Legislazione sito web e privacy

Chi vuole avere un sito online deve tenere presente numerose normative vigenti e, nella maggior parte dei casi, farsi supportare da giuristi esperti della materia. Vi sono, tra le numerose responsabilità, quelle nei confronti degli utenti che visitano il sito.

Taluni adempimenti sono necessari perché funzionali ad una eventuale strategia di marketing, ma molti sono essenziali per rispettare le disposizioni in tema di tutela dei dati personali  (soprattutto il Regolamento europeo della protezione dei dati personali delle persone fisiche, noto anche come GDPR – General Data Protection Regulation, in vigore da maggio 2018).

Obbligatorietà dei dati societari

Sia per i siti web di aziende, sia per quelli dei professionisti è necessario che vengano indicati i dati societari di chi propone il prodotto e/o attività.

Questi dovranno essere inseriti e visibili direttamente nella Home Page del sito stesso, generalmente nel footer (piè di pagina) o comunque in un apposito link che l’utente può raggiungere facilmente.

Se il proprietario del sito aziendale è una società di capitali il riferimento è l’art. 2250 del Codice Civile (come modificato dall’articolo 42 della Legge 88/2009), e tra questi:

  • Ragione sociale;
  • indirizzo, Sede legale;
  • Codice Fiscale;
  • Partita IVA del sito web;
  • mail PEC;
  • Ufficio di iscrizione del Registro delle Imprese dove si è iscritti;
  • numero Rea (Repertorio Economico Amministrativo);
  • capitale in bilancio (per società di capitali);
  • eventuale liquidazione;
  • eventuale stato di società con socio unico;
  • eventuale assoggettamento ad attività di direzione e di coordinamento indicando la società che esercita il controllo;
  • Società o ente alla cui direzione la società è soggetta;
  • altrettanti specifici obblighi esistono anche per le mail e per i profili sui social network.

La legge sopra citata fa riferimento alle seguenti tipologie di società:

  • Società a Responsabilità Limitata (Srl);
  • Società a Responsabilità Limitata Semplificata (Srls);
  • Società per Azioni (Spa);
  • Società in Accomandita per Azioni (Sapa).

Se si tratta di società di persone la normativa (art. 35 del D.P.R. 633/1972, così come modificato dall’art, 2 del D.P.R. 404/2001) impone di segnalare i dati della propria partita IVA (l’ideale, ancora una volta, è nel footer).
Altri dati, come indirizzo mail e/o PEC, possono essere aggiunti anche se non obbligatori.

La partita IVA è un dato necessario anche per i blog che, sebbene possa non vendere prodotti o servizi, contiene i banner pubblicitari o altre forme di advertisement (ad esempio, le affiliazioni commerciali). Infatti ogni guadagno ottenuto anche in tale modo deve essere dichiarato perché soggetto a tassazione.

Solo se si ha il cd. “sito vetrina”, ovvero un sito web che parla di determinati argomenti senza proporre beni o servizi in vendita, quindi senza monetizzazione, è possibile non avere una partita IVA.

Per i siti di eCommerce è necessario rendere accessibili alcune informazioni relative al venditore (art. 7 del Decreto Legislativo 70/2003):

  • domicilio e Sede Legale del venditore;
  • numero di iscrizione Rea o Registro delle Imprese;
  • autorità di vigilanza.

Parimenti importante è l’indicazione chiara delle condizioni generali di vendita (possibilmente in una pagina dedicata), in modo che sia consultabili da parte del potenziale cliente prima dell’acquisto (si rinvia a specifico paragrafo).

Privacy policy

Se all’interno del sito web viene effettuata l’elaborazione di dati personali, è necessario fornire al potenziale visitatore tutte le informazioni circa le modalità e le finalità del trattamento.

È basilare l’introduzione di metodi per la raccolta e la revoca del consenso.

L’informativa, in particolare, dovrà contenere:

  • l’identità del Titolare del sito;
  • la data di creazione dell’informativa;
  • la notifica delle modifiche alla privacy policy;
  • l’indicazione di quali dati si sta trattando e per quale finalità;
  • i servizi di soggetti terzi che hanno accesso ai dati personali degli utenti (in particolare chi sono tali soggetti e qual è la tipologia dei dati raccolti);
  • i diritti che ha l’utente in relazione ai propri dati (diritto di essere informati, di accesso, di rettifica, di opposizione, di portabilità, di cancellazione, di limitare il trattamento sui cd. processi decisionali automatizzati e sulla profilazione).

Se all’interno del sito è previsto la possibilità di compilare dei moduli di contatto, essi dovranno includere tanto un link alla cd. Privacy Policy, quanto una casella per l’accettazione obbligatoria della privacy stessa (che dovrà essere specificatamente autorizzata dall’utente prima dell’invio dei dati richiesti), e l’orientamento alla minimizzazione del trattamento dei dati.

Su quest’ultimo aspetto occorre fare una precisazione perché può essere non nota alla maggioranza delle persone: significa che i dati personali richiesti dovranno essere limitati a quanto necessario rispetto alle finalità per le quali sono trattati (così l’art. 5, co. 1, lett. c, GDPR).

L’esempio più chiaro è quello dell’invio di una Newsletter ai Clienti che richiede, quale dato personale, l’indirizzo di posta elettronica dell’interessato al solo fine dell’invio della Newsletter stessa.

Se una volta acquisiti i dati di contatto, gli stessi volessero essere utilizzati anche per effettuare attività di invio di materiale di marketing, sarà necessario preventivamente ottenere, tramite un’ulteriore casella di spunta, l’esplicito consenso all’invio delle Newsletter.

In questa seconda ipotesi, all’interno della specifica informativa contenuta nella sezione Privacy Policy e in aggiunta agli altri dati presenti, dovrà essere indicato il servizio di Newsletter e il servizio che raccoglie gli indirizzi email degli utenti che abbiano prestato il consenso.

Nel caso di utenti già iscritti al servizio di Newsletter, gli stessi dovranno semplicemente essere informati della variazione dell’informativa che dovrà essere integrata, fermo restando che il consenso e il trattamento dei dati dovrà essere conforme alla normativa in vigore.

La Privacy Policy potrebbe sembrare una cosa molto semplice e veloce da preparare ma non è così.

Spesso si è tentati di fare un copia-incolla dagli altri siti web, vivendo nell’incertezza di aver dimenticato qualche informazione importante e di non riuscire a restare al passo con la normativa.

Ricordiamo che le sanzioni sono previste non solo quando manca la Privacy Policy ma anche questa è scritta male o incompleta.

Se non vuoi rivolgerti a un professionista prova a verificare se iubenda, il sito internet la cui unica attività è preparare Privacy Policy, può esserti utile.

Cookie Policy

Come specifica il Garante privacy nel proprio sito i “I cookie sono informazioni immesse sul tuo browser quando visiti un sito web o utilizzi un social network con il tuo pc, smartphone o tablet. Ogni cookie contiene diversi dati come, ad esempio, il nome del server da cui proviene, un identificatore numerico, ecc..
I cookie possono rimanere nel sistema per la durata di una sessione (cioè fino a che non si chiude il browser utilizzato per la navigazione sul web) o per lunghi periodi e possono contenere un codice identificativo unico”.

In altre parole un cookie (letteralmente biscotto!) è un file di testo che viene inviato da un sito web al computer dell’utente, in modo da poterlo “riconoscere” anche nel corso di future visite.

Per fare qualche esempio, fra i più banali, è grazie ai cookie che un sito può ricordarsi le preferenze relative alla lingua di un utente, oppure se sono rimasti dei prodotti invenduti nel carrello di un eCommerce. Diffusissimi sono quelli utilizzati per proporre ai visitatori dei contenuti personalizzati in base a precedenti loro comportamenti on line.

La normativa in merito distingue tre tipi di cookie:

  • cookie tecnici: pensati per riconoscere un utente, in forma anonima, e per semplificare la sua esperienza di navigazione nel corso di successive visite a un sito web. Rientrano in questa categoria i c.d. cookie analytics, utili per la raccolta di informazioni anonime in forma aggregata sul numero di visitatori di un sito e sul loro comportamento;
  • cookie di profilazione: usati per creare il profilo personalizzato di un utente, utile all’invio di promozioni e messaggi pubblicitari dedicati (anche al di fuori del sito, ad esempio all’interno del network pubblicitario di Google, su pagine di ricerca e altri siti);
  • cookie di terze parti: sono installati da soggetti che non siano i titolari diretti di un sito web, come ad esempio i cookie installati da Google o Facebook.

A seconda del tipo di cookie sono necessari determinati adempimenti in linea con la direttiva comunitaria 2009/136/CE che impone al proprietario del sito l’obbligo di informare l’utente sull’uso degli stessi e, in determinati casi, l’obbligo di ottenere anche il consenso preventivo al loro utilizzo.

Tale consenso si acquisisce attraverso un banner con cui si informa il visitatore della presenza di strumenti di memorizzazione dei suoi dati di navigazione (salvo il caso di cookie esclusivamente tecnici, per cui è ritenuto sufficiente la pubblicazione di un’informativa in una pagina del sito).

È fondamentale la presenza di una pagina del sito dedicata alla Cookie Policy (informativa estesa) nel quale si rende noto all’utente che vengono utilizzati i cookie e se ne spiega l’uso che se ne intende fare.

Se i cookie (anche quelli di profilazione) sono di soggetti terzi vi sono maggiori obblighi perché, oltre a quanto previsto per i cookie tecnici (la presenza di un’informativa estesa), è necessario impedire che i cookie siano installati automaticamente, senza il consenso dell’utente, consentendo la facoltà di abilitare o disabilitare i cookie in questione.

GDPR e consenso al trattamento dei dati

Poiché il principio base del GDPR è quello della accountability (inteso come responsabilizzazione di ogni titolare del trattamento dei dati personali) il titolare del sito deve chiedersi se con esso acquisisce “dati personali” ovvero “qualsiasi informazione riguardante una persona fisica identificabile; si considera identificabile la persona fisica che può essere individuata con nome, ubicazione, un identificativo online o altri elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale“.

Se questo avviene, il GDPR deve stabilire le procedure di gestione dei dati, la trasparenza, la documentazione e il consenso dell’utente. Quest’ultimo, in particolare, è valido se se manifestato in modo non equivoco.

Il titolare del sito che viene in possesso di dati personali deve garantirne la protezione:

  • indicando quali dati ha acquisito, a come lo ha fatto e verificando che gli interessati ne siano a conoscenza;
  • conservando la dimostrazione del consenso all’acquisizione dati e specificando il tempo di conservazione degli stessi;
  • verificando il flusso extraeuropeo dei dati, se si usano servizi cloud (es. Mailchimp, o Google… o Microsoft…);
  • facendo l’analisi dei rischi;
  • dando la possibilità all’utente al diritto alla revoca del consenso;
  • identificando e formalizzando la procedura da adottare in caso di furto dei dati;
  • proteggendo i dati memorizzati sui computer con crittografia, aggiornamenti di software e antivirus di buona qualità;
  • prevedendo un piano di adeguamento continuo.

Purtroppo i continui fatti di cronaca ci mostrano che le violazioni dei dati (data breach) sono all’ordine del giorno:

  • accesso non autorizzato;
  • copia non autorizzata;
  • divulgazione non prevista;
  • modifica non autorizzata;
  • perdita d’accesso;
  • cancellazione dei dati.

Nel caso dei cittadini europei, per cui vige il GDPR, qualora la violazione presenti un rischio per i diritti e la libertà delle persone fisiche si deve, entro 72 ore dal momento in cui ne viene a conoscenza e senza alcun ritardo, procedere alla notifica al Garante per la Privacy e va comunicata anche agli interessati.
In questa notifica, proprio per il concetto di accountability, il titolare del trattamento dovrà essere in grado di produrre una serie di evidenze, tese a dimostrare che è competente, che è stato responsabile e che riesce a tenere in mano le redini del processo.

Va compilato un documento che descrive cosa è successo, quali sono state le conseguenze, quali misure sono state adottate e quelle che verranno adottate. La notifica viene poi spedita via PEC al Garante.

Si ricorda che, in caso di inadempienza, si rischiano sanzioni pecuniarie di diversa entità (al massimo 20 milioni di euro o pari al 4% del fatturato dell’impresa).

Un ultimo suggerimento, spesso sottovalutato, riguarda la scelta dei plugin da utilizzare sul proprio sito web.

Si verifichi sempre che questi siano conformi al GDPR (normalmente specificato nel sito o nella privacy policy del produttore).
Diversamente si consiglia di orientarsi su un altro plugin sostitutivo.

Offerta
Manuale completo per predisporre un corretto piano della privacy
Una spiegazione semplice e comprensibile della materia. Oltre alla lettura di Antonella Bruzzone, ti raccomandiamo di leggere questo libro

Condizioni generali di vendita

Se il sito web vende prodotti o servizi l’analisi non può fermarsi agli adempimenti visti finora.

La vendita online di beni e servizi attraverso una piattaforma web richiede l’applicazione di normative in tema di:

  • condizioni generali di vendita;
  • trattamento e protezione dei dati personali;
  • tutela dei consumatori;
  • diritto di recesso;
  • uso dei cookie;
  • informazioni obbligatorie da fornire ai consumatori.

Sulle informazioni obbligatorie la normativa è chiara. È necessario riportare sul sito:

  • una descrizione esaustiva del prodotto o del servizio offerto;
  • l’identità del venditore, compresi l’indirizzo geografico e i contatti;
  • prezzi e tariffe riportati in maniera chiara e trasparente;
  • eventuali dazi e spese aggiuntive;
  • spese di consegna indicate separatamente dal prezzo del prodotto;
  • modalità e tempistiche di consegna;
  • modalità di pagamento;
  • come correggere eventuali errori fatti in fase di ordine;
  • modalità di restituzione (comprensiva dell’eventuale costo di consegna per la restituzione del bene) o reclamo;
  • diritti e obblighi derivanti dal contratto di vendita;
  • l’esistenza della garanzia legale di conformità per i beni;
  • l’esistenza e le condizioni dell’assistenza post vendita al consumatore e delle garanzie commerciali;
  • la durata del contratto;
  • la durata minima degli eventuali obblighi stabiliti dal contratto a carico del consumatore e il modo in cui il contratto concluso viene archiviato;
  • la presenza di clausole vessatorie;
  • organo competente in caso di controversie;
  • gli eventuali codici di condotta a cui il venditore aderisce e l’indicazione degli strumenti di composizione delle controversie.

Altri obblighi di legge specifici sono previsti per la vendita di prodotti alimentari: ad esempio l’indicazione di ingredienti ed eventuali allergeni.

Siamo di fronte a un vero e proprio contratto di acquisto, introdotto unilateralmente dal venditore ovvero, in altri termini, non viene stipulato in modo personalizzato, ma si applica a tutti gli acquisti che avvengono presso il sito.

Se il venditore modifica i termini e le condizioni, le parti contraenti devono essere informate e accettare le modifiche prima che si possa concludere un nuovo contratto.

Rendere disponibili sul sito tutte le informazioni sopra indicate è necessario per rendere i termini e le condizioni contrattuali legalmente vincolanti per l’acquirente.

Dall’altra parte, l’acquirente deve accettare i termini e le condizioni, cosa che di solito avviene tramite la necessaria conferma dei termini.

Al termine dell’acquisto, poi, il venditore è tenuto a inviare una conferma con:

  • caratteristiche del bene;
  • prezzo;
  • modalità di pagamento;
  • condizioni del contratto;
  • diritto di recesso.

È chiaro che per tutelarsi, i termini e le condizioni generali di vendita devono essere attinenti all’attività svolta dal sito.

Anche in questo caso dunque è necessario personalizzarle ovvero evitare di avvalersi di modelli presenti online o di altri siti, i quali potrebbero risultare non idonei e non conformi alla strategia di vendita online.

Strumenti di terze parti e sicurezza del sito

Qualora si facesse uso di servizi e strumenti di “terze parti” (es. Google Analytics, Facebook Analitycs) è raccomandato utilizzare un certificato di qualità e sicurezza (definito certificato SSL, Secure Sockets Layer).

Si tratta una tecnologia standard che garantisce la sicurezza di una connessione a Internet e protegge i dati sensibili scambiati fra due sistemi impedendo ai criminali informatici (hacker) di leggere e modificare le informazioni trasferite, che potrebbero comprendere anche dati personali.

La cui applicazione è visibile a ciascuno di noi durante la navigazione tramite browser grazie al simbolo di lucchetto alla dicitura “https” nella barra di navigazione.

In caso contrario il sito sarà visualizzato come non attendibile.

È inoltre essenziale prestare attenzione agli strumenti informatici utilizzati per realizzare il sito web.

In particolar modo il CMS , ovvero l’editor che permette di gestire e aggiornare i contenuti, pagine e articoli, e tutti i plugin che lo compongono devono essere conformi al GDPR, sempre aggiornati, protetti e sottoposti a backup.

Nel caso del backup alcuni punti di attenzione;

  • assicurarsi che il sistema di backup sia pianificato per essere eseguito automaticamente dal sistema (meglio se giornaliero) e che sia completo di tutto quello che serve per ripristinare il sito nella sua interezza se necessario;
  • assicurarsi di conservare almeno le ultime tre copie di backup da conservare in luoghi diversi (ad esempio sul server del sito, in Cloud e su un dispositivo esterno);
  • mettere in atto quelle procedure che garantiscano l’accesso ai dati di backup alle sole persone e/o Responsabili autorizzati o nominati;
  • usare supporti, dischi o sistemi che prevedono la cifratura dei dati, conservando in luogo sicuro la password di decriptazione;
  • testare i backup periodicamente con prove di ripristino dei dati atti a verificarne l’integrità.

Qualora non si sia autonomi nel compiere le attività sopra descritte vale senz’altro la pena affidarsi anche in questo caso a professionisti con i quali sottoscrivere un contratto di manutenzione ben chiaro che definisca le modalità di aggiornamento e di backup, sia del CMS che dei plugin utilizzati.

In questo contratto si suggerisce di prevedere anche le clausole di Responsabile al trattamento dati (normalmente attraverso una DPA, Data Processor Agreement).

Ricordiamo infatti che la sicurezza di un sito web, oltre ad accrescere la fiducia dell’utente e la reputazione dell’azienda (Web Reputation), aiuta a mettere a riparo i dati acquisiti da possibili furti o manomissioni ad opera di terzi.
Illeciti che, come visto in precedenza, richiedono immediata notifica al Garante della privacy, qualora presentino un rischio per i diritti e le libertà delle persone, oltre che approntare immediatamente le opportune misure per eliminare o quantomeno limitare la dispersione dei dati.

0 Condivisioni