La tutela dei dati personali nella realtà del commercio online
Nell’universo del commercio elettronico, dove ogni giorno vengono eseguite transazioni di qualsiasi tipo, spesso i gestori richiedono i dati personali ai propri clienti. Tuttavia molti utenti hanno qualche remora a comunicare i propri dati, e questo per un motivo valido: troppo di frequente, infatti, capita che dei dati se ne faccia un uso improprio, che sia a scopi pubblicitari o che sia persino per trasmetterli a terzi.
Per questo motivo gli imprenditori dovrebbero occuparsi della protezione dei dati personali, sia nell’interesse dei propri clienti sia per evitare spiacevoli conseguenze legali. Difatti se ci si perde tra i meandri del diritto alla privacy nell’ambito del commercio online, si può facilmente correre il rischio di violare qualche normativa, magari incappando in elevate pene pecuniarie.
A cosa serve la tutela dei dati personali
Come azienda prima di richiedere i dati ai vostri clienti dovete essere a conoscenza della normativa che li tutela: si tratta del Codice per la protezione dei dati personali (codice della privacy), un Testo Unico all’interno del quale sono state convogliate diverse disposizioni sullo stesso argomento e che vige dal 1° gennaio 2004. Questa raccolta di normative attualmente in vigore contiene una serie di prerequisiti atti a regolamentare la protezione dei dati personali. La responsabilità sull’applicazione della normativa è detenuta dal Garante per la protezione dei dati personali, un’autorità amministrativa indipendente istituita dalla cosiddetta “legge sulla privacy” del 1996.
L’obiettivo primario del Codice della privacy è di tutelare il diritto del singolo sui propri dati personali, per cui di conseguenza disciplina anche le varie operazioni di gestione, o meglio “trattamento” dei dati, di cui fanno parte raccolta, elaborazione, raffronto, cancellazione, modificazione, comunicazione e, infine, diffusione degli stessi. Con l'affermazione “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” presente nell’art. 1 del Testo Unico diventa evidente il nesso che sussiste con i diritti della personalità.
Diritto alla riservatezza e diritto sui propri dati non sono sinonimi: oltre alle informazioni sulla propria vita privata, il primo riguarda anche ogni altra informazione relativa a una persona, come ad esempio nome o indirizzo di residenza.
A partire dal 25 maggio 2018 è entrato in vigore il regolamento Ue 2016/679 RGPD (Regolamento Generale sulla Protezione dei Dati), che va ad ampliare il già esistente Codice della privacy rafforzando e rendendo più omogenee le misure di protezione relative ai dati personali dei cittadini europei. Tutte le aziende presenti nell’area europea o che vi commerciano beni o servizi, anche se in rete, pur non avendovi sede, sono tenute a rispettare la nuova normativa, altrimenti le sanzioni possono arrivare fino al 4 % del fatturato globale annuo.
La normativa ha dunque come obiettivo quello di evitaregarantire che l’avente diritto sia sempre informato sul trattamento dei suoi dati e che abbia anche la possibilità di acconsentire o meno all’utilizzo degli stessi. Naturalmente le regole riguardo alla tutela dei dati sono da rispettare a prescindere che siate un’istituzione privata o pubblica: come sempre la legge è uguale per tutti.
Cosa sono i dati personali?
Con dati personali si intendono tutte le informazioni relative a una persona fisica identificata o identificabile che ne esprimono l’identità fisica, fisiologica, genetica, psichica, economica culturale e sociale. Ciò include (ma non solo):
- nome, data di nascita, indirizzo, cittadinanza;
- codice fiscale;
- dati bancari;
- indirizzo IP, cookie, dati GPS sulla geolocalizzazione;
- genere, colore della pelle, dei capelli, degli occhi;
- proprietà;
- dati cliente online;
- certificati di formazione e professionali.
I dati personali sono quindi informazioni che possono essere direttamente o indirettamente associate a una determinata persona, per cui l'assegnazione del nome è il criterio di identificazione decisivo.
I dati non personali, invece, sono dati raccolti in forma anonima e non possono essere utilizzati per identificare una persona specifica. Ciò può ad esempio includere, a condizione che la prima interazione con l'utente sia completamente anonima, l'indicazione del sesso, i dati dei visitatori su determinati siti web o altre informazioni non specifiche. Tali dati non personali non vengono influenzati dalla legge sulla protezione dei dati. In qualità di imprenditore o commerciante, potete quindi utilizzare questo tipo di dati per compilare statistiche o profili di utenti senza previo consenso o autorizzazione ai sensi della legge sulla protezione dei dati; tuttavia, dovete assicurarvi che non possano essere associati a una persona fisica.
Più problematica è l'elaborazione dei cosiddetti dati "pseudonimizzati" (art. 4 cpv. 5 RGPD), ossia dei dati che vengono memorizzati con uno pseudonimo per il rispettivo utente. Possono essere utilizzati per creare profili utente molto più specifici. Qui si apre una zona d'ombra giuridica, in quanto spesso è difficile per i gestori dei siti web vedere immediatamente se determinati dati possono essere direttamente o indirettamente associati a una persona fisica. Per questo motivo anche in questo caso dovete informare i vostri clienti sulla raccolta dei dati e segnalare loro sin da subito il diritto di opposizione.
Le disposizioni del Regolamento generale sono destinate a coprire l'intera gamma dei processi rilevanti ai fini del diritto in materia di protezione dei dati. Il vantaggio è che il nuovo regolamento di base tiene già conto dei futuri sviluppi tecnologici e non deve pertanto essere costantemente aggiornato. Tuttavia, le formulazioni piuttosto astratte hanno anche un effetto collaterale negativo: possono essere interpretate in larga misura e sono quindi soggette a controversie; molte questioni (ad esempio in materia di web tracking) saranno chiarite dai tribunali competenti solo nel corso del tempo.
Questa incertezza giuridica ha finora causato molta confusione e acceso diversi dibattiti nelle imprese interessate. Ma siccome i cambiamenti apportati dal regolamento europeo riguardano principalmente i dettagli, molte delle norme vigenti in materia di protezione dei dati nel commercio elettronico rimangono valide, il che rende il passaggio meno improvviso e difficile per le aziende.
Gli indirizzi IP dinamici sono considerati dati personali?
Il primo ad avviare la discussione è stato Patrick Breyer, politico del Partito dei Pirati tedesco, circa una decina di anni fa quando criticò la memorizzazione automatica degli indirizzi IP dinamici, in quanto consentiva il tracciamento senza il consenso esplicito dell'utente e rappresentava quindi una violazione delle normative allora valide. Nel 2007 il governo tedesco gli rispose sostenendo che la pratica della memorizzazione degli indirizzi IP, comune tra i gestori di siti web, serviva da protezione contro gli attacchi di hacker ed era pertanto consentita.
Il 16 maggio 2017, dopo aver consultato la Corte di Giustizia dell’Unione europea, il Tribunale federale tedesco ha stabilito che gli indirizzi IP dinamici sono considerati dati personali ai sensi della legge sulla protezione dei dati personali. Difatti anche in caso di indirizzi IP dinamici, in cui la sequenza delle cifre cambia ad ogni nuovo collegamento a Internet, il rispettivo provider (se dispone dei mezzi legali necessari) può identificare la persona interessata con l'ausilio di informazioni supplementari. Questa è la ragione della sentenza del tribunale tedesco, che peraltro, secondo gli esperti giuridici, viene supportata anche dal RGDP.
Allo stesso tempo, tuttavia, dopo aver soppesato gli interessi di provider e utenti, il tribunale ha deciso che gli indirizzi IP dinamici possono essere memorizzati anche dopo aver visitato la pagina in questione. Nei casi singoli, pertanto, i diritti e le libertà fondamentali delle persone fisiche sono sempre schierati contro la preoccupazione dei gestori di siti web di eliminare disturbi e prevenire attacchi informatici, garantendo in tal modo la funzionalità generale del proprio sito web.
I principi i aspetti fondamentali della tutela della privacy
Per poter processare un ordine i gestori di negozi online necessitano indubbiamente dei dati personali dei clienti. Ma l'analisi dei dati è di grande interesse anche nel marketing online, perché può essere utilizzata per creare pubblicità e inserimento di prodotti su misura di un singolo utente.
Il nuovo Regolamento generale europeo stabilisce chiaramente in che misura i dati personali possono essere raccolti nell'ambito dell'e-commerce. In generale il divieto è soggetto ad autorizzazione. Ciò significa che prima di utilizzare qualsiasi dato, è necessario verificare attentamente per ogni singolo caso se è consentito dalla legge e se è necessario ottenere l'autorizzazione esplicita del rispettivo utente.
Ciò è particolarmente consigliabile per i cosiddetti "dati personali di categorie particolari" (art. 9 cpv. 1 RGDP), che comprendono, tra l'altro, l'origine etnica e culturale, tutte le opinioni politiche, religiose e filosofiche nonché dati genetici e biometrici.
Come imprenditori dovete quindi essere ben informati sulle condizioni secondo le quali vi è consentito di raccogliere e trattare i dati personali e per quali scopi. È necessario prestare particolare attenzione ai seguenti tre principi:
Limitazione della finalità
Essenzialmente per la protezione dei dati è decisiva la limitazione della finalità: ciò significa che la raccolta e l'utilizzo di dati sono consentiti solo per lo scopo esplicitamente risultante dal rapporto contrattuale o dall'utilizzo di un supporto. Non appena il contratto o il processo di utilizzo è terminato, l'imprenditore è obbligato a cancellare immediatamente e completamente tutti i dati personali. Una proroga del periodo di memorizzazione è consentita solo se i dati sono ancora necessari per la fatturazione. La trasmissione di dati personali a terzi non è consentita. Fanno eccezione le fatture o i procedimenti penali avviati dalle autorità.
Minimizzazione dei dati
Il secondo principio fondamentale del Regolamento generale è la minimizzazine dei dati, secondo cui dovreste raccogliere il minor numero possibile di dati relativi ai vostri clienti. La registrazione e l'elaborazione anonima degli utenti, nella misura in cui ciò è tecnicamente possibile e ragionevole per il fornitore di servizi, sono conformi alle disposizioni di base sulla protezione dei dati. I clienti sono tenuti a fornire solo le informazioni obbligatorie (ad esempio quando compilano un modulo di contatto) esplicitamente richieste per l'utilizzo del servizio. Si raccomanda di elencare separatamente le informazioni relative all'utilizzo di questi dati in conformità alle norme sulla protezione dei dati in una apposita informativa.
Trasparenza e obbligo di informazione
Uno dei principi più importanti del diritto in materia di protezione dei dati è il principio della trasparenza. In conformità con l'obbligo di informare il cliente, è necessario informarlo sulle modalità di raccolta, utilizzo, consultazione o altro trattamento dei dati personali e sulla misura in cui i dati personali sono trattati e saranno trattati in futuro. Determinante è il consenso esplicito dell'utente alla memorizzazione e all'elaborazione dei dati forniti in conformità con la limitazione della finalità. Voi, in qualità di fornitori, dovete non solo registrare il consenso, ma anche garantire che il vostro cliente possa sempre accedere al contenuto del suo consenso nonché revocarlo in qualsiasi momento in futuro. Avete un obbligo di informazione anche nel caso in cui desideriate memorizzare i dati al di fuori dell'UE.
Create un'informativa sulla privacy separata per i vostri clienti assicurandovi che faccia riferimento a tutte le possibilità di utilizzo dei dati del cliente.
Google Analytics vs. tutela della privacy
In merito alla tutela dei dati personali, la posizione del tool di analisi web Google Analytics è molto controversa. Fra le altre cose il tool gratuito fornisce informazioni sulla provenienza dei visitatori, il loro tempo di permanenza sui singoli siti web e infine quali pagine hanno visitato con maggiore frequenza. Google non solo rileva i dati relativi all’utente come l’indirizzo IP, il tipo di browser, e anche la data e l’ora della visita al sito web senza il previo consenso del soggetto interessato, ma addirittura li salva. In questo modo la multinazionale statunitense è in grado di ricostruire un profilo utente completo che sia quindi associabile a una persona specifica.
Come garantire la privacy con Google Analytics nel rispetto del Regolamento generale europeo
La giustificazione per un simile modus operandi si riscontra nella legislazione degli Stati Uniti d’America: al contrario dell’Unione Europea, la legge per la tutela della privacy statunitense è molto più flessibile. Siccome però in Italia vige un Codice della privacy ben definito, è indispensabile adattarvisi per non incorrere in comportamenti illeciti. A questo scopo se vi servite di Google Analytics, saprete che il tool installa dei cookie di profilazione: questi memorizzano gli indirizzi IP dei visitatori, considerati dati sensibili dal Garante della privacy.
Per questo motivo per garantire un certo livello di tutela della privacy, dovrete adottare le seguenti misure.
Accettare il DPA
Sul vostro profilo di Google Analytics andate alla voce “Impostazione dell’account”: qui dovete confermare di accettare i “Google Ads Data Processing Terms”, recentemente aggiornati in conformità al Regolamento generale europeo.
Pubblicare una nuova informativa sul vostro sito web
Va da sé che con l’introduzione della nuova normativa sulla protezione dei dati sono da aggiornare tutti gli aspetti ad essa legati, come ad esempio l’informativa presente sul vostro sito web. Eseguite i seguenti passaggi:
- Aggiornate l’informativa indicando che fate uso di Google Analytics, il quale raccoglie ed elabora i dati.
- Inserite il link al contenuto di Google “Modalità di utilizzo dei dati da parte di Google quando si utilizzano siti o app dei nostri partner”.
- Informate gli utenti che il vostro sito utilizza cookie per la raccolta di dati, per cui dovete ottenere il consenso esplicito di Google.
- Specificate che fate uso di cookie di terze parti per rendere migliori l’esperienza di navigazione e le funzionalità del sito stesso.
- Se il vostro account di Google Analytics è collegato ad AdWords, dovete informare l’utente. Spiegate che vi servite di cookie non solo per finalità tecniche, ma anche per attività di profilazione.
Siccome è una procedura complessa e dispendiosa, l’RGDP ha tolto l’obbligo di notificare alcune specifiche di trattamento al Garante dei Dati Personali. Si prevede però che il Garante della privacy reintroduca la notificazione per alcune categorie di dati particolarmente sensibili.
Consenso esplicito
Prima di avviare qualsiasi azione di tracciamento è indispensabile disporre del consenso esplicito dell’utente. Se l’utente non intende darlo, deve poterlo fare in maniera chiara e semplice tramite le modalità messe a disposizione nella policy. Segnalate inoltre all’utente il suo diritto a revocare il consenso anche dopo averlo dato.
Anonimizzazione di indirizzo IP e indirizzo e-mail
Anche l’indirizzo IP è considerato un “personal identifiable indicator” e serve a Google durante l’elaborazione dei dati. Per tutelare quindi la privacy dell’utente connesso ad esso, è indispensabile renderlo anonimo senza che vada a perdersi la localizzazione. A tal fine dovete attivare la funzione di anonimizzazione dell’indirizzo IP fornita da Google Analytics scegliendo una delle due opzioni possibili:
- Se utilizzate Google Tag Manager andate su “Altre impostazioni”, poi su “Campi da impostare” e aggiungete un campo dal nome “anonymizelp” con un valore di “true”.
- Se non vi servite di Google Tag Manager, verificate che il sistema di gestione dei tag contenga questa funzione. In caso contrario dovrete lavorare direttamente sul codice.
Prima che venga memorizzato o elaborato l’indirizzo IP Google ne eliminerà l’ultimo ottetto, ovvero una successione di tre cifre, e lo sostituirà con degli 0. A questo punto l’indirizzo IP è anonimo.
Allo stesso modo anche l’indirizzo e-mail dell’utente deve essere criptato, in questo caso conservandone il prezioso customer journey cross device.
Ricapitolando dovrete inserire:
- il banner semplificato all’apertura del sito contenente:
- un avviso sul fatto che il vostro sito web utilizza cookie,
- un avviso sul fatto che il vostro sito web permette l’invio di cookie a terze parti,
- un link all’informativa completa,
- l’indicazione che sussiste la possibilità di non rilasciare l’autorizzazione ai cookie di analisi da terze parti;
- l’informativa completa delle informazioni sul Codice della privacy relative ai cookie tecnici e del link all’informativa della privacy di Google Analytics;
- la notifica a pagamento (150 euro) al Garante della privacy.
Esiste uno stratagemma per evitare una simile procedura e risparmiare tempo e denaro: si tratta di rendere anonimo l’IP di Google Analytics. Come già detto, siccome i cookie di profilazione sono considerati troppo invasivi, c’è la possibilità di trasformarli in cookie tecnici. Così facendo evitate sia di avvisare il Garante e di pagare per la notifica, sia di adattare il sito in modo che Google Analytics si attivi solo una volta ricevuto il consenso da parte dell’utente. A questo punto gli unici obblighi che vi rimangono sono il banner e l’informativa.
Alternative a Google Analytics
Tuttavia non dovete sentirvi obbligati a utilizzare Google Analytics, poiché per fortuna esistono anche valide alternative strutturate in maniera del tutto conforme al Codice di tutela della privacy. Potete ad esempio ricorrere a Piwik o a Chartbeat, per effettuare le vostro analisi web.
Sanzioni
Il regolamento europeo prevede multe elevate fino a 20 milioni di euro o il 4% del fatturato annuo mondiale di un'azienda (art. 83 c. 5). Gli illeciti amministrativi sono, in particolare, quelli commessi intenzionalmente o per negligenza come:
- mascherare o occultare il mittente o la natura commerciale di un messaggio;
- informare l'utente in modo incompleto o per nulla circa il tipo di raccolta dei dati;
- raccogliere, elaborare, memorizzare o non cancellare tempestivamente i dati personali violando le disposizioni di legge;
- riportare un profilo utente ai dati relativi al portatore dello pseudonimo.
Oltre alle richieste di risarcimento danni (art. 82) le persone interessate hanno anche diritto a un risarcimento sotto forma di:
- Informazioni sui dati personali memorizzati, la loro origine, lo scopo della memorizzazione e i destinatari (art. 15).
- Correzione, cancellazione e blocco dei dati personali (art. 15 par. 1e).
Conclusione: come agire correttamente per tutelare la privacy degli utenti?
L’universo di Internet per via della sua struttura di informazioni ramificata che gode di una copertura globale e di un’elevatissima velocità di trasmissione fa sì che qualsiasi tipo di dato possa raggiungere ogni angolo del pianeta nel giro di una frazione di secondo. Per quanto possa essere un vantaggio in termini di comunicazione, quando si tratta però di violazione della privacy può invece rappresentare un grandissimo problema per la persona interessata. Il diritto ha quindi il dovere di stare al passo coi tempi per garantire la massima tutela dei dati personali, anche se la velocità con la quale si evolvono le tecnologie non facilita di certo il compito.
Idealmente si dovrebbe puntare a una collaborazione tra marketing e diritto. Sulle spalle delle aziende ricade infatti il dovere morale di non abusare dei propri poteri: rispettando la privacy dei vostri clienti sarete anche in grado di ottenere la loro fiducia a lungo termine. Al contrario se imponete all’utente una scelta di acquisto per cui magari non si interessa nemmeno, verrete bollati per sempre come fastidiosi e poco professionali. È dunque indispensabile che siate al corrente delle disposizioni in merito alla tutela dei dati personali perché possiate anche sapere come muovervi entro i limiti legali e sfruttare quindi al meglio ciò che la normativa vi concede di fare.
Conclusione: come agire correttamente per tutelare la privacy degli utenti?
L’universo di Internet per via della sua struttura di informazioni ramificata che gode di una copertura globale e di un’elevatissima velocità di trasmissione fa sì che qualsiasi tipo di dato possa raggiungere ogni angolo del pianeta nel giro di una frazione di secondo. Per quanto possa essere un vantaggio in termini di comunicazione, quando si tratta però di violazione della privacy può invece rappresentare un grandissimo problema per la persona interessata. Il diritto ha quindi il dovere di stare al passo coi tempi per garantire la massima tutela dei dati personali, anche se la velocità con la quale si evolvono le tecnologie non facilita di certo il compito.
Idealmente si dovrebbe puntare a una collaborazione tra marketing e diritto. Sulle spalle delle aziende ricade infatti il dovere morale di non abusare dei propri poteri: rispettando la privacy dei vostri clienti sarete anche in grado di ottenere la loro fiducia a lungo termine. Al contrario se imponete all’utente una scelta di acquisto per cui magari non si interessa nemmeno, verrete bollati per sempre come fastidiosi e poco professionali. È dunque indispensabile che siate al corrente delle disposizioni in merito alla tutela dei dati personali perché possiate anche sapere come muovervi entro i limiti legali e sfruttare quindi al meglio ciò che la normativa vi concede di fare.
Studiate con attenzione il Codice della tutela dei dati personali sia il nuovo Regolamento Generale sulla Protezione dei Dati per non incorrere in sanzioni!
Vi preghiamo di osservare la nota legale relativa a questo articolo.