Dopo l’articolo sul GDPR scritto da Rosanna Celella e Marco Seppone, abbiamo voluto approfondire ulteriormente l’argomento e abbiamo chiesto ad Antonio De Martino, specialista ICT, di integrare quanto già scritto riguardo l’adeguamento dei portali web al GDPR e lui ci ha fornito una risposta completa ed esaustiva.
GDPR, siti web, webmaster e proprietari…
In forza di quanto riassunto in precedenza sulla nuova impostazione della Privacy attraverso il GDPR, i proprietari dei siti web – dai privati che utilizzano blog e newsletter, alle aziende che implementano piattaforme di e-commerce – dovranno adottare adeguate misure sia tecniche e sia organizzative che permettano di rendere tali siti e le attività connesse, conformi a tale Regolamento. Infatti le persone fisiche possono essere associabili a identificativi online che sono prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati ( quali gli indirizzi IP, e i cookies). Tali identificativi possono lasciare tracce che in particolare, se combinate con altre informazioni ricevute ad esempio dai server, possono essere utilizzate per creare profili delle persone fisiche e quindi identificarle. Questo significa che il webmaster del sito non è l’unico soggetto che deve intervenire, ma anche i proprietari dello stesso dovranno adeguare le proprie procedure. In sintesi dovranno lavorare in sinergia:
- Il webmaster/sviluppatore che dovrà rendere tecnicamente a norma il sito web affinché esso sia allineato a quanto stabilito dal GDPR;
- I proprietari del sito che dovranno vigilare nel tempo per rispondere all’utenza ed eventualmente all’Autorità di Controllo.
Inoltre chi gestisce un sito web deve sapere che, come gestore del servizio di Web Hosting, è giuridicamente responsabile del trattamento dei dati, perché elabora i dati per conto del Titolare. Pertanto è necessario che sia stipulato un contratto scritto tra Titolare e Web Hosting, in cui indicare nel modo più dettagliato possibile, quali trattamenti dei Dati Personali raccolti sono autorizzati, e quali misure di sicurezza devono essere adottare. In caso di violazioni commesse dal Web Hosting, il Titolare sarà comunque il responsabile di fronte alle autorità di controllo. Vediamo alcuni aspetti del mondo web che devono essere tenuti in considerazione per garantire la conformità al nuovo Regolamento sulla Privacy.
MODIFICARE LA POLITICA DELLA SICUREZZA / INFORMATIVA
Molte informative, riportate all’interno dei siti web, dovranno probabilmente essere modificate sulla base di quanto richiesto dal Regolamento (art. 13). Esse dovranno riportare :
- la o le finalità per le quali sono raccolti e trattati i dati personali (es. per effettuare un acquisto on line o per poter inviare newsletter)
- la base giuridica del trattamento: cioè la motivazione, contrattuale, legale, di interesse pubblico ecc. per la quale vengono raccolti e trattati i dati personali
- se il conferimento dei propri Dati Personali è obbligatorio o facoltativo e cosa accade se non viene concesso il consenso all’uso;
- gli eventuali destinatari o categorie di destinatari a cui potrebbero essere trasmessi i dati personali
- l’identità e i dati dei referenti dell’azienda, interni o esterni, quali Titolare, Rappresentante, DPO
- il periodo di conservazione dei dati personali
- le modalità per esercitare i diritti dell’interessato in termini di Revoca del consenso, Opposizione o Limitazione del trattamento, , Rettifica, integrazione o Cancellazione dei dati raccolti
- la metodologia utilizzata per la eventuale gestione automatizzata dei dati personali raccolti e la possibilità che i dati personali raccolti siano facilmente scaricabili e portabili dallo specifico interessato
- le indicazioni richieste dal Regolamento nel caso di utilizzo del sito da parte di Minori (art. 8).
Il Regolamento richiede inoltre che tale informativa sia presentata in modo conciso,trasparente,intelligibile,facilmente accessibile,scritta con un linguaggio semplice e chiaro (soprattutto se è rivolta a minori). Il documento presentato dovrebbe essere realizzato il più possibile a “cipolla” e cioè a strati in modo da evitare un lungo documento, spesso illeggibile, ma formato possibilmente da una pagina principale, già esaustiva per ottenere il consenso, a cui si possono aggiungere più strati informativi di dettaglio che possono essere visualizzati a richiesta dell’utente
GESTIONE DEI FORM E CONSENSO
E’ stato ribadito in modo più stringente quello che era già implicito nel Codice della Privacy e cioè che i moduli di compilazione dei dati personali di un utente presenti sul sito web non devono più includere caselle pre-selezionatesoprattutto nei campi dove viene richiesto il consenso finale (art. 7 ) che deve essere esplicito, inequivocabile e frutto di una libera scelta non condizionata (un’interpretazione più estesa sul consenso permette al massimo di presentare per default una selezione sul NON CONSENTO, mentre è assolutamente vietata quella sul CONSENTO). Gli utenti dovrebbero poter essere messi in grado di fornire un consenso separato per i diversi tipi di elaborazione : ad esempio, un’opzione per essere contattati per posta, una per e-mail e una per telefono: con tre caselle di spunta separate.
Analogamente se si raccolgono dati attraverso un sito Web per conto di diverse terze parti (ad esempio i dati di un candidato da trasmettere a diverse agenzie interinali), è necessario fornire chiaramente un’opzione di attivazione per ciascuna parte. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. Le modalità di revoca devono essere esercitate attraverso un processo che sia di una semplicità almeno pari a quella necessaria per concederlo e gli utenti web devono sempre essere a conoscenza del diritto di poter revocare il loro consenso. Ciò significa, ad esempio fornire sempre un modo per annullare l’iscrizione ad un servizio di e-mail marketing
COOKIES
Il “Cookie Law” rimane in vigore e praticamente in modo invariato (v. articolo specifico). I banner, per avvisare di trattamenti specifici dovranno però essere sostituiti da una sorta di Informativa breve e dell’eventuale richiesta di consenso. In pratica i banner informativisul trattamento dei dati e la privacy avranno diverse voci: si potrà accettare o meno i diversi cookie (tecnici, di profilazione o di terze parti) separatamente ed il consenso deve essere dato secondo una chiara azione affermativa (esempio proseguendo la navigazione: consenso implicito). Il consenso comunque non è richiesto per il cookie non intrusivi.
Inoltre sarà possibile eliminare i cookie, anche dopo la loro accettazione al fine di ottemperare il cosiddetto “diritto all’oblio” che in questo caso consiste nel garantire l’opportunità di cancellare i propri dati di navigazione con la stessa facilità con cui si è espresso il consenso al loro trattamento.Questo implica che gli utenti abbiano accesso al proprio attuale stato di consenso in ogni momento, e che possano modificarne le impostazioni o ritirare completamente il proprio consenso
Fra le tipologie di utilizzo dei cookie vi sono quelli, alquanto invasivi, che sono utilizzati per attività di Remarketing, retargeting; in questo caso è necessario specificare, nella politica sulla privacy, che i cookie vengono utilizzati in questo modo.
IP TRACKING
Anche gli indirizzi IP, che identificano i dispositivi predisposti per navigare su internet sono considerati dal GDPR un Dato Personale e quindi il loro trattamento dovrebbe essere soggetto a consenso inequivocabile.
Questo vale anche nel caso di un indirizzo IP dinamicoche essendo mutevole ad ogni accesso, non identifica una persona fisica ma consente comunque l’identificabilità dell’individuo (intestatario del contratto di accesso) tramite l’incrocio con ulteriori informazioni eventualmente detenute da terzi, (ad es. il provider) ne può consentire la individuazione.
Inoltre qualora siamo in presenza di operatori che forniscano un codice di tracciamento da incorporare nel sito di un utente, ad esempio per ottener dettagli identificabili dei visitatori del sito stesso, è necessario che vi sia una richiesta di consenso per questo tipo di operazione e tale pratica sia indicata nella politica della Privacy / informativa.
APP
Nel caso di applicazioni che trattano dati personali (ad esempio che richiedano la compilazione di un form) è necessario attivare il consenso preventivo ed informato al trattamento di Dati Personali dell’interessato fin dalla fase di installazione: Ciò implica che l’utente deve poter scegliere se accettare o rifiutare il trattamento dei suoi Dati Personali tramite l’APP già al momento del download. Il semplice clic su un tasto “installa” non si può considerare un valido consenso e deve essere disponibile anche un’opzione “Cancella” o che comunque blocchi l’installazione.
EMAIL MARKETING
Quando si crea un elenco di indirizzi email ( o numeri di SMS) a fini di comunicazione pubblicitaria, incluso l’invio di newsletter, è sempre bene operare nello spirito del Privacy by Designe cioè definire molto bene il processo di comunicazione tenendo ben presente i rischi a cui possono essere soggetti i destinatari.
Prima di tutto è bene ricordare che i dati da salvaguardare (incluse quindi le e-mail) sono quelli relativi alle Persone Fisiche e non alle aziende (es. Mario.Ross@gmail.com) e non (info@bianchisrl.it)
Inoltre se si dispone già di un data base, a cui sono state inviate in precedenza delle email su un determinato argomento o su argomenti collaterali, non è necessario richiedere il consenso per i successivi invii, ma è sufficiente verificare che il destinatario non abbia espresso la volontà di cancellarsi dalla mailing list. Qualora invece la natura dei contenuti di una email sia effettivamente sostanzialmente differente, allora una nuova manifestazione di consenso si rende necessaria.
In entrambi i casi è comunque necessaria la trasmissione di una informativa conforme a quanto richiede il GDPR.
Invece per nuovi elenchi o nuove e-mail è necessario comunque tenere presente che:
- il fatto che il consenso deve essere informato attraverso l’informativa allineata al GDPR
- è necessario differenziare la richiesta di consenso per ogni obiettivo per cui si collezionano le email (ad esempio scaricare ebook o ricevere mail informative sono due argomenti diversi)
- è vivamente consigliato il double opt inche consiste nell’invio di una email di conferma all’indirizzo dell’utente che si iscrive, ad esempio, ad una newsletter, per verificare l’autenticità della richiesta
- è possibile comprare contatti email solo se è stato esplicitato che i destinatari hanno acconsentito al ricevimento di email/SMS relative a ben definiti argomenti / richieste
- in ogni mail deve essere presente la possibilità di cancellarsi a comunicazioni di marketing, a tutte le comunicazioni oppure di eliminare tutti i dati storicizzati di un richiedente.
PAGAMENTI ON LINE
Chi si occupa di e-commerce, probabilmente utilizzerà un gateway di pagamento per le transazioni finanziarie: PayPal, Stripe, SagePay, ecc. Il sito Web potrebbe trattenere i dati personali prima che essi siano passati sul gateway di pagamento. Se questo è il caso, sarà sicuramente necessario un certificato SSL/TLS per assicurarsi che queste informazioni siano correttamente crittografate. Inoltre sarà necessario modificare la politica sulla privacy e i processi web per rimuovere qualsiasi informazione personale dopo un periodo ragionevole, ad esempio 90 giorni ed essere pronti a fornire tutti i dettagli che si hanno in possesso all’interessato fino a rimuovere completamente tutti i dati su richiesta.
CONFORMITÀ DEI SITI WEB ALL’HTPPS
Tutti i siti web dovranno essere conformi all’ HTTPS ( ‘HyperText Transfer Protocol over Secure Socket Layer), che è rappresenta un insieme di procedure informatiche per la comunicazione sicura attraverso una rete di computer (e quindi utilizzato su Internet)
Tali procedure permettono di ottenere:
- un’autenticazione del sito webvisitato e del server webassociato
- la protezione della privacyattraverso una cifratura bidirezionale delle comunicazioni tra un client e un server. Tale cifratura si basa su protocolli delle transazioni dei dati sicuri il TLS Transport Layer Security che sta sostituendo protocolli meno affidabili come quelli detti SSL Secure Sockets Layer.
- L’integrità dei dati scambiati tra le parti comunicanti
Quadro normativo di supporto
Alcuni organismi internazionali quali la ISO (International Organization for Standard ) e la britannica BSI (British Standards Institution) si sono già da tempo adeguate alla necessità di emettere Normative / linee Guida per la corretta gestione dei Dati e delle Informazioni soprattutto in ambito ICT . Citiamo le più significative :
- BS 10012:2017 Data protection – Specification for a personal information management system.Questa norma, emessa di recente dall’organismo britannico, rappresenta lo standard più significativo per la definizione degli aspetti organizzativi necessari per una corretta gestione delle informazioni personali (indipendentemente dalla modalità utilizzata: elettronica, cartacea, vocale ecc.).Tale norma è in predicato di essere lo standard di riferimento per rispondere agli auspici di Certificazione di Sistema di gestione della privacy, citati nell’ articolo 42 del GDPR.
- ISO/IEC 29100:2015 Tecnologie Informatiche – Tecniche per la sicurezza—Quadro di riferimento per la Privacy.Tale standard presenta un quadro di architettura di alto livello e dei controlli associati per garantire la salvaguardia della privacy nei sistemi informatici e di comunicazione (ICT) che raccolgono, elaborano ed archiviano Dati Personali identificabili
- ISO/IEC 27001 Information technology – Security Techniques – Information security management systems.Questo standard internazionale rappresenta un modello per stabilire, implementare, operare, monitorare, revisionare, mantenere e migliorare un Sistema di Gestione della Sicurezza delle Informazioni (ISMS). Per ogni specifico caso si può far riferimento a tutta la famiglia ISO 27000 (in particolare dalla ISO 27002 alla ISO 27043 che trattano aspetti diversi della Sistema di Gestione della Sicurezza dell’Informazione (ISMS)
- UNI ISO 10008 Gestione per la Qualità – Soddisfazione del Cliente Linee Guida per le transazioni di commercio elettronico business to consumer.In particolare da questa linea guida di possono prendere spunti interessanti per alcuni elementi in essa contenuti e che riguardano l’identificazione del consumatore, Supporto ed Autorizzazione al pagamento e la Gestione dei dati del consumatore, utili per chi propone Piattaforme di Vendita on Line.