Gli obblighi imposti dalla legge su siti web e applicazioni

Gli obblighi imposti dalla legge su siti web e applicazioni

Gli obblighi imposti dalla legge

 

Privacy

Il D.lgs. 196/2003 e la sua recente revisione operata dalla direttiva e-privacy obbligano la maggior parte di siti web e applicazioni che raccolgono dati personali ad informare i propri utenti ed a richiedere, a seconda dei casi, il consenso al trattamento degli stessi.

Cosa s’intende per dato personale, e quando è obbligatorio fornire un’informativa privacy?

Nella classificazione di dato personale rientrano non solo il nome, il cognome o l’indirizzo email, ma anche un semplice cookie come quello impiegato da Google Analytics.

L’obbligo di fornire agli utenti un’informativa privacy, comunemente tramite un documento chiamato Privacy Policy, si applica per la maggior parte di siti web ed app; infatti è sufficiente utilizzare Google Analytics, un form di richiesta preventivi o un modulo d’iscrizione alla mailing list per essere soggetti a questo vincolo.

Anche il semplice uso di Google Analytics comporta l'obbligo di fornire un'informativa privacy 

Privacy-Policy

Cosa deve contenere la Privacy Policy?

La Privacy Policy deve informare gli utenti circa la tipologia di dati personali raccolti (es. nome, email, cookie), l’identità e le informazioni di contatto del titolare del trattamento (es. il proprietario del sito web o applicazione), i soggetti terzi che avranno accesso a tali dati (es. Google) nonché le finalità per cui i dati vengono raccolti (es. statistica, advertising, invio di newsletter) e i diritti degli utenti. 

cookies law

Informazioni sui Cookie

La disciplina relativa all’utilizzo dei cookie fa riferimento alla direttiva 2009/136/CE, che ha modificato la precedente normativa “e-privacy” (2002/58/CE).

La normativa richiede al titolare del trattamento di fornire, oltre alla Privacy Policy, anche una Cookie Policy che indichi chiaramente quali sono i cookie utilizzati dal sito web o app e le finalità del loro utilizzo.

L’obbligo di informare e di acquisire il preventivo consenso dell’utente sull’utilizzo dei cookie – ove richiesto – incombe sul gestore del sito, in qualità di titolare del trattamento. I gestori dei siti, dunque, hanno l’obbligo di adempiere a tali compiti.

Per chiarire le modalità attraverso cui allinearsi alla cookie law, a giugno 2014 il Garante Privacy ha pubblicato delle linee guida iniziali che tuttavia mancavano di indicazioni operative. Subito dopo è stato avviato un tavolo inter-associativo promosso da Fedoweb, iab, Net-comm ed UPA – le associazioni di categoria di riferimento nel mondo online – che ha chiesto la collaborazione di iubenda come partner tecnico.

Il risultato di questo tavolo, che ha interagito con il Garante stesso, è una serie di linee guida che vi illustriamo in dettaglio nel documento dedicato alla cookie law.

Obblighi per la sicurezza dei dati personali

Secondo la normativa privacy è necessario nominare formalmente i soggetti che trattano dati personali all’interno dell’azienda e i responsabili del trattamento, qualora presenti. Tali soggetti devono essere a conoscenza degli obblighi previsti dalla legge e rispettarli.

In particolare, il titolare del trattamento dei dati personali (il legale rappresentante della società o dell’attività) deve nominare soggetti dipendenti o consulenti che hanno accesso ai dati personali degli utenti in funzione dell’attività svolta internamente, ma senza una gestione indipendente dei dati personali (marketing, fatturazione, commerciale, legale).

Il titolare del trattamento può nominare anche uno o più responsabili del trattamento dei dati personali ove tale attività sia delegata, in tutto o in parte, a un soggetto specifico che abbia competenze necessarie.

Dal punto di vista pratico, questo si traduce nella semplice sottoscrizione di moduli di nomina firmati dai dipendenti che hanno accesso ai dati personali o – ad esempio – dall’agenzia che si occupa di gestire il server o coordinare il marketing.

il-garante-della-privacy

Notificazione al Garante

Il titolare, inoltre, nei casi che presentano particolari rischi legati alla tutela dei diritti e delle libertà delle persone interessate (Art. 37 Codice Privacy), deve notificare l’Autorità Garante per la Privacy prima che il trattamento dei dati abbia inizio.

A tale proposito, il caso più frequente è quello di app mobili che tracciano la posizione geografica dell’utente. Quando tale posizione viene messa in relazione con altri dati personali, diventa obbligatorio notificare l’attività al Garante.

Per altre informazioni, si veda http://www.garanteprivacy.it/home/doveri.

Come funziona con le checkbox? Cosa bisogna far accettare agli utenti?

La legge non impone l’uso delle checkbox, bensì impone che il consenso al trattamento dei dati personali sia libero, informato e specifico. Il modo più comune per ovviare a questo requisito è quello di prevedere delle checkbox e un’informativa adeguata, così da comunicare all’utente quanto necessario, e così da raccogliere il suo consenso al trattamento.

Condizioni Generali

Le Condizioni Generali, o Termini e Condizioni o Termini di Servizio, sono il documento che disciplina il rapporto contrattuale fra il titolare del servizio fornito dal sito web o dall’app e l’utente.

In questo documento vengono definiti i termini di utilizzo dei contenuti e del servizio, nonché le eventuali modalità di pagamento, di consegna, rimborso, cancellazione o sospensione dell’account.

Particolare rilevanza è assunta dalle clausole relative alla limitazione di responsabilità nel caso di malfunzionamenti del sito web, di rimborsi o di episodi di utilizzo non consentito del sito/app e dei suoi contenuti. A questo si aggiunge il rispetto delle procedure interne circa le norme in tema di commercio elettronico e di tutela del consumatore.

I Termini di Servizio rappresentano il documento in relazione al quale viene valutata la responsabilità del titolare nei confronti dell’utente in caso di controversie relative al servizio fornito.

Le Condizioni Generali sono fondamentali per difendersi in caso di abusi, specie per gli e-commerce 

     

Obblighi informativi e requisiti generici Informazioni obbligatorie in atti e corrispondenza

L’Art. 2250 c.c. e la sua modifica ex art. 42 L. 88/2009 prevedono l’obbligo per le società tenute all’iscrizione al registro delle imprese d’inserire nella corrispondenza, negli atti e nel sito web alcune informazioni chiave riguardanti la società.

Queste informazioni sono: la sede legale della società, l’ufficio del Registro delle Imprese dove la società è iscritta, il numero d’iscrizione presso il Registro Imprese (che coincide con il codice fiscale), l’eventuale stato di liquidazione a seguito dello scioglimento della società, il capitale sociale versato e quello che risulta esistente all’ultimo bilancio approvato, l’eventuale sussistenza di un socio unico (se la società è unipersonale) e, in caso di banche, il numero d’iscrizione all’albo tenuto dalla Banca d’Italia.

A questo si aggiungono gli obblighi del CAN-SPAM Act, una legge statunitense che obbliga ad inserire un indirizzo fisico all’interno delle mail inviate dalle società, e che spesso si applica anche a soggetti italiani.

Gli obblighi imposti dai proprietari dei servizi utilizzati

Quando li sottoscrivi, la maggior parte dei servizi terzi utilizzati su siti web ed applicazioni, come Google Analytics o Google AdSense, ti obbliga – all’interno delle condizioni che accetti durante la registrazione – ad informare gli utenti tramite la Privacy Policy circa il loro utilizzo.

In altri casi, come per la pubblicazione di un’applicazione Facebook, la pubblicazione è consentita solo se si fornisce il link ad una Privacy Policy.

Quali sono i rischi e le sanzioni?

Le sanzioni per l’omessa o inidonea informativa, la più comune delle violazioni in campo privacy, vanno dai 3.000 ai 30.000 euro, ma per altre violazioni si può arrivare a sanzioni di 120.000 euro e persino all’illecito penale.

Le sanzioni per violazioni privacy possono   arrivare a 120.000 euro 

Il rischio, invece, qualora non si disponga di un documento adeguato per Termini e Condizioni, è quello che il titolare non sia in grado di far valere le proprie ragioni in caso di uso improprio del proprio sito/app o non sia in grado di regolare le pretese degli utenti.

Chi controlla l’applicazione delle norme privacy?

L’Autorità Garante per la Privacy può ricevere segnalazioni per violazioni direttamente dagli utenti e agire di conseguenza, tuttavia il modo più comune in cui le violazioni vengono allo scoperto è tramite i controlli di routine della Guardia di Finanza, che ha il compito di verificare anche le violazioni in campo privacy.

cit. https://www.iubenda.com