Il presente contributo è focalizzato sugli aspetti formali e legali da rispettare nel pubblicare on-line un sito web o unâapp.
Data la rapida evoluzione della normativa e la relativa complessitĂ della medesima, soprattutto con riferimento a determinate categorie di dati o attivitĂ , esso deve essere considerato di tipo generale e necessariamente riscontrato con un professionista della materia per utilizzi specifici. Si noti, inoltre, che lâarticolo non è riferito ad attivitĂ di E-commerce e vendita on -line, le quali, oltre a dover garantire lâaderenza ai requisiti sotto elencati, devono, in aggiunta, prendere in considerazioni aspetti rilevanti legati, ad esempio, alla tutela del consumatore ed al relativo impatto nelle condizioni di vendita.
Sommario di questo articolo
Elenco dei principali requisiti con riferimento ai dati, alla privacy ed al consenso
I principali requisiti legali, nellâambito di una normativa in continua evoluzione, e che si presenta, naturalmente, mutevole a seconda dei paesi che prendiamo in considerazione, sono sei:
- Pubblicazione dei dati obbligatori (Italia)
- Privacy Policy
- Cookie Law e Cookie Policy
- Termini e Condizioni di utilizzo
- Registro dei consensi
- Obblighi di informativa ai sensi del CCPA (per la sola California)
Di solito vengono applicate le leggi di uno specifico Paese quando:
- La base dellâattivitĂ si trova in quel Paese
- I server o i servizi di hosting hanno sede in quel paese
- Il servizio proposto è rivolto agli utenti di quel paese.
Ciò implica che una determinata normativa locale può essere applicata indipendentemente dal fatto che la specifica attività si trovi o meno o meno in un determinato paese.
Dati obbligatori (legislazione italiana)
Quali sono i dati obbligatori da inserire nella homepage?
Lâunico dato da pubblicare necessariamente sulla pagina principale del sito web è il numero di partita IVA, di solito inserita nel footer della homepage.
Questo obbligo deve essere rispettato da tutti i titolari di partita IVA, sia societĂ che persone fisiche. In caso di violazione dellâobbligo è prevista una sanzione amministrativa.
Altri dati obbligatori
Oltre alla partita IVA, chi è proprietario di una ditta individuale deve pubblicare sul proprio sito web:
- nome e cognome
- indirizzo della sede legale
- iscrizione al registro delle imprese
- numero di repertorio economico amministrativo
Ă consigliato, ma non obbligatorio, fornire allâutente un indirizzo di posta certificata o PEC.
Le SRL e SPA devono inoltre pubblicare i altre informazioni, oltre a quelle previste per le ditte individuali:
- capitale sociale versato
- ragione sociale
- indicazione di socio unico
- eventuale stato di liquidazione
Altre informazioni sono richieste nel caso in cui tramite il sito si vendono alimenti. Non è necessario inserire tutti questi dati nellâhomepage, basta garantire il loro accesso agli utenti allâinterno del documento di termini e condizioni del sito web, o anche in una pagina dedicata di note legali o contatti.
Cookie e GDPR: nuove linee guida dallâItalia
LâAutoritĂ italiana per la protezione dei dati personali, il Garante Privacy, ha pubblicato il 10 Dicembre 2020 delle linee guida sullâutilizzo di cookie e altri strumenti di tracciamento da parte dei titolari di siti web.
il Garante italiano ha aggiornato le proprie linee guida in materia di cookie allineandole al GDPR, come giĂ accaduto in molti altri paesi europei (Regno Unito, Francia, Germania e Spagna). Secondo le nuove regole:
- lâutente dovrĂ poter prestare il consenso solo a specifiche categorie di cookie (consenso granulare);
- in qualunque momento lâutente dovrĂ poter modificare le preferenze precedentemente espresse;
- il banner dovrĂ prevedere un comando (es. una X in alto a destra o un pulsante âRifiutaâ) per chiudere il banner senza prestare il consenso allâuso dei cookie e mantenendo le impostazioni di default;
- divieto ai âcookie wallâ (non sarĂ possibile costringere lâutente ad accettare i cookie per accedere al sito);
- lo scorrimento della pagina non potrĂ piĂš essere considerato un metodo valido per prestare il consenso allâinstallazione dei cookie;
- il titolare del trattamento dovrĂ poter dimostrare di aver ottenuto un consenso cookie secondo gli standard del GDPR.
Queste linee guida non sono ancora definitive, lo diventeranno non appena sarĂ fissata una data ufficiale di applicazione delle nuove regole.
Privacy Policy
La maggior parte delle legislazioni prevede che lâutente si adeguatamente informato in merito al trattamento dei dati tramite una privacy policy chiara e completa, che siano garantite misure di sicurezza per la protezione dei dati, e che siano disponibili metodi per raccogliere e revocare il consenso.
I requisiti possono cambiare a seconda delle attivitĂ di trattamento, alla normativa di riferimento, allâetĂ dellâutente o al tipo di azienda, quindi, oltre ai principi generali, è possibile che ci siano obblighi aggiuntivi da rispettare.
Quali sono le informazioni base da fornire agli utenti?
Gli utenti devono essere informati, in modo chiaro, su:
- informazioni di contatto e identitĂ del proprietario del sito
- data di entrata in vigore dellâinformativa privacy
- tipo di dati trattati
- informazioni su eventuali terze parti che abbiano accesso ai dati
- metodo adottato per la notifica agli utenti delle modifiche apportate alla privacy policy
- diritti dellâutente in relazione ai propri dati
Il consenso al trattamento da parte dellâutente si può ottenere con qualsiasi metodo che richieda allâutente unâazione diretta, positiva e verificabile, come pulsanti di scelta, campi di testo, check-box, etc. A seconda della normativa applicata, oltre a prestare il consenso, gli utenti devono essere anche in grado di revocare o negare il consenso.
Requisiti specifici europei: GDPR
Cosâè il GDPR?
Il General Data Protection Regulation è il regolamento europeo in materia della protezione dei dati personali che è stato introdotto dal 25 maggio 2018, con lo scopo di garantire la protezione dei dati personali allo stesso modo in tutto il territorio europeo.
La normativa spiega come vanno trattati, raccolti, utilizzati e protetti i dati personali nellâUE.
Quando si applica il GDPR?
Il GDPR si applica se la sede operativa dellâorganizzazione si trova nellâUnione Europea ma, la sua applicazione, viene estesa anche a quelle organizzazioni che, seppur abbiano sede non allâinterno dellâUnione Europea, offrono servizi o beni a cittadini europei. Si può quindi concludere che il GDPR si applica indipendentemente dal fatto che lâorganizzazione si trovi o meno nellâUnione Europea.
Il regolamento non viene applicato quando:
- I dati vengono tratti da una persona fisica per attivitĂ personali
- I dati trattati sono dati aziendali, come ad esempio nome e indirizzo della societĂ , ma bisogna tenere sempre presente che allâinterno delle aziende lavorano delle persone fisiche e qualunque dato che si riferisce alle persone viene considerato âpersonaleâ.
Gli utenti godono di alcuni diritti sui propri dati e il titolare del trattamento è tenuto a osservare e informare lâutente di tali diritti:
- diritto ad essere informati
- diritto di accesso
- diritto di opporsi
- diritto di rettifica
- diritto a limitare il trattamento dei loro dati
- diritto alla portabilità dei dati (in specifiche circostanze, è possibile ottenere dei propri dati personali per il loro uso)
- diritti in relazione alla profilazione e ai processi decisionali (si può non essere sottoposti a processi decisionali che si basano su trattamento o profilazione automatizzati e che producono effetto legale)
Il GDPR, inoltre, consente il trasferimento dei dati personali dei cittadini UE al di fuori dello Spazio Economico Europeo solo se sono garantite condizioni specifiche.
Cookie Law e Cookie Policy
Dal 2 giugno 2015 è diventato obbligatorio per tutti i siti web notificare ai propri utenti lâutilizzo dei cookie, dei piccoli frammenti di codice che vengono scambiati con gli utenti web per tracciarne il comportamento, attivitĂ di primaria importanza in riferimento al tema della protezione dei dati personali.
Secondo la Cookie Law, le organizzazioni che si rivolgono ai cittadini dellâUE devono informare e dare loro la possibilitĂ di scegliere se acconsentire o meno alle attivitĂ effettuate di raccolta dei dati.
Questo significa che se un sito utilizza i cookie, è necessario ottenere un consenso valido prima della loro installazione. Come?
Occorre eseguire una serie di attivitĂ , quali, ad esempio :
- mostrare un banner alla prima vista dellâutente
- predisporre una cookie policy che contenga tutte le informazioni richieste
- dare agli utenti la possibilitĂ di rifiutare il trattamento o, nel caso, revocare il consenso.
Cookie esenti, cosa sono?
Senza il consenso informato ed esplicito non è possibile installare cookie, a eccezione dei cookie esenti, che sono:
- cookie tecnici essenziali per la distribuzione del servizio
- cookie statistici gestiti direttamente da te, purchĂŠ i dati non vengano utilizzati per fare profilazione
- cookie statistici di terze parte anonimi, come Google Analytics
Il banner cookie a cosa serve ?
- spiegare le finalitĂ di installazione dei cookie utilizzati dal sito
- essere ben evidente
- contenere un link ad una cookie policy con tutte le informazioni
- indicare in modo chiaro quali azioni definiscono il consenso
- gestire il blocco preventivo dei cookie, ovvero consentire la loro installazione solo dopo aver ottenuto il consenso dellâutente, requisito che viene meno in presenza di alcune tipologie di cookie giĂ citate in precedenza.
La cookie policy deve:
- definire nei particolari le finalitĂ di installazione dei cookie
- precisare tutti i soggetti terzi che installano cookie tramite il sito
- informare il destinatario su come negare o revocare il consenso
Termini e Condizioni di uso di un sito web
Cosa sono le condizioni dâuso di un sito web o di una applicazione ?
Sono un documento in cui il titolare del sito definisce, in modo chiaro, quali sono le condizioni di utilizzo del proprio servizio (ad esempio: le eventuali modalitĂ di cancellazione o sospensione dellâaccount).
Si tratta di un documento che deve aiutare a prevenire e gestire potenziali problemi nei confronti degli utenti, offrendo la possibilitĂ di definire, nellâambito della legge applicabile, le condizioni di utilizzo di un sito o servizio, incluse le disposizioni in materia di copyright o limiti di etĂ e la legge che disciplina il contratto.
Anche se non sempre richiesto come la privacy policy, è importante per proteggere il titolare di unâattivitĂ . Ă fondamentale, a d esempio, per la tutela del diritto dâautore sui contenuti del sito o per proteggersi da potenziali responsabilitĂ o abusi.
Il documento deve essere visibile, chiaro, comprensibile e sempre aggiornato per permettere agli utenti di poterlo consultare e accettare, anche in questo caso, lâazione del consenso deve essere eseguita in modo esplicito.
I Termini e Condizioni variano in base alle attivitĂ offerte, naturalmente e specifici modelli difficilmente si adattano a tutti i possibili casi.
Registro dei consensi
Se, sul sito web, si utilizzano dei form di iscrizione o di registrazione a qualche servizio, o di raccolta dei dati, il registro dei consensi è uno strumento indispensabile perchÊ permette di tenere traccia e registrare in modo puntuale i consensi ottenuti ai fini della loro validità .
Generalmente le applicazioni utilizzate per la raccolta prevedono sempre la registrazione delle opportune informazioni in un file di riepilogo, che includa date, orari, provenienza delle informazioni e, in chiaro, la registrazione dellâazione di consenso.
Obblighi di informativa ai sensi del CCPA
Il California Consumer Privacy Act è una legge californiana sulla protezione dei dati entrata in vigore il 1° gennaio 2020 e disciplina il modo in cui le informazioni personali dei consumatori residenti in California devono essere trattate dalle aziende di tutto il mondo. Il CCPA viene applicato solo quando si verificano due condizioni: lâattività è di tipo commerciale e ci si rivolge a utenti californiani.
Trattandosi di una fattispecie molto specifica, non verrĂ approfondita in questo articolo.