare i dati personali che raccolgono.
Siti web, il toolkit per la gestione
Appurato che, a opinione di chi scrive, sia del tutto preferibile una redazione sartoriale dei testi delle policy (privacy, cookie, condizioni generali di vendita, ecc.), vi sono comunque alcuni strumenti che, se utilizzati correttamente, possono semplificare l’adempimento di alcuni obblighi.
In primo luogo, mi riferisco al banner per i cookie. In merito a questo adempimento, sappiamo che, nel caso in cui il sito utilizzi esclusivamente cookie tecnici, non è previsto l’obbligo di richiedere il consenso dell’utente. Nel caso in cui, invece, il sito utilizzi anche altre tipologie di cookie (preferenze, marketing, statistiche, profilazione, ecc.) sul mercato sono disponibili soluzioni per la raccolta del consenso.
È possibile, infatti, installare all’interno del proprio sito un banner cookie interattivo (in commercio se ne trovano di diversi tipi) che consenta, da un lato, di specificare all’interno del testo tutte le finalità per cui i cookie verranno utilizzati e, dall’altro, diversificare il consenso sulla base di queste finalità. Naturalmente, per quanto riguarda i cookie tecnici necessari per il funzionamento del sito è possibile che la casella sia pre-flaggata, invece, per tutte le altre tipologie di cookie sarà l’utente che dovrà compiere un’azione positiva e quindi esprimente la propria volontà.
Questa modalità di raccolta del consenso è assolutamente compliant rispetto alla normativa e consente anche un ulteriore vantaggio, ovvero il controllo affinché i cookie vengano effettivamente installati nel momento il cui l’utente flagga l’apposita casella e non in un momento precedente.
Un altro strumento molto importante per l’adeguamento del sito è poi il software per la gestione dei consensi per i moduli presenti nel sito, ovvero una soluzione che permetta di tracciare, archiviare, gestire e recuperare facilmente i consensi rilasciati dagli utenti durante la navigazione sul sito.
Le possibilità che il mercato mette a disposizione sono molte, l’importante è non perdere mai di vista l’obiettivo finale, ovvero impostare il proprio sito web in modo che sia funzionale rispetto alla strategia di marketing aziendale, ma anche rispetto al corretto trattamento dei dati personali degli utenti che lo visitano.
