Consenso al trattamento dei dati personali sul web: moduli di contatto e atto di assenso

In diverse parti del sito ho parlato di quanto sia importante cercare di assolvere in modo corretto a tutti gli adempimenti sulla privacy e soprattutto la necessità di operare sul sito web nel rispetto della normativa, chiedendo sempre il consenso al trattamento dei dati personali agli utenti che lasciano il loro indirizzo all’interno di un modulo di contatto e che navigano sul sito web. 

Infatti, ogni sito web deve avere una dichiarazione trattamento dati personali, come previsto dalle novità introdotte con il GDPR, al fine di spiegare agli utenti: il tipo di dati raccolti, chi e come li raccoglie, perché vengono raccolti, come e per quanto tempo vengono conservati e se e come verranno ceduti a terzi.

Questa informativa è necessaria per ottenere il consenso al trattamento dei dati personali, per questo motivo è necessario dotarsi di un’apposita sezione del sito o di un form da compilare, per poter far sì che l’utente possa accedere all’informativa e di prestare il proprio assenso o meno. 

Il consenso dell’interessato al trattamento dati personali sul web 

Il consenso dell’interessato è molto importante. In quanto proprio attraverso ciò, con una corretta informativa, è possibile raccogliere il consenso dell’utente alle operazioni di trattamento dei suoi dati personali. 

Quest’ultimo, infatti, è il requisito necessario per dimostrare che l’interessato ha letto ed è d’accordo con l’informativa privacy proposta dal sito web. Permettendo al sito di procedere al trattamento e conservazione dei dati personali dell’utente, in modo completamente a norma con il GDPR. 

Le caratteristiche del consenso dell’interessato

In tale ambito, tieni conto che il Regolamento GDPR precisa che il consenso si traduce in un atto di assenso dell’interessato mediante una propria dichiarazione o altra azione equipollente, rispetto alla proposta di trattamento dei suoi dati da parte del sito: normalmente, questo si traduce nella predisposizione di un box nel quale all’utente verrà richiesto di confermare (premendo il tasto “Accetto” e simili) il trattamento dei dati.

Ciò non ti vieta, però, di poter chiedere un assenso esplicito in altre forme che raggiungano lo stesso risultato.

Inoltre, perché il consenso possa dirsi validamente prestato, esso deve essere libero, incondizionato: questo significa che non è possibile subordinare alla prestazione del consenso l’accesso ad un determinato servizio, se per l’esecuzione dello stesso il consenso non è strettamente necessario.

Ad esempio, se per uno dei servizi relativi al tuo sito web non è presente neanche astrattamente alcun profilo che riguarda il trattamento dei dati personali, non puoi condizionare l’accesso al servizio alla prestazione del consenso.

Ovviamente, il GDPR chiede che il consenso sia preventivo, esplicito e informato:

  • preventivo, nel senso che esso deve essere prestato prima che il trattamento abbia inizio; 
  • esplicito, nel senso che non è possibile lasciarlo sottinteso in qualunque modo;
  • informato, nel senso che all’interessato deve essere offerta la possibilità di leggere l’informativa sul trattamento, sulle finalità del medesimo e sui propri diritti prima di prestare il consenso.

Anche in questo caso, questo si traduce nella pratica nella predisposizione di un box in cui, accanto alle opzioni di assenso o dissenso rispetto al trattamento dei dati, vengono linkati i documenti in cui sono riportate le informative (o si permette di selezionare la spunta che certifica l’avvenuta lettura dei medesimi).

Cta Gdpr

Le regole GDPR per il consenso al trattamento dei dati personali

Occorre precisare che il GDPR pone anche due ulteriori regole circa il consenso al trattamento dei dati personali.

In primo luogo, l’interessato può negare il proprio consenso e, se lo concede, può ritirarlo in ogni momento

In secondo luogo, il gestore del sito web non può abbinare più consensi al medesimo atto di accettazione: tornando all’esempio dell’e-commerce, la prestazione del consenso relativamente alla finalità del trattamento necessaria a perfezionare l’acquisto non può essere utilizzata anche per l’iscrizione ad una newsletter; per quest’ultima o per qualsiasi altra finalità occorre predisporre un’autonoma informativa e richiedere un autonomo atto di consenso da parte dell’interessato.

Altro adempimento importante per il sito web richiesto dal GDPR riguarda la prova del consenso: il titolare del sito, infatti, deve conservare e documentare l’avvenuto consenso da parte dell’interessato, ad esempio registrandone l’indirizzo IP nel momento in cui l’utente clicca su “Accetto” o su “Ok” nel box opportunamente predisposto.

Dovrai quindi conservare questa prova per tutto il periodo in cui si effettua il trattamento e fino al momento in cui avverrà la cancellazione dei dati personali: ti può occorrere sia per rispondere ad eventuali richieste di accesso dell’interessato, sia per le eventuali verifiche da parte dell’Autorità.

Consenso al trattamento dei dati personali sul web: i moduli di contatto 

Come previsto dalla normativa sulla privacy, al fine di ottenere correttamente il consenso dati personali, è necessario: una modifica ai moduli di contatto (solitamente i form HTML con cui avviene l’accesso al sito web da parte dell’utente).

In questo caso l’inserimento dei dati da parte dell’utente integra appieno il significato di dotazione al titolare del server delle informazioni personali, così costringendo il titolare ad adeguare il modulo al GDPR sito web.

Per fare un esempio, se si predispone un modulo attraverso il quale inviare richieste al titolare del sito e in cui il cliente deve inserire: nome, cognome e indirizzo mail, questo modulo deve rispettare le norme del Regolamento.

A tal fine, il modulo deve essere integrato con il link all’informativa sulla privacy, mettendo l’utente in condizione di accettare il trattamento relativo mettendo la spunta sul checkbox che permette di dare il consenso al trattamento dei dati personali. 

Ricordando, peraltro, che:

  • Questo consenso al trattamento dei dati personali può essere utilizzato solo per le finalità di contatto e non anche per altre finalità (nel qual caso è necessario predisporre un’apposita policy con relativo modulo di consenso);
  • Non è possibile chiedere per queste finalità dati che non risultano indispensabili per lo scopo di contatto (come, ad esempio, data di nascita, titolo di studio, stato civile, e così via).

Proprio in stretta conseguenza è importante correggere i moduli già presenti sul proprio sito, per consentire all’utente di prestare in modo espresso il proprio consenso: a tal fine i moduli di newsletter o, comunque, tutte le preferenze di contatto non potranno prevedere un consenso di default o caselle precompilate, ma una casella di spunta per consentire all’utente di prestare autonomamente il proprio consenso.

Come abbiamo visto, inoltre, il titolare del sito web deve provvedere a registrare e conservare i dati, sia quelli relativi all’utente che quelli concernenti la prestazione del consenso al trattamento.

Il monitoraggio degli accessi

Il sito web, dunque, si deve dotare di un apposito database che faciliti l’accesso e la conservazione sicura dei dati ottenuti. A questo fine, può essere utile implementare un registratore dei log, che certifica in modo adeguato data, ora e provenienza (= indirizzo IP) delle operazioni sul consenso.

Un’ipotesi in cui viene in gioco questo aspetto è nel caso in cui sul sito siano presenti aree riservate o moduli di registrazione che prevedano l’inserimento di dati specifici dell’utente.

In questo caso, è necessario predisporre sia strumenti che permettono di monitorare gli accessi effettuati (tramite il già citato controllo dell’indirizzo IP), sia modificare le aree riservate agli utenti, integrandole di alcune funzionalità che permettano agli stessi:

  • l’accesso ai propri dati;
  • la modifica degli stessi;
  • la modifica al consenso prestato in relazione al trattamento o ai trattamenti richiesti dal sito;
  • la cancellazione della propria iscrizione e, conseguentemente, dei dati forniti.

In tutti i casi in cui utilizza un sistema di misurazione degli accessi (come Google Analytics) si effettua un trattamento di dati personali, dal momento che per ogni accesso viene registrato l’indirizzo IP dell’utente o le azioni compiute sul sito (pagine visitate, tempi online, referrers, e così via). 

In questo caso, dunque, è necessario indicare nell’informativa privacy che esistono queste modalità di tracciamento (e richiedere, quindi, che il consenso dati personali dell’utente, si estenda anche a questo tipo di trattamento).

Cta Gdpr
Max Valle

Da oltre 30 anni erogo consulenze e servizi digitali per aziende e professionisti, che vogliono sviluppare il loro business, aumentando i clienti in modo serio e produttivo, utilizzando le ultime tecnologie web e nel pieno rispetto delle normative vigenti in materia.