Per capire e gestire correttamente l’intreccio tecnico e di marketing che si crea tra la gestione di un sito e la norma sulla tutela dei dati personali occorre stabilire e comprendere che questa verifica sui dati interessa chi raccoglie e utilizza contatti a scopo professionale ma non solo.
Quanto appena detto è valido per qualsiasi dato personale prelevato ed utilizzato dalle aziende perché dal 25 maggio 2018 con l’entrata in vigore del GDPR 2016/679 deve essere chiaro che i dati, a qualsiasi titolo salvati, possono essere utilizzati solo nel rispetto di tale norma, poco importa se il sito dell’azienda è un sito conoscitivo o effettua attività di commercio elettronico.
Dobbiamo quindi studiare come gestire bene le policy informative, i consensi che dovranno essere espliciti e la gestione dei cookies.
Tanto ciò detto è inutile girarci intorno e trovare escamotage particolari, occorre fare bene quanto appena detto e soprattutto dimostrare che lo si è fatto, e che quindi i visitatori hanno navigato nel sito ed eventualmente lasciato dati essendo stati preventivamenteinformati ed avendo prestato il proprio consenso al trattamento dei loro dati personali.
Andiamo per ordine, l’informativa sul sito occorre che esista, sia messa in evidenza e sia chiara ed avrà al suo interno una Privacy Policy esplicita e comprensibile dalla quale sia facile leggere e comprendere quali dati verranno raccolti, memorizzati, lo scopo del salvataggio, da chi e per quanto tempo.
Di seguito analizzeremo come occorra comportarsi, relativamente alla tutela dei dati personali, riferendoci ad un sito di e-commerce, ma come già detto prima ciò non deve forviare i titolari dei siti e dei dati perché qualsiasi tipo di sito che raccoglie dati deve sottostare a queste regole.
La prima attività da svolgere é verificare come si raccolgono i dati, quindi controllare ad esempio se il tutto avviene in:
- Area riservata
- Form di iscrizione al sito
- Form di iscrizione alla newsletter
- O in altra forma ed eventualmente quale
Per le aree appena citate ma comunque per qualsiasi tipologia di raccolta, occorre dare la possibilità agli interessati di negare, cancellare o modificare il consenso al trattamento dei dati personali, senza nessun limite.
Tecnicamente occorre verificare che tutti i componenti tecnologici del sito siano conformi al GDPR, volendo semplificare e cominciando ad usare una terminologia specifica, probabilmente stiamo parlando di plugin o moduli che a loro volta installano cookies, e questi vanno sempre prima bloccati, ciò per avvisare il navigatore del sito che dovrà accettarli o rifiutarli o eventualmente volersi informare meglio prima di proseguire.
Ma visto che a noi piace mettere in fila le cose da fare senza ingenerare diverse interpretazioni, di seguito una breve lista di attività da fare obbligatoriamente alle quali si possono poi aggiungere altre attività a secondo di quanto vogliamo essere scrupolosi rispetto alla sicurezza informatica, quindi :
- Verificare e conoscere i servizi presenti sul sito che memorizzano i dati personali degli utenti/interessati
- Verificare le informazioni memorizzate con quelle previste dal nuovo regolamento nel rispetto dei criteri di minimizzazione e proporzionalità
- Verificare, conservare e mantenere traccia del consenso offerto dagli utenti/interesati che vistano il sito
- Verificare l’esistenza o comunque la gestione di un sistema di verifica dei dati dei visitatori, con possibilità di notifica immediata in caso di rischio di violazione dei dati personali. Stiamo quindi parlando tecnicamente di una piattaforma di registrazione di log in grado di gestire i dati, tracciare le attività dell’amministratore di sistema e/o del webmaster;
- Verificare la metodologia e le tecniche attraverso e quale si gestiscono i dati sensibili;
- Verificare i Cookie per determinare ed avvisare correttamente l’utente/interessato se si trova di fronte a cookies di profilazione o meno;
- Verificare la correttezza del banner per il consenso sui cookie che deve rispettare i nuovi requisiti previsti dalla nuova legge sui dati personali;
- Verificare la presenza della Privacy Policy, che deve essere costantemente aggiornata alla nuova legge europea e quindi alle varie indicazione che nel tempo stanno arrivando ricordando su tutto che Il linguaggio deve essere chiaro e va spiegato per quali scopi saranno usati i dati, vanno fornite tutte le informazioni relative al titolare del trattamento dei dati o di un eventuale DPO, inclusi i contatti per chiedere modifiche o cancellazioni;
- Verificare che i dati vengono prelevati a fronte di un consenso
- Verificare che se vi è newsletter questa abbia in se sempre la possibilità diretta di disiscriversi, ricordando che le opzioni di iscrizione alla newsletter e le preferenze di contatto, soprattutto rispetto alla vecchia gestione, vanno rivisitate perché il GDPR non prevede la possibilità di ricevere il consenso automatico per cui occorre ristrutturare i moduli.
Tutto questo si va per professionalità e per dare sicurezza agli interessati ma sia in un caso che nell’altro il tutto si fa bene anche per evitare di incorrere in sanzioni che possono essere di due tipi:
- Sanzioni Correttive – sono avvertimenti, ammonimenti che non prevedono esborsi economici;
- Sanzioni Amministrative – sono appunto economiche e molto gravose
L’attività che indica quale delle due sanzioni va applicata ed eventualmente la somma di denaro da contestare si ricava in base a:
- Natura, gravità e durata della violazione
- Carattere doloso o colposo della violazione
- Misure adottate per attenuare il danno subito dagli interessati
- Eventuali precedenti violazioni commesse dal titolare del trattamento
