Avviare una startup e iniziare un nuovo business non è mai un’impresa semplice: sebbene esistano le agevolazioni, il contenimento dei costi – evitando quelli non strettamente necessari – rappresenta sempre un obiettivo del giovane imprenditore che inizia.Tuttavia, troppo spesso vengono sottovalutati alcuni aspetti fondamentali a cui si dovrebbe porre, invece, la dovuta attenzione, soprattutto se si ha intenzione di aprire una “finestra” sul “World Wide Web”. Avviare un sito Internet porta infatti con sé tutta una serie di adempimenti previsti dalla legge, il cui mancato rispetto può comportare non soltanto delle ipotesi di responsabilità amministrativa punibile con sanzioni pecuniarie, ma anche responsabilità civile e penale.
Nessun costo non strettamente necessario, dunque, quanto piuttosto un investimento per il futuro, sia in termini economici, ma anche (e soprattutto) in termini reputazionali.
A tal riguardo, vogliamo oggi soffermarci, in particolare, sugli aspetti di compliance privacy del sito Internet, con specifico riferimento all’obbligo di informazione che ciascun titolare del trattamento (quindi, verosimilmente, la società o l’imprenditore) ha nei confronti degli utenti (con ciò intendendosi anche i visitatori) del proprio sito, unitamente all’obbligo di acquisire, ove necessario, il loro consenso espresso, libero, specifico e informato al trattamento.
Nel fare questo, si terrà certamente in debita considerazione non soltanto l’attuale impianto normativo previsto dal D.lgs. n. 196/2003 (Codice in materia di protezione dei dati personali), ma anche il Regolamento UE in materia di protezione dei dati personali del 27 aprile 2016, n. 679, (il “Regolamento”), entrato in vigore il 24 maggio 2016 e che sarà direttamente applicabile in tutti gli Stati membri UE a partire dal 25 maggio 2018.
Privacy policy
Ai sensi del D.lgs. n. 196/2003, dato personale è una qualsiasi informazione relativa a una persona fisica, sia essa identificata oppure identificabile, anche indirettamente, per il tramite di qualsiasi altra informazione, ivi incluso un numero di identificazione personale (art. 4, comma 1, lettera b)).
Per trattamento deve invece intendersi una qualsiasi operazione o complesso di operazioni aventi ad oggetto il dato personale, a partire dalla sua raccolta e fino alla sua cancellazione, distruzione o anonimizzazione (e quindi, ai sensi dell’art. 4, comma 1, lettera a) del D.lgs. n. 196/2003 vi rientrano, per esempio, la registrazione del dato, la sua conservazione, la consultazione, la modificazione, l’elaborazione, etc.).
Ne discende, dunque, che anche il semplice trattamento dell’indirizzo IP di un utente che si connette a un determinato sito Internet oppure la raccolta dell’indirizzo e-mail di un utente per l’invio della newsletter rappresentano, a tutti gli effetti, dei trattamenti di dati personali rilevanti ai sensi di legge.
Ebbene, occorre anzitutto fornire agli utenti del sito Internet, in modo chiaro e colloquiale, una serie di informazioni sotto forma di privacy policy e concernenti il trattamento che viene posto in essere con riferimento ai loro dati personali: un strumento di trasparenza che, per l’appunto, mira a rendere consapevole l’utente degli aspetti rilevanti circa l’uso dei propri dati personali.
A tal riguardo, bisogna informare gli utenti in merito all’identità del titolare del trattamento e ai suoi contatti (ad esempio, indirizzo, numero telefonico, fax, indirizzo e-mail, etc.). È inoltre necessario fornire, seppur in modo sintetico, le seguenti informazioni:
quali e quanti dati vengono trattati dal titolare e per quale specifica finalità;
quali sono i soggetti a cui i dati vengono comunicati o diffusi;
chi potrebbe eventualmente concorrere al trattamento insieme al titolare;
quali sono le modalità del trattamento;
se l’interessato è obbligato o no a fornire i dati;
l’eventuale trasferimento all’estero dei dati;
quali conseguenze possono derivare in caso di rifiuto a fornire i dati; e
quali sono i diritti che la legge riconosce in capo agli utenti.
E questo, sia che il sito rappresenti un mero catalogo dei servizi che l’azienda fornisce, sia che lo stesso si configuri come il principale canale di fruizione degli stessi.
Da non trascurare, inoltre, che i requisiti sopra menzionati rappresentano il contenuto minimo che un’informativa sul trattamento deve avere: si tratta infatti di un documento che necessita di essere adattato, caso per caso, sulla base dello specifico business condotto dall’azienda. La sua redazione pertanto, necessita di una accurata attività preventiva di riflessione e valutazione, per evitare che vengano fornite informazioni non corrispondenti a quelle che sono le reali attività di trattamento svolte dal titolare.
Consenso e altri presupposti di liceità del trattamento
Come principio generale, il trattamento di dati personali è ammesso in presenza del consenso dell’interessato: una manifestazione di volontà recettizia, sempre revocabile, con la quale questi accetta liberamente ed espressamente una determinata tipologia di trattamento dei suoi dati personali, del quale, si intende, è stato preventivamente informato.
Per quanto concerne, in particolare, la forma, il consenso può essere prestato sia per iscritto che per il tramite di mezzi elettronici. Il consenso può dunque essere espresso anche online, per il tramite della selezione di un’apposita casella in un sito web ovvero tramite un comportamento concludente e allo stesso tempo inequivocabile, come ad esempio il semplice “scroll” di una pagina web: l’inattività, il silenzio o la preselezione delle caselle non costituiscono, invece, una valida manifestazione di consenso ai sensi di legge. Discorso a parte deve necessariamente effettuarsi con riferimento al trattamento di dati sensibili e alla relativa acquisizione di consenso online, dal momento che l’attuale impianto normativo del D.lgs. n. 196/2003 richiede espressamente, a tal fine, la forma scritta ad substantiam – forma che, generalmente, non può considerarsi soddisfatta con la mera selezione di una casella in un sito web.
Il consenso deve dunque considerarsi come una delle basi giuridiche su cui fondare un determinato trattamento di dati personali, ma non anche l’unica.
Sono infatti presenti numerosi presupposti di liceità del trattamento, alternativi al consenso, la cui applicazione va valutata caso per caso, a seconda delle specifiche circostanze relative al trattamento. Per fare un esempio, il trattamento può lecitamente porsi in essere nel caso in cui sia necessario per dare esecuzione a un contratto di cui è parte l’interessato ovvero a una richiesta precontrattuale proveniente dallo stesso. Ed ancora, il titolare può trattare i dati personali degli interessati in assenza di consenso, quando ciò è necessario per il perseguimento di un suo “legittimo interesse”, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali degli interessati. Per quanto riguarda in particolare il legittimo interesse, bisogna precisare che mentre il D.lgs. 196/2003 prevede che il bilanciamento tra questo e i diritti dell’interessato debba essere effettuato dall’Autorità Garante per la protezione dei dati personali (il “Garante”) sulla base di una richiesta inoltrata dal titolare del trattamento, il Regolamento, invece, stabilisce che un simile bilanciamento possa essere effettuato dallo stesso titolare, senza dover preventivamente interpellare il Garante.
Dunque, provando a fare un esempio, se per il tramite del proprio sito Internet si intende raccogliere i dati personali degli utenti al fine di fornire il servizio richiesto nonché per finalità di marketing (i.e., invio di comunicazioni a carattere commerciale) e profilazione (i.e., qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati per valutare determinati aspetti personali di un individuo, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti), il titolare del trattamento non sarà obbligato a raccogliere il consenso dell’utente con riferimento alla mera fornitura del servizio richiesto, mentre invece dovrà necessariamente raccogliere due consensi specifici e opzionali per le ulteriori finalità di marketing diretto e profilazione. Da segnalare, tuttavia, che il Regolamento segna un’importante inversione di rotta rispetto al passato con riferimento al trattamento dei dati personali per finalità di marketing diretto, dal momento che il considerando 47 prevede espressamente che tale trattamento possa essere considerato, di per sé, come legittimo interesse del titolare – con ciò intendendosi che il consenso potrebbe non essere sempre necessario e che il titolare ben potrebbe fondare il relativo trattamento sulla basa di un bilanciamento di interessi condotto per così dire “in-house”.
Privacy e cookie
Come noto, con il provvedimento n. 229 dell’8 maggio 2014, il Garante ha introdotto una serie di prescrizioni obbligatorie per i gestori dei siti Internet che ricorrono all’uso di cookie e di altri strumenti analoghi (come ad esempio web beacon, web bug, clear GIF o altri), che consentono l’identificazione dell’utente o del terminale.
Queste prescrizioni che possono generalmente riassumersi negli obblighi di:
Informativa estesa: il gestore del sito Internet deve informare gli utenti della tipologia di cookie impiegati dal sito – siano essi cookie di prima parte o di terze parti – e della finalità del trattamento che viene effettuato per il loro tramite. Nel caso di cookie di terze parti, il gestore del sito Internet deve anche fornire il link aggiornato alle informative e ai moduli di consenso delle terze parti;
Consenso: il gestore del sito deve raccogliere il consenso degli utenti nel caso in cui il sito Internet ricorra all’impiego di (i) cookie analitici di terze parti (nel solo caso in cui il gestore del sito non adotti strumenti idonei per ridurre il potere identificativo dei cookie e la terza parte a cui appartiene il cookie non incroci le informazioni raccolte con altre di cui già dispone), (ii) cookie di profilazione di prima parte e (iii) cookie di profilazione di terze parti;
Notificazione: si tratta di una comunicazione che, in determinati casi specifici, il titolare del trattamento deve effettuare una tantum utilizzando un apposito modulo da inviare al Garante (per via telematica e con sottoscrizione digitale), in cui vengono descritte le principali caratteristiche del trattamento. Per quanto concerne, in particolare, i cookie, il gestore del sito deve notificare il trattamento al Garante se questo viene effettuato per il tramite dei cookie richiamati ai punti (i) e (ii) della lettera b) che precede.
Per quanto concerne, in particolare, le modalità con cui può essere resa l’informativa, si è operato un vero e proprio bilanciamento virtuoso tra esigenze di praticità e chiarezza informativa, prevendo che al momento in cui un utente approda per la prima volta in un determinato sito Internet (nella home page o in qualsiasi altra pagina web), i gestori devono immediatamente fornire un’informativa breve, sotto forma di banner, nel caso in cui il sito faccia uso di uno dei cookie richiamati nella lettera b) di cui sopra. Stesso discorso per il consenso che, come sopra richiamato, può essere prestato, in questi stessi casi, anche per il tramite di un comportamento concludente, ma inequivocabile: una semplice azione positiva di prosecuzione nella consultazione di una determinata pagina web (per esempio, lo “scroll” fatto con la rotellina del mouse o lo “swipe” se consideriamo i mobile device), previa visualizzazione del banner informativo.
Nonostante l’attuale quadro normativo appena descritto, bisogna tuttavia considerare che con la recente proposta di regolamento europeo concernente il rispetto della vita privata e la protezione dei dati personali nelle comunicazioni elettroniche (di riforma della direttiva 2002/58/CE), si punta a una semplificazione della disposizione sui cookie che, effettivamente, nel corso degli ultimi anni ha dato luogo a un numero eccessivo di richieste di consenso per gli utenti di Internet. Certamente, l’intento del legislatore europeo è quello di arrivare entro il 25 maggio 2018 – data di applicazione del Regolamento – all’adozione di questa proposta di riforma presentata lo scorso 10 gennaio dalla Commissione UE, così da poter offrire entro questa data un quadro normativo chiaro e completo a cittadini e imprese in materia di tutela della vita privata e protezione dei dati in Europa.
Conclusioni
Le considerazioni finora esposte sono sicuramente importanti al fine di scongiurare ipotesi di responsabilità (amministrativa, civile e penale) di chi, scegliendo di aprire un sito Internet riconducibile alla propria attività di business, sceglie di raccogliere e trattare dati personali per il tramite di tale canale.
Bisogna tuttavia porre molta attenzione, a nostro avviso, a qualsiasi soluzione di compliance online “standardizzata” o “chiavi in mano”: sono molteplici, infatti, gli aspetti che bisogna considerare a tal riguardo, a partire dalla specifica natura del business e dei servizi offerti e nessuna soluzione standard può realmente abbattere i rischi di non-compliance con la normativa applicabile.
Resta inteso, per questi stessi motivi, che ogni tipo di considerazione sul trattamento dei dati personali e sugli obblighi ad esso connessi trova la sua ragion d’essere non soltanto con riferimento all’attività che si vuole avviare sul web tramite un sito Internet, ma anche e soprattutto, più in generale, al modello di business che ci si prefigge sin dall’inizio di seguire: un’attenta valutazione dei possibili impatti privacy che lo stesso potrebbe avere è a nostro avviso necessaria e imprescindibile. Proviamo a pensare, per esempio, a un progetto di business che, per contenere i costi e massimizzare i ricavi, si fondi in parte sulla cessione (rectius: rivendita) di porzioni del proprio database utenti/clienti: se queste sono le intenzioni, allora i dati personali dovranno essere raccolti previa informativa e consenso per tale specifica finalità, in modo tale che gli interessati siano edotti sin dall’inizio tanto delle finalità del trattamento, quanto dei soggetti (o, almeno, delle categorie merceologiche dei soggetti) a cui i dati verranno ceduti. In caso contrario, infatti, si rischierebbe di creare un database di cui poi non si potrebbe disporre in futuro ai fini della cessione legittima di dati a terzi.
Adriano D’Ottavio e Laura Liguori – via Startupbusiness