Dati protetti per sito web e e-commerce, alla prova del GDPR
I dati sono il nuovo oro nero. Tracciabilità, segmentazione e profilazione rappresentano una chiave sicura per il successo. Ma come gestire una quantità così ingente di dati nel completo rispetto della privacy degli utenti? Come non incappare in sanzioni per inadempimento degli obblighi?
Dal 25 maggio 2018, l’entrata in vigore del Regolamento europeo per la protezione dei dati (GDPR) fornisce una nuova chiave di lettura del fenomeno “privacy”, con indicazioni precise su come agire in ogni campo, anche nella gestione di siti web e e-commerce.
Per i non addetti ai lavori, può risultare un testo di difficile comprensione. Per questa ragione abbiamo chiesto delucidazioni a Daniele Umberto Spano, Amministratore di Kruzer.
Infatti Kruzer non è una società multiservizio che si occupa anche di privacy, ma è nata per occuparsi solo ed esclusivamente di privacy. A seguito del GDPR, molti hanno pensato di improvvisarsi esperti di privacy, ma Kruzer può vantare un team di avvocati esperti appartenenti al network legale internazionale Delex: una specializzazione che consente di porre in relazione problematiche di carattere giuridico con le attività e le situazioni critiche dei clienti in tema di privacy.
Sono numerose le attività di Kruzer: implementazione della documentazione necessaria per adempiere alla normativa vigente; gestione di eventuali data breach; all’occorrenza, assunzione del ruolo di un Data Protection Officer (DPO) in outsourcing; formazione privacy obbligatoria presso la sede del cliente. Abbiamo chiesto a Daniele Umberto Spano di partire dall’inizio.
Quali sono le principali novità introdotte dal GDPR?
Il regolamento uniforma a livello europeo i diritti dei soggetti interessati e gli adempimenti dei titolari e dei responsabili dei trattamenti di dati. La vecchia normativa lasciava molta più discrezionalità ai singoli Paesi. C’è grande attenzione alla protezione dei dati, infatti i documenti cardine dell’adeguamento al GDPR, oltre ai registri dei trattamenti, sono l’analisi dei rischi e l’analisi d’impatto privacy. È previsto che il titolare e il responsabile dei trattamenti implementino tutte le misure idonee, tecniche e organizzative, affinché i dati personali siano protetti, tutelati e utilizzati in modo lecito. Altra novità è l’obbligo, per alcune tipologie di organizzazione, di nominare il Responsabile della Protezione dei Dati, una sorta di “garante aziendale” superpartes, che deve garantire la conformità delle misure intraprese, effettuando audit, formazione e attività di miglioramento dei processi di trattamento dati.
In che modo queste novità interessano chi gestisce un sito web o un e-commerce?
Il fatto di operare nel web non esime dal pieno rispetto dei principi di base del GDPR: trasparenza; rispetto delle finalità; applicazione delle corrette basi giuridiche (per esempio il consenso esplicito) in base al trattamento; protezione dei dati; rispetto dei tempi di conservazione; limite alla diffusione; etc. Le informative dovranno essere redatte secondo i criteri della nuova normativa e una grande attenzione va posta nell’utilizzo dei cookies e dei trasferimenti dei dati verso i Paesi extraeuropei. Quest’ultimo aspetto è di importanza rilevante specialmente dopo che è venuto meno il privacy shield che garantiva l’invio dei dati verso gli Stati Uniti senza particolari impedimenti. Oggi l’invio di dati verso gli Usa è paragonabile all’invio degli stessi verso la Cina o l’India. Sarà d’obbligo trovare la corretta base giuridica o applicare delle clausole contrattuali a garanzia dell’utente.
Quali le sanzioni previste in caso di inadempimento degli obblighi?
Le sanzioni previste dal GDPR riguardano solo i massimali applicabili: fino a 20 milioni di euro o il 4% del fatturato mondiale dell’azienda. Sarà il Garante del Paese europeo interessato ad applicare la sanzione ritenuta più corretta. La quantificazione della sanzione avviene secondo alcuni criteri, quali la gravità dell’inadempienza, il numero di soggetti coinvolti, il grado di partecipazione del soggetto alle disposizioni imposte dal Garante a seguito di un ammonimento, etc. Alcune recenti sanzioni esemplari sono state, per esempio, Google con 50 milioni di euro, in Francia; il gigante dell’abbigliamento H&M con 35 milioni, in Germania, ma non mancano provvedimenti a carico di piccole e medie imprese e professionisti. Inoltre, in caso di cagionamento di danni a terzi, il Codice civile prevede un congruo risarcimento.
Quali sono le aree di intervento per l’adeguamento di un sito web al GDPR?
Gli interventi dei Garanti europei dimostrano che non sono solo i documenti e le formalità ad avere peso, ma l’applicazione di misure concrete per la protezione dei dati. Per questo, noi di Kruzer consigliamo, come prima azione da compiere, un’analisi delle vulnerabilità del sito e la relativa mitigazione delle stesse. Tutto deve essere documentato e riportato nell’analisi dei rischi, per soddisfare le condizioni di compliance privacy online. Come accennavo prima, è importante redigere le corrette informative che devono comprendere una descrizione dei cookies utilizzati e la possibilità di disattivarli. L’utente deve essere in grado di compiere le sue scelte e non sono ammissibili situazioni che comportino la condizione di silenzio-assenso (spesso ancora molto diffusa) per l’accettazione di strumenti di profilazione, analisi e diffusione di dati personali e dati di navigazione. Ricordiamo che il numero IP è considerato dato personale. Un aspetto tipico dei nostri tempi e quindi relativo anche al GDPR è la condivisione dei dati con i social network. Il classico link “mi piace” inserito sul sito che determina il “like” sul social di riferimento, genera un’automatica contitolarità con il gestore del social. Dovremo tenerne conto nell’elenco dei destinatari da inserire nell’informativa.
Come redigere un documento di Informativa Privacy che sia esaustivo, chiaro e trasparente?
I criteri per la redazione dell’Informativa Privacy sono contenuti nel testo del GDPR. Il testo dell’Informativa deve essere chiaro, comprensibile e deve riportare obbligatoriamente alcune informazioni sui dati trattati, come per esempio: tipologia e finalità; destinatari; basi giuridiche; tempi di conservazione; diritti dei soggetti interessati (una novità è il diritto alla portabilità dei dati); conseguenze in caso di rifiuto di un trattamento; dati di contatto del titolare/responsabile dei trattamenti ed eventuale DPO. È consigliabile la verifica dell’informativa da parte di un esperto per evitare errori e mancanze, in particolare nella determinazione delle basi giuridiche. Inoltre, è bene specificare che un’impresa avrà più di un’informativa, infatti è d’obbligo redigere tante informative quante sono le categorie di soggetti interessati, nonché trattamenti particolari. Per esempio, dovrà essere redatta l’Informativa clienti, l’Informativa dipendenti, l’Informativa per il sito web, l’Informativa completa per la videosorveglianza, l’Informativa per i candidati a un posto di lavoro, etc.
Come gestire i cookies per evitare che rappresentino un ostacolo alla compliance privacy?
È fondamentale informare l’utente circa la presenza delle categorie di cookies presenti e la loro finalità. Gli unici cookies che possono essere attivati per default sono quelli tecnici essenziali per la corretta funzionalità del sito e quelli statistici che non memorizzano ne diffondono il numero IP, ma forniscono semplici statistiche anonime sulla frequentazione delle pagine del sito interessato. Tutti gli altri cookies di profilazione, di memorizzazione della frequentazione del sito o, a maggior ragione, quelli di terze parti devono essere attivabili dall’utente in modo volontario e informato.
Quali attenzione occorre tenere per eventuali Contact Form o Pagine checkout?
Entrambe le pagine devono contenere un link all’Informativa Privacy del sito. L’Informativa dovrà contenere tutte le informazioni riguardo i dati trattati per le finalità delle rispettive pagine. È bene raccogliere i dati strettamente necessari alle operazioni da effettuare in queste aree del sito (principio della “minimizzazione” del trattamento). È necessario mettere a disposizione dell’utente un flag di conferma di lettura dell’informativa per i trattamenti le cui basi giuridiche sono il legittimo interesse del titolare dei trattamenti, leggi nazionali o l’esecuzione del contratto e un flag di consenso per i trattamenti che prevedono una volontà esplicita del soggetto interessato. Sarò più chiaro: l’indirizzo di spedizione della merce avrà, come base giuridica, l’esecuzione del contratto; i dati per la fatturazione avranno, come base giuridica, la normativa fiscale del Paese in questione. In questi casi, quindi non serve un consenso, ma è importante informare semplicemente l’utente. Al contrario, le comunicazioni di marketing, l’invio di newsletter, la profilazione del soggetto (raccolta di dati inerenti ai gusti, alle preferenze, ai comportamenti, etc.) e tutto ciò che non riguarda direttamente la fornitura richiede il consenso esplicito del soggetto interessato. In ogni caso, è necessario raccogliere il consenso quando tratto indirizzi mail personali, numeri di cellulare e/o quando creo un profilo di utente registrato. Se il cliente aveva già espresso i consensi in fase di iscrizione al sito, non è necessario ripetere l’operazione.
Come funziona la conservazione dei consensi?
I consensi vanno conservati e resi disponibili in caso di richiesta da parte dell’utente interessato o degli organi ispettivi. Il consenso deve poter essere revocato in qualsiasi momento dall’interessato. Non esiste un’indicazione normativa precisa sulla durata dei consensi, ma secondo alcuni pronunciamenti non dovrebbe superare i 10 anni. Tuttavia, dipende da molti fattori: il cliente utilizza il servizio in modo continuativo o spot? Sono cambiati elementi importanti nell’ambito del trattamento di quel dato, come per esempio, Paesi di destinazione, categorie di destinatari, etc.? Insomma, il GDPR fornisce un’indicazione di massima, ma non tutte le risposte.
In che modo l’operazione di backup può proteggere un sito web o e-commerce da attacchi hacker?
Il backup non protegge dagli attacchi, per questo esistono altri artifizi, però è utile in caso di perdita di disponibilità e/o integrità del dato. Pensiamo a un incidente informatico o all’azione di un ransomware, più conosciuto come “Cryptolocker” (solo una delle centinaia di tipologie di ransomware). Ci si potrebbe ritrovare con i dati cancellati, criptati o, per qualche ragione, indisponibili. Già nel 2003 il decreto di riferimento disponeva di effettuare tre backup: due all’interno dell’organizzazione (uno offline) e l’altro esterno. Oggi ci sono i sistemi di cloud che fanno perfettamente al caso. È bene redigere una procedura definita che preveda la pianificazione e verifica dei backup effettuati.
Un altro aspetto critico è la formazione del personale. Come garantire una preparazione sufficiente?
Nel GDPR è molto chiara l’importanza della formazione: l’art. 29 prevede la formazione obbligatoria per tutti i soggetti che, a vario titolo, effettuano trattamenti di dati personali. Le aziende dovrebbero organizzare, per i propri collaboratori, sessioni periodiche sui principi del GDPR, sulle buone pratiche di gestione dei dati personali e sui principali rischi, informatici e fisici, di violazione e di attività non lecite da evitare e prevenire.
Al di sopra di quale soglia il traffico generato su un sito web o un e-commerce può considerarsi “in quantità massiva”, tale da richiedere la figura di un Data Protection Officer (DPO)?
Non esiste una risposta univoca. Vanno analizzati i casi specifici. A ogni modo è quasi intuitivo immaginare che una piccola società che vende prodotti per la casa a livello locale, a integrazione delle attività commerciali correnti, non necessita di un DPO, al contrario di un sito e-commerce generalista che conta svariate migliaia o centinaia di migliaia, se non milioni di utenti. Potrebbe essere però necessario a un laboratorio di analisi mediche (molti rendono i referti disponibili online), anche se non molto grande, per via della tipologia di dati trattati. Bisogna, in pratica, tener conto non solo della massività del trattamento ma anche dal tipo di dati trattati.
Come poter essere sicuri che il processo di adeguamento sia andato a buon fine?
È necessario effettuare degli audit analizzando i documenti redatti e ripercorrere il “tragitto” dei dati personali all’interno dei processi aziendali valutando le misure adottate per la sicurezza, il livello di formazione delle persone coinvolte nei trattamenti. In pratica si analizzano tutte le attività e i progetti dell’azienda, dalla gestione del personale alla gestione della vendita e della post vendita, in relazione al tema della privacy e della protezione e della tutela dei dati. Attenzione a non commettere un errore molto comune: il GDPR, pur non essendo solo documentazione, non è neanche solo informatica. È inutile adottare infrastrutture gigantesche a prova di hacker e poi magari avere la leggerezza di spedire comunicazioni particolari via mail a gruppi di destinatari in chiaro. Inoltre è importante dire che l’adeguamento è un processo in divenire: nel corso del tempo, le aziende subiscono il turnover del personale, vengono implementati nuovi progetti e attività, viene installata la videosorveglianza, viene cambiato il sito web, etc. Sarà necessario rivedere periodicamente i processi e aggiornare il punto della situazione.
