Consenso al trattamento dei dati personali sul web: moduli di contatto e atto di assenso

In diverse parti del sito ho parlato di quanto sia importante cercare di assolvere in modo corretto a tutti gli adempimenti sulla privacy e soprattutto la necessitร  di operare sul sito web nel rispetto della normativa, chiedendo sempre il consenso al trattamento dei dati personali agli utenti che lasciano il loro indirizzo allโ€™interno di un modulo di contatto e che navigano sul sito web. 

Infatti, ogni sito web deve avere una dichiarazione trattamento dati personali, come previsto dalle novitร  introdotte con il GDPR, al fine di spiegare agli utenti: il tipo di dati raccolti, chi e come li raccoglie, perchรฉ vengono raccolti, come e per quanto tempo vengono conservati e se e come verranno ceduti a terzi.

Questa informativa รจ necessaria per ottenere il consenso al trattamento dei dati personali, per questo motivo รจ necessario dotarsi di unโ€™apposita sezione del sito o di un form da compilare, per poter far sรฌ che lโ€™utente possa accedere allโ€™informativa e di prestare il proprio assenso o meno. 

Il consenso dellโ€™interessato al trattamento dati personali sul web 

Il consenso dellโ€™interessato รจ molto importante. In quanto proprio attraverso ciรฒ, con una corretta informativa, รจ possibile raccogliere il consenso dellโ€™utente alle operazioni di trattamento dei suoi dati personali. 

Questโ€™ultimo, infatti, รจ il requisito necessario per dimostrare che lโ€™interessato ha letto ed รจ dโ€™accordo con lโ€™informativa privacy proposta dal sito web. Permettendo al sito di procedere al trattamento e conservazione dei dati personali dellโ€™utente, in modo completamente a norma con il GDPR. 

Le caratteristiche del consenso dellโ€™interessato

In tale ambito, tieni conto che il Regolamento GDPR precisa che il consenso si traduce in un atto di assenso dellโ€™interessato mediante una propria dichiarazione o altra azione equipollente, rispetto alla proposta di trattamento dei suoi dati da parte del sito: normalmente, questo si traduce nella predisposizione di un box nel quale allโ€™utente verrร  richiesto di confermare (premendo il tasto โ€œAccettoโ€ e simili) il trattamento dei dati.

Ciรฒ non ti vieta, perรฒ, di poter chiedere un assenso esplicito in altre forme che raggiungano lo stesso risultato.

Inoltre, perchรฉ il consenso possa dirsi validamente prestato, esso deve essere libero, incondizionato: questo significa che non รจ possibile subordinare alla prestazione del consenso lโ€™accesso ad un determinato servizio, se per lโ€™esecuzione dello stesso il consenso non รจ strettamente necessario.

Ad esempio, se per uno dei servizi relativi al tuo sito web non รจ presente neanche astrattamente alcun profilo che riguarda il trattamento dei dati personali, non puoi condizionare lโ€™accesso al servizio alla prestazione del consenso.

Ovviamente, il GDPR chiede che il consenso sia preventivo, esplicito e informato:

  • preventivo, nel senso che esso deve essere prestato prima che il trattamento abbia inizio; 
  • esplicito, nel senso che non รจ possibile lasciarlo sottinteso in qualunque modo;
  • informato, nel senso che allโ€™interessato deve essere offerta la possibilitร  di leggere lโ€™informativa sul trattamento, sulle finalitร  del medesimo e sui propri diritti prima di prestare il consenso.

Anche in questo caso, questo si traduce nella pratica nella predisposizione di un box in cui, accanto alle opzioni di assenso o dissenso rispetto al trattamento dei dati, vengono linkati i documenti in cui sono riportate le informative (o si permette di selezionare la spunta che certifica lโ€™avvenuta lettura dei medesimi).

Cta Gdpr

Le regole GDPR per il consenso al trattamento dei dati personali

Occorre precisare che il GDPR pone anche due ulteriori regole circa il consenso al trattamento dei dati personali.

In primo luogo, lโ€™interessato puรฒ negare il proprio consenso e, se lo concede, puรฒ ritirarlo in ogni momento

In secondo luogo, il gestore del sito web non puรฒ abbinare piรน consensi al medesimo atto di accettazione: tornando allโ€™esempio dellโ€™e-commerce, la prestazione del consenso relativamente alla finalitร  del trattamento necessaria a perfezionare lโ€™acquisto non puรฒ essere utilizzata anche per lโ€™iscrizione ad una newsletter; per questโ€™ultima o per qualsiasi altra finalitร  occorre predisporre unโ€™autonoma informativa e richiedere un autonomo atto di consenso da parte dellโ€™interessato.

Altro adempimento importante per il sito web richiesto dal GDPR riguarda la prova del consenso: il titolare del sito, infatti, deve conservare e documentare lโ€™avvenuto consenso da parte dellโ€™interessato, ad esempio registrandone lโ€™indirizzo IP nel momento in cui lโ€™utente clicca su โ€œAccettoโ€ o su โ€œOkโ€ nel box opportunamente predisposto.

Dovrai quindi conservare questa prova per tutto il periodo in cui si effettua il trattamento e fino al momento in cui avverrร  la cancellazione dei dati personali: ti puรฒ occorrere sia per rispondere ad eventuali richieste di accesso dellโ€™interessato, sia per le eventuali verifiche da parte dellโ€™Autoritร .

Consenso al trattamento dei dati personali sul web: i moduli di contatto 

Come previsto dalla normativa sulla privacy, al fine di ottenere correttamente il consenso dati personali, รจ necessario: una modifica ai moduli di contatto (solitamente i form HTML con cui avviene lโ€™accesso al sito web da parte dellโ€™utente).

In questo caso lโ€™inserimento dei dati da parte dellโ€™utente integra appieno il significato di dotazione al titolare del server delle informazioni personali, cosรฌ costringendo il titolare ad adeguare il modulo al GDPR sito web.

Per fare un esempio, se si predispone un modulo attraverso il quale inviare richieste al titolare del sito e in cui il cliente deve inserire: nome, cognome e indirizzo mail, questo modulo deve rispettare le norme del Regolamento.

A tal fine, il modulo deve essere integrato con il link allโ€™informativa sulla privacy, mettendo lโ€™utente in condizione di accettare il trattamento relativo mettendo la spunta sul checkbox che permette di dare il consenso al trattamento dei dati personali. 

Ricordando, peraltro, che:

  • Questo consenso al trattamento dei dati personali puรฒ essere utilizzato solo per le finalitร  di contatto e non anche per altre finalitร  (nel qual caso รจ necessario predisporre unโ€™apposita policy con relativo modulo di consenso);
  • Non รจ possibile chiedere per queste finalitร  dati che non risultano indispensabili per lo scopo di contatto (come, ad esempio, data di nascita, titolo di studio, stato civile, e cosรฌ via).

Proprio in stretta conseguenza รจ importante correggere i moduli giร  presenti sul proprio sito, per consentire allโ€™utente di prestare in modo espresso il proprio consenso: a tal fine i moduli di newsletter o, comunque, tutte le preferenze di contatto non potranno prevedere un consenso di default o caselle precompilate, ma una casella di spunta per consentire allโ€™utente di prestare autonomamente il proprio consenso.

Come abbiamo visto, inoltre, il titolare del sito web deve provvedere a registrare e conservare i dati, sia quelli relativi allโ€™utente che quelli concernenti la prestazione del consenso al trattamento.

Il monitoraggio degli accessi

Il sito web, dunque, si deve dotare di un apposito database che faciliti lโ€™accesso e la conservazione sicura dei dati ottenuti. A questo fine, puรฒ essere utile implementare un registratore dei log, che certifica in modo adeguato data, ora e provenienza (= indirizzo IP) delle operazioni sul consenso.

Unโ€™ipotesi in cui viene in gioco questo aspetto รจ nel caso in cui sul sito siano presenti aree riservate o moduli di registrazione che prevedano lโ€™inserimento di dati specifici dellโ€™utente.

In questo caso, รจ necessario predisporre sia strumenti che permettono di monitorare gli accessi effettuati (tramite il giร  citato controllo dellโ€™indirizzo IP), sia modificare le aree riservate agli utenti, integrandole di alcune funzionalitร  che permettano agli stessi:

  • lโ€™accesso ai propri dati;
  • la modifica degli stessi;
  • la modifica al consenso prestato in relazione al trattamento o ai trattamenti richiesti dal sito;
  • la cancellazione della propria iscrizione e, conseguentemente, dei dati forniti.

In tutti i casi in cui utilizza un sistema di misurazione degli accessi (come Google Analytics) si effettua un trattamento di dati personali, dal momento che per ogni accesso viene registrato lโ€™indirizzo IP dellโ€™utente o le azioni compiute sul sito (pagine visitate, tempi online, referrers, e cosรฌ via). 

In questo caso, dunque, รจ necessario indicare nellโ€™informativa privacy che esistono queste modalitร  di tracciamento (e richiedere, quindi, che il consenso dati personali dellโ€™utente, si estenda anche a questo tipo di trattamento).

Cta Gdpr

Max Valle

Da oltre 30 anni, offro consulenza e servizi digitali ad aziende e professionisti che desiderano far crescere il proprio business. Attraverso l’acquisizione di nuovi clienti in modo etico ed efficace, e l’utilizzo delle piรน recenti tecnologie web, aiuto i miei clienti a raggiungere i loro obiettivi nel pieno rispetto delle normative vigenti.

  • Certified Professional Ethical Hacker nยฐ4053103 
  • International Web Association nยฐ0312827
  • Membro Federprivacy nยฐFP-9572
  • Associazione Informatici Professionisti nยฐ3241
  • Consulente Tecnico d’Ufficio (CTU)

Contattami
30 minuti gratuiti!
Contattami
30 minuti gratuiti!

Oppure chiamami gratuitamente:

Numero Verde Max Valle