GDPR per siti web: le novità e i consigli dell'esperto. Intervista all'avvocato Paolo Vicenzotto
La gestione della privacy e dei dati personali di un sito internet o di
un e-commerce può essere ostica e piena di insidie. Come attuare una
corretta protezione dei dati personali? Quali modifiche ci sono state dall’entrata
in vigore del GDPR del 2018? Come non incorrere in sanzioni?
Per rispondere in modo preciso a queste domande, abbiamo
intervistato l’avvocato Paolo Vicenzotto,
In particolare, il suo studio è specializzato nel diritto dell’informazione,
della comunicazione digitale e della protezione dei dati personali, privacy e
sicurezza informatica, diritto industriale, della proprietà intellettuale e
dell’innovazione tecnologica.
Vediamo quindi a cosa prestare attenzione nel trattamento dei dati
personali di un sito web secondo le normative europee vigenti.
GDPR: cosa prevede e le novità
Ancora oggi, a distanza di due
anni e mezzo dall’entrata in vigore del GDRP, c’è ancora tanta
confusione: può spiegarci in breve cosa prevede?
Semplice. Il GDPR prevede che
dati e informazioni raccolte e utilizzate, anche tramite un sito web, non
diventino “di tua proprietà”, ma restino sempre dei singoli interessati. Perciò tu
li hai in custodia, per finalità esplicite e legittime, previo consenso o altra
base giuridica, per un po' di tempo. E proprio per questo devi difendere e conservare in sicurezza tutti
questi dati, adottando misure per prevenire rischi di violazione.
Dall’entrata in vigore a oggi ci
sono state pronunce dell’Autorità che hanno chiarito o modificato alcuni
aspetti e a cui si deve oggi prestare particolare attenzione? Che cosa è
cambiato dal 2018 a oggi?
L’attività sanzionatoria del
Garante per la protezione dei dati personali è sempre più copiosa. Mi
permetterei di sottolineare due ambiti critici: il primo è l’illecito trattamento di dati per fini di marketing (si pensi alle
sanzioni milionarie di questi mesi ad alcune grandi aziende TLC per comunicazioni
indesiderate); il secondo ambito è sicuramente quello della sicurezza informatica e del data breach,
che non solo creano enormi danni all’operatività di aziende, ma anche reazioni
sanzionatorie per omessa adozione di misure di sicurezza per la tutela dei dati
trattati.
Ci sono processi che potrebbero
cambiare ancora le normative?
C’è un processo chiuso che sta smuovendo
dalle fondamenta questa materia: la famosa sentenza
Schrems 2, sull’illiceità del trasferimento di dati dall’Europa agli USA
senza la stampella del “privacy Shield”. Vedremo gli esiti, ma adesso molti
trasferimenti transoceanici sono appesi a un filo di liceità, e necessitano attenzioni
e misure alternative di non semplice attuazione.
Come mai le sentenze di altri Paesi
possono influenzare anche un sito italiano che si rivolge a un pubblico
italiano?
Internet non ha confini, lo sappiamo. Quindi la normativa in materia di ICT dovrà sempre di più essere (almeno) europea. Oggi è così: pensiamo al GDPR, ma anche al regolamento EIDAS sulle firme elettroniche e adesso alla direttiva copyright. Pensiamo alla forza di sentenze della Corte di Giustizia Europea che garantiscono che una regola sia applicata allo stesso modo in tutti gli Stati membri e quindi sia imposta a tutti gli oltre 400.000.000 europei: solo questi numeri costringono un Facebook o un Google a modificare condotte magari non proprio trasparenti. Non ha senso un “sovranismo” legislativo o giurisprudenziale in materia di digitale, perché verrebbe spazzato via dalla forza dei player globali.
Privacy Policy per siti web e newsletter
Nella costruzione di un sito, a
cosa bisogna prestare particolare attenzione per essere compliant con queste
normative? E per quanto concerne gli e-commerce?
Dipende dal tipo di sito e dalle
politiche gestionali che l’imprenditore vuole adottare. Ma c’è una regola base:
“tratta i dati degli altri come fossero quelli
dei tuoi figli.”
Quali sono gli errori più
comuni nei siti in termini di garanzia della privacy?
Raccogliere dati personali e
“abitudini” di navigazione o acquisto senza aver preventivamente fornito una
completa informativa sul trattamento e aver ottenuto il consenso, quando
necessario. O peggio ancora, raccogliere dati dichiarando una finalità e usarli
per altre.
E in materia di newsletter,
ha suggerimenti da fornirci o errori da evitare?
Tracciare ed essere sempre in grado di esibire il consenso dell’interessato oppure il legittimo interesse del titolare a spedirla in quanto il destinatario è un ex cliente, ai sensi dell’art. 130 comma 4 del Dlgs 196/03. Inserire sempre la possibilità di optout nel messaggio, essendo poi certi che a una richiesta di disiscrizione corrisponda sempre la cancellazione del dato. Non c’è nulla di più rischioso che inviare una comunicazione commerciale a un utente che abbia esercitato l’optout.
La gestione dei dati in azienda
Che autorizzazioni devo
avere per raccogliere dei dati personali e memorizzarli all’interno di un
database aziendale? Quali indicazioni ci può dare per la raccolta di dati
attraverso sistemi di marketing automation?
Non esiste una risposta unica,
perché il trattamento e le relative basi giuridiche dipendono dalla finalità: se tratto dati di un cliente per finalità
fiscali o contrattuali non mi serve alcun consenso. Se uso invece i dati sulle
abitudini di acquisto, sulle pagine visitate e su altri sistemi di tracciamento
interni o esterni al sito al fine di profilare l’utente e veicolare campagne
marketing future, molto probabilmente serve un consenso preventivo e
tracciabile.
Come devono essere conservati
i dati in azienda, ad esempio in un database, CRM, gestionale etc?
Come dicevo all’inizio dell’intervista, i dati personali sono dell’interessato, che li presta all’azienda per specifiche finalità. Quindi è un po' come se un amico ci prestasse la sua moto o la macchina. Dobbiamo innanzitutto informarlo bene su cosa ne dobbiamo fare, dobbiamo ottenere il suo consenso, usarla bene, custodirla in garage cercando di prevenire furti o abusi, per poi restituirla! Quindi quando vogliamo trattare dati dobbiamo: informare, ottenere il consenso, usare i dati limitatamente a quanto avevamo promesso, custodirli e difenderli, cancellarli al termine dell’uso consentito.
Sanzioni per siti difformi
Che cosa si rischia nel non
adempiere alle normative in materia di privacy?
Le sanzioni amministrative arrivano fino a 10 milioni di euro, per i
casi meno gravi, e a 20 milioni per le
condotte più gravi. Ovviamente il Garante adatterà la sanzione a seconda
della norma violata, all’impatto della violazione, alla presenza o meno di
misure e adempimenti volti a prevenire la violazione e soprattutto alla
“grandezza” dell’azienda che ha violato la norma.
Una considerazione finale?
Fino a oggi i “big” (Google,
Amazon, Apple, Facebook ecc.) scorrazzavano quasi privi di limiti nella
gestione di dati e informazioni degli utenti, spremendo le vite degli altri
come dei limoni. A mio parere la linea di tendenza globale sta cambiando,
dirigendosi verso forme di regolazione e
tutela della persona. Ora le Autorità si stanno organizzando, anche a suon
di sanzioni e prescrizioni. Ma a mio parere non sarà la sanzione a far cambiare
rotta: la svolta avverrà solo quando la
tutela della privacy degli utenti avrà un valore intrinseco, anche in
ottica di conversion marketing, più alto della spasmodica e anomica ricerca di
dati e informazioni.
Ringraziamo l’avvocato Vicenzotto per il suo tempo e la chiarezza delle risposte: abbiamo quindi visto come la gestione della privacy nel proprio sito o e-commerce sia un aspetto che non va sottovalutato, se non si vuole incorrere in pesanti sanzioni. Per questo consigliamo tutti i proprietari di siti web a farsi supportare da uno studio legale, o da una agenzia web e digital, e di non lasciare al caso la gestione di questi dati.