Preparatevi un buon caffè, sedetevi comodi e facciamo un po di chiarezza in relazione al GDPR (General Data Protection Regulation), ovvero la normativa europea sulla protezione e il trattamento dei dati personali che entrerà in vigore dal 25 Maggio 2018, con questa intervista che Valentina Nichele, avvocato del foro di Vicenza ed esperta nel mondo del web, mi ha gentilmente rilasciato nei giorni scorsi.
Innanzitutto grazie Vale per la tua disponibilità e andiamo dritti al sodo:
Ci puoi spiegare brevemente cosa è il GDPR?
Il GDPR o Regolamento Europeo n. 679/2016 è un atto normativo adottato dall’Europa per la protezione dei dati personali. Non si tratta del primo intervento legislativo sul punto: in effetti il Codice della Privacy in Italia è entrato in vigore nel 2003 (sulla falsariga di una precedente direttiva “comunitaria”), ma il GDPR introduce delle rilevanti novità e un sostanziale cambio di rotta finalizzato alla responsabilizzazione (c.d. accountability) di tutti coloro che trattano dati altrui. In buona sostanza, d’ora in poi le decisioni in ordine al corretto trattamento dei dati spetteranno anzitutto all’azienda o al professionista, che tuttavia dovranno “muoversi” nel rispetto della nuova normativa. Attenzione però: maggiore spazio di manovra significa maggiori responsabilità.
Quali responsabilità ha lo sviluppatore nei confronti del cliente per cui fa il sito in relazione alla nuova normativa?
Spesso le Agenzie Web, come l’intera collettività, considerano il web una zona “franca” priva di regole giuridiche. E’ opportuno chiarire subito il punto: il web è considerato dalla legge un luogo come un altro, nel quale certi fatti o atti assumono rilevanza giuridica. Compiti e responsabilità dello sviluppatore sono quelli di informare il proprio Cliente che, ad esempio, il form di contatto come l’utilizzo di cookie – magari pure di profilazione – determinano il trattamento dei dati dell’utente e ciò comporta l’obbligo di pubblicare un’informativa sulla privacy completa, chiara, trasparente e soprattutto adeguata alle esigenze del sito web. Inoltre, se l’Agenzia Web nell’espletamento del suo servizio a favore del Cliente, giungesse addirittura (come spesso accade) a “vedere” i dati degli utenti del sito web, allora pure tale rapporto va regolato per evitare d’incorrere in sanzioni.
Quali responsabilità ha lo sviluppatore nei confronti del cliente per cui ha fatto il sito magari anni fa e con cui non ha più nessun rapporto?
Come dicevo, la privacy non nasce con il GDPR, ma già da tempo la materia è regolata dalla legge. Le informative dei siti web redatte prima del 25 maggio 2018 – data di entrata in vigore del nuovo Regolamento – devono essere adeguate al GDPR. Le novità sono rilevanti (ad esempio, l’indicazione dei termini di conservazione dei dati prima non era prevista, come neppure il divieto di accesso al sito per il minore di una certa età) quindi raramente una “vecchia” informativa sarà già adeguata ai nuovi parametri europei. Spetta al titolare del sito web anzitutto attivarsi per la regolarizzazione, ma consiglierei alle Agenzie Web di informare – per quanto possibile – tutti i Clienti sulle modifiche in corso.
Quando un sito non necessita di privacy policy o normativa cookie?
Il sito web non necessita dell’informativa quando non raccoglie dati dell’utente. I sistemi per raccogliere i dati altrui sono sostanzialmente due: il primo è diretto, ossia mediante l’azione volontaria dell’utente che fornisce i propri dati (esempio, con form di contatto); il secondo è indiretto, ossia la raccolta avviene all’insaputa dell’utente (esempio, con utilizzo di cookie o logfile). Il sito web che non necessita dell’informativa è solo quello in cui – con certezza assoluta – manchino i sistemi di raccolta di cui sopra.
La normativa ha valore retroattivo cioè vale anche per dati acquisiti negli anni passati?
Il GDPR non ha efficacia retroattiva. Ciò significa che i trattamenti posti in essere – e conclusisi – prima del 25 maggio 2018 seguiranno le regole della “vecchia disciplina” (quindi del Codice della Privacy). Ad esempio, un consenso regolarmente raccolto nel 2015 non dovrà essere nuovamente richiesto oggi. Attenzione però: il titolare del sito web deve essere certo di aver raccolto regolarmente quel consenso nel 2015. Questo lo specifico perché, per esempio, un consenso raccolto attraverso caselle pre-selezionate, oppure per diverse finalità non specificate nell’informativa (ad esempio: un unico consenso per l’esecuzione del contratto e per l’invio di pubblicità) è invalido pure secondo la “vecchia disciplina”, pertanto il consiglio è quello di revisionare attentamente il sistema privacy adoperato fino ad oggi ed eventualmente adeguarlo alla nuova disciplina.
Quali sono le procedure da seguire a sito consegnato per poter offrire servizi di assistenza o manutenzione al cliente mantenendo pertanto un accesso diretto alle aree riservate o a strumenti di analisi?
Per rispondere a questa domanda occorre prestare un po’ più di attenzione. Lo sviluppatore del sito oppure l’Agenzia Web sono soggetti diversi dal titolare del trattamento dei dati. Quest’ultimo corrisponde alla ditta di abbigliamento, alla farmacia, all’avvocato che hanno commissionato la realizzazione del sito web. Quando l’utente fornisce i propri dati attraverso la navigazione è convinto di interfacciarsi unicamente con la ditta di abbigliamento, la farmacia o l’avvocato, ma sappiamo bene che – spesso – è l’Agenzia Web il soggetto preposto alla gestione del sito. Ed ecco il punto. Senza una specifica autorizzazione (o meglio contratto) tra il titolare del sito e l’Agenzia Web, quest’ultima non potrebbe trattare lecitamente i dati dell’utente. Serve pertanto regolarizzare anche questo aspetto e informare l’utente attraverso l’informativa sulla privacy.
Che responsabilità ha lo sviluppatore che conserva i dati online in un database qualora questi venissero hackerati?
Stiamo trattando il tema del data breach e la qualificazione delle responsabilità dipende dal caso concreto. E’ opportuno comunque evidenziare che lo sviluppatore potrebbe “rispondere” sia civilmente come a livello amministrativo e penale, quindi il tema dell’accesso abusivo a sistemi informatici deve essere trattato con estrema attenzione. In questa sede posso solo limitarmi a suggerire due ottimi sistemi per evitare d’incorrere nelle gravi sanzioni suddette: il primo – se il trattamento è compiuto da un’Agenzia Web per conto del Cliente – mediante la sottoscrizione del contratto di nomina a responsabile esterno (cfr. domanda precedente); il secondo, mediante l’adozione delle misure di sicurezza più adeguate tenuto conto della realtà aziendale di riferimento.
Quali sono gli step e le procedure da seguire per la messa a norma?
Per quanto riguarda il sito web, anzitutto il titolare del trattamento (per tornare all’esempio, la ditta di abbigliamento) dovrà predisporre un’idonea informativa sulla privacy, adeguata alle esigenze del sito e contenente tutti i requisiti previsti dal nuovo regolamento europeo, alla quale dovranno aggiungersi le modifiche materiali al sito web (per esempio, inserimento degli enunciati e delle caselle sotto ai form, sempre in linea con il GDPR). Se il titolare ha incaricato un’Agenzia Web per la gestione del sito, l’ulteriore step riguarda la stipulazione del contratto per la nomina a responsabile esterno del trattamento. Inoltre, sempre il titolare, dovrà incaricare formalmente i propri dipendenti per il trattamento lecito dei dati dell’utente. Ma non è finita qua. In effetti, tutti i dati trattati attraverso il sito web dovranno essere protetti mediante adeguate misure di sicurezza, individuate dal titolare – e dal responsabile – del trattamento in virtù del principio di responsabilizzazione di cui abbiamo già parlato.
Tutto ciò per quanto riguarda il GDPR e i siti web. Resta inteso che la riorganizzazione della privacy tocca anzitutto l’azienda, che dovrà “rivedere” il proprio asset interno per conformarlo ai nuovi principi europei.
Grazie mille Valentina, sei stata chiarissima, a questo punto direi che non ci rimane che correre velocemente ai ripari prima che sia troppo tardi e prepararci quindi a molti caffè come questo con i nostri clienti.
Simone Baldassin
Sono Full Stack Developer di professione e YouTuber per diletto, specializzato nello sviluppo di temi custom per WordPress e digital marketing. Oltre a realizzare siti web, dal 2010 tengo corsi di Web Design, in aula e in streaming, presso Veneto Formazione.