Il GDPR per le piccole (e piccolissime) imprese
Quali elementi occorre considerare per far sì che il trattamento dei dati personali effettuato attraverso il sito web sia conforme alla normativa sulla protezione dei dati personali?
Gli elementi sono molteplici, e variano anche sensibilmente in ragione delle finalità e delle tipologie di dati trattati.
Vi sono tuttavia alcuni elementi ricorrenti che possono avere una portata più ampia e costituire la base per una prima valutazione.
Ad esempio, è noto che anche l’indirizzo IP è un dato personale. Pertanto l’informativa per i dati di navigazione (che è bene posizionare nel footer, dato che in tal modo sarà raggiungibile da qualunque pagina) sarà un elemento comune a tutti i siti web, che siano presenti o meno moduli di contatto, anche in ossequio alla raccomandazione WP 43.
Così come vi sono elementi che nell’esperienza generano maggiore confusione, ad esempio il fatto che le aree del sito “lavora con noi” sollecitano l’invio di informative e non beneficiano dell’esenzione prevista per l’invio spontaneo di curricula.
O ancora: è abbastanza frequente che nei siti siano presenti form per l’invio di newsletter. Quali dati sono necessari per il loro invio? Se la newsletter è in forma elettronico, è davvero indispensabile la richiesta dell’indirizzo cartaceo? Non sono domande oziose: il trattamento dei dati personali deve rispettare i principi di pertinenza e non eccedenza, e, trattandosi di dati in formato elettronico, anche quello di necessità.
Il trattamento dei dati personali per finalità di marketing
Anche le esigenze e le prassi del marketing spesso faticano ad allinearsi alla normativa in materia di trattamento dei dati personali. Predisporre moduli con consensi preflaggati, rendere informative incomplete o subordinare l’accesso ai servizi al consenso per le comunicazioni commerciali ha l’effetto di generare banche dati inutilizzabili, perché i consensi non sono stati validamente espressi, e compromettere banche dati rilevanti o di grandi dimensioni espone a sanzioni importanti, ben più consistenti di quelle previste per lo spam (nel quale, pure, si incorre).
Per completare la serie di checklist privacy già pubblicate (volte a fornire indicazioni basilari, e non certo esaustive in ordine al trattamento dei dati personali), ho pensato di aggiungere una checklist dedicata ai siti web.
Valgano le stesse indicazioni già fornite: si tratta di uno spunto, e come tale va inteso, non di una consulenza specifica. Ho cercato comunque di inserire quelle che mi sembrano le ipotesi più frequenti (ricapitolando in due righe i principali adempimenti sui cookie ad esempio), in modo da fornire un punto di partenza generale per la valutazione da operare sul trattamento dei dati personali effettuato attraverso il sito.
Un’ultima avvertenza: dare una risposta positiva agli ultimi tre punti significa che il trattamento dei dati personali operato non è compliance. Invece, dare una risposta positiva ai punti precedenti indica che, a grandi linee, si sta procedendo sulla strada giusta ma, attenzione, non viene valutato il merito: la checklist è limitata agli adempimenti formali, non si estende ai contenuti!
Tutti i contenuti presenti nel blog, ove non diversamente specificato, sono distribuiti con licenza Creative Commons Attribuzione – Condividi allo stesso modo 4.0 Internazionale.
Articoli correlati
