La definizione più comune di sito internet, accolta dalla comunità dei webmaster, è quella di un insieme di pagine web tra loro collegate, residenti su un server e accessibile da un’utente attraverso un comune motore di ricerca o digitandone l’indirizzo.
Generalmente, le pagine, scritte con linguaggi di programmazione più o meno sofisticati, contengono testi, immagini, video, audio e si presentano agli addetti ai lavori con sistemi di gestione dei contenuti già strutturati, noti anche con la sigla CMS. Di recente, sono comparsi sul mercato strumenti dotati di intelligenza artificiale, noti col nome di website builder in grado di creare un sito web e popolarlo di informazioni in pochi minuti.
Un sito web oltre ad essere un biglietto da visita nella società digitale, produce e raccoglie un’enorme quantità di informazioni dove il trattamento di dati personali è spesso preponderante.
GDPR: la normativa del legislatore europeo a tutela della privacy
Immagini, video, audio, testi con funzione di opinione, commento o intervento, indirizzi IP, preferenze di navigazione, geolocalizzazioni e altri dati possono rivelare direttamente o indirettamente le identità delle persone. Per la loro tutela il legislatore europeo è intervenuto con una importante produzione normativa che incide sul modo in cui le organizzazioni gestiscono i dati personali, compreso l’uso dei siti internet.
Uno di questi è il Regolamento Generale sulla Protezione dei Dati, noto anche con la sigla GDPR. Uno degli aspetti più importanti di questa norma è la necessità che i siti web si conformino a specifiche politiche sui cookie, garantendo che i dati degli utenti siano raccolti ed elaborati in modo lecito e trasparente.
I cookie sono piccoli file di testo contenenti dati personali che i siti web visitati dagli utenti posizionano e archiviano all’interno del device (personal computer, tablet, smartphone, ecc.) dell’utente stesso, perché siano poi ritrasmessi agli stessi siti alla visita successiva. Sono comunemente utilizzati per tracciare il comportamento degli utenti, migliorare l’esperienza online e raccogliere dati personali.
Uno dei proclami del GDPR è che i dati personali appartengono alle persone.
Quindi, per poterli trattare è necessario ottenere prima il loro consenso. Per essere sicuro di essere correttamente interpretato, il legislatore si è spinto a fornire una definizione molto puntuale del termine trattamento.
Il trattamento dei dati personali
In italiano, è un sostantivo che indica l’applicazione di metodi o procedimenti variamente determinabili, allo scopo di conseguire particolari effetti. Secondo la legge nazionale è l’archiviazione di informazioni in un device di un utente o l’accesso a informazioni già archiviate a essere consentita unicamente a condizione che l’utente stesso abbia espresso il proprio consenso dopo essere stato informato adeguatamente.
In assenza, di questa manifestazione di volontà è vietata l’archiviazione. Il legislatore europeo ha rafforzato questa affermazione definendola come qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati che lo riguardano siano oggetto di trattamento.
La definizione ha ispirato il nostro Garante privacy a fornire indicazioni sui contenuti e le modalità con cui devono essere redatte e rappresentate le informative sui cookie, sia quella breve che quella estesa.
L’informativa breve può essere presente in un banner dal design semplice, con comandi e caratteri di uguali dimensioni, enfasi e colori oppure con un’interfaccia utente tale da non sovvertire o compromettere la scelta dello stesso, mentre l’informativa estesa è da pubblicare in un’apposita pagina del sito che:
- comunica a quale sito web è riferita;
- chiarisce cosa sono i cookie, dove sono memorizzati e quanto durano;
- dichiara la modalità di raccolta dei cookie;
- dichiara le finalità con cui si raccolgono i cookie, sia quelli di profilazione che tecnici e analitici;
- conferma che l’accettazione dei cookie di profilazione non è obbligatoria e informa quali saranno le eventuali conseguenze;
- dichiara se sono presenti cookie di soggetti terzi segnalando i link di questi ultimi;
- indica come modificare le impostazioni dei cookie sul browser di navigazione;
- indica quali soggetti potranno utilizzare i dati raccolti degli utenti e a che scopo;
- elenca i diritti dell’utente in quanto il titolare del sito deve agevolare l’esercizio dei diritti dell’“Interessato”.
Dunque, per conformarsi ai requisiti richiesti dal GDPR, ma anche alla direttiva ePrivacy, nota come direttiva sui cookie, il sito web deve raccogliere il consenso degli utenti prima di impiegare i cookie di profilazione. Ciò significa che si deve disporre di un meccanismo di consenso chiaro e trasparente che informi i visitatori sul tipo di cookie utilizzato e sul loro scopo affinché l’eventuale consenso concesso sia tale da escludere qualsiasi riserva o incertezza ovvero sia inequivocabile.
La revoca del consenso al trattamento dati
Appare utile sottolineare come nel rispetto del requisito di revocabilità del consenso, previsto dalle linee guida pubblicate dal Garante europeo, l’utente deve poter essere posto, in ogni momento, nella condizione di poter modificare le scelte fatte e quindi di revocare il consenso prestato in precedenza. Anche in questo caso l’intervento del legislatore è stato chiaro.
La revoca del consenso deve avvenire in maniera semplice, immediata e intuitiva, attraverso un’apposita area da rendere accessibile attraverso un link da posizionarsi nel footer del sito e che renda esplicita la funzionalità attraverso l’indicazione di un “rivedi le tue scelte sui cookie” o analoga.
Ebbene precisare che richiedere il consenso all’utente navigatore che ha scelto di non prestarlo è consentito solo in tre ipotesi:
- se mutano significativamente una o più condizioni del trattamento;
- qualora risulti impossibile per il sito sapere se un cookie sia stato già memorizzato sul device dell’utente;
- quando siano trascorsi almeno sei mesi dalla precedente presentazione del banner.
Non sono da trascurare le misure di sicurezza tecniche ed organizzative di un sito web. Queste, in quanto, area di trattamento di dati personali, rientrano nell’obbligo di dimostrarne l’adozione per minimizzare i rischi come espressamente richiesto dal GDPR.
L’importanza della crittografia nel trattamento dei dati
Infatti, la mancata adozione di tecniche crittografiche per la trasmissione dei dati implica la palese violazione della norma. Ogni sito, applicazione e server deve incorporare regole sulla sicurezza riferite alle comunicazioni di rete, alle modalità di autenticazione durante gli accessi in aree riservate e alle infrastrutture dello stesso sito web. Pertanto, potrebbe esser necessario:
- stabilire un protocollo TLS su una connessione non sicura perché garantisce crittografia, autenticazione e integrità dei dati;
- migrare da IPv4 a IPv6. Il primo è un sistema a 32 bit che utilizza la stringa di numeri separati da punti mentre il secondo è un sistema a 128 bit che usa sequenze alfanumeriche separate da due punti;
- utilizzare in fase di accesso ad aree riservate del sito l’autenticazione a due fattori (2FA);
- limitare le porte di comunicazione a quelle strettamente necessarie per il corretto funzionamento delle applicazioni utilizzate dal sito internet;
- fare il backup del sito web;
- aggiornare il CMS, la piattaforma host del sito per evitare vulnerabilità rivelate successivamente;
- usare account nominativi per registrare gli accessi;
- adottare protezioni contro attacchi di tipo SQL injection a cui sono esposti i siti web.
La mancata adozione di misure adeguate volte a limitare i rischi di trattamento, dal consenso raccolto e gestito in modo lecito alla sicurezza del sito web, può esporre il titolare a importanti sanzioni amministrative come dimostrano anche i recenti e numerosi provvedimenti dell’Autorità Garante per la Protezione dei dati personali.
E tu sei in linea con la normativa?
