Form online: i 4 errori più comuni in materia di privacy

Form online: i 4 errori più comuni in materia di privacy

Spesso chi opera online utilizza form che consentono agli utenti di conferire  i loro dati per inviare una richiesta, effettuare una registrazione o aderire ad alcuni servizi.

Altrettanto spesso però sfuggono i principi e gli obblighi privacy che dovrebbero essere osservati in fase di implementazione e gestione del form e si commettono errori che potrebbero essere invece facilmente evitati.

I 4 errori più comuni in materia di privacy nella gestione del form online

1) Inserire nel form vari campi con cui si richiedono molteplici dati personali, alcuni dei quali in realtà non necessari per le finalità perseguite

Perché si tratta di un errore?

In base ai principi di necessità e pertinenza di cui all’art. 11 del Codice privacy, il titolare deve trattare i soli dati che abbiano una stretta correlazione con la finalità che si intende perseguire.

Non è cioè possibile richiedere qualsiasi dato all’utente attraverso i campi inseriti in un form online, ma occorre limitare la richiesta a quelle informazioni che siano funzionali alla finalità perseguita.

Cosa fare in concreto

Prestare attenzione nella fase di scelta dei dati da richiedere, tenendo conto, a tal fine, della funzione del form inserito sul sito e delle finalità per cui si intendono utilizzare i dati richiesti.

Così, nel caso di un modulo contatti gestito su un sito web con cui è possibile inoltrare una richiesta di informazioni, nel definire quali dati richiedere all’utente attraverso i vari campi del form, occorre tenere presente proprio lo scopo per cui le informazioni vengono acquisite e trattate: se la finalità è quella di esaminare e fornire riscontro alla richiesta dell’utente, risulterà eccedente l’eventuale trattamento di dati relativi, ad esempio, alla professione o alla residenza; viceversa, dovrebbero essere inseriti sicuramente ulteriori campi nel caso di un form utilizzato dall’utente per inoltrare un ordine di acquisto di un certo bene, rendendosi, in tal caso, necessario conoscere ulteriori informazioni di carattere personale (si pensi, ad esempio, all’indirizzo per la spedizione o ai dati relativi alla fatturazione).

2) Non fornire all’utente alcuna informazione in ordine al trattamento dei dati richiesti attraverso il form

Perché si tratta di un errore?

In base a quanto previsto dall’art. 13 del Codice privacy il titolare deve fornire all’utente, prima che abbia inizio il trattamento, una serie di indicazioni in ordine al trattamento dei dati richiesti.

Si tratta degli elementi espressamente indicati nel citato articolo, ossia:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;

e) i diritti di cui all’articolo 7;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile.

Cosa fare in concreto

Fornire l’informativa agli utenti prima che abbia inizio il trattamento (quindi, prima che l’utente inoltri la richiesta attraverso il form online), prestando attenzione perché l’informativa sia leggibile, comprensibile e facilmente accessibile.

Come soddisfare tali requisiti nella gestione di un’informativa su un sito web?

Sono varie le modalità con cui poter gestire l’informativa all’interno di un sito, garantendo all’utente di poter facilmente accedervi.

Così, ad esempio, nel caso di pagina web dedicata all’iscrizione a un corso da effettuare tramite compilazione di apposito modulo, è possibile inserire il testo dell’informativa all’interno di una text-area non editabile dall’utente, ma è possibile anche gestire un link cliccando sul quale l’utente possa prendere visione delle informazioni riportate nel documento o, ancora, inserire l’informativa all’interno della pagina web in modo che sia di immediata  evidenza per chi vada a compilare il form online.

3) Non richiedere alcun consenso al trattamento dei dati per finalità e trattamenti per cui sia invece necessario

Perché si tratta di un errore?

In base all’art. 23 del Codice privacy, il trattamento dei dati personali è ammesso solo con il consenso espresso dell’interessato, a meno che non ricorra uno dei casi espressamente previsti dalla legge, per cui il trattamento è consentito anche in assenza di espressa autorizzazione.

Così, per quanto di interesse, rispetto alla gestione di un form di contatto o adesione ad un servizio online, se i dati sono richiesti e trattati solo per adempiere alle specifiche richieste dell’utente, per eseguire gli obblighi di legge o gli obblighi derivanti da un contratto del quale è parte l’interessato, non sarà necessario acquisire il consenso.

Se però il titolare vuole utilizzare i dati richiesti attraverso il form online, ad esempio, anche per inviare all’utente comunicazioni commerciali e offerte promozionali oppure intende comunicarli a terzi per loro autonome finalità di marketing, dovrà richiedere previo consenso espresso e specifico.

Cosa fare in concreto

Nel caso in cui si volessero trattare i dati forniti dall’utente tramite il form anche per finalità ulteriori rispetto a quelle strettamente legate alla richiesta formulata o al rapporto nel caso instaurato, gestire appositi sistemi tecnici con cui l’utente possa manifestare l’eventuale consenso al trattamento.

Così, ad esempio, è possibile inserire apposite caselle (tante quante sono le singole finalità del trattamento perseguite), tenendo traccia dell’eventuale flag apposto dall’utente.

4) Subordinare l’inoltro della richiesta alla prestazione del consenso per finalità di marketing

Perché si tratta di un errore?

Il consenso si considera validamente manifestato solo se è conferito liberamente e specificamente in riferimento a un trattamento chiaramente individuato.

Pertanto non è possibile obbligare l’utente a prestare il suo consenso al trattamento dei dati, ad esempio, per finalità di marketing, impedendo, in caso contrario, l’inoltro della richiesta di informazioni o la conclusione della procedura di iscrizione e registrazione tramite apposito form online.

L’utente deve cioè essere messo nelle condizioni di decidere liberamente se manifestare o meno il proprio consenso al trattamento dei dati per le singole finalità perseguite dal titolare.

Cosa fare in concreto

Se si intende utilizzare i dati dell’utente anche per finalità ulteriori rispetto a quelle strettamente legate alla richiesta formulata o al rapporto contrattuale in essere, occorre indicarlo nell’informativa e richiedere specifico consenso per le singole finalità perseguite.

Da un punto di vista tecnico, poiché il consenso deve essere libero e non condizionato, non è possibile impostare il sistema in modo tale che l’utente, per poter inoltrare la richiesta o concludere la registrazione, debba autorizzare il trattamento dei dati per ulteriori trattamenti (si pensi alla finalità di marketing o alla comunicazione dei dati a terzi per loro autonome iniziative promozionali).

Pertanto, se si prevede la gestione del consenso attraverso apposite casella, a prescindere dal fatto che l’utente decida di apporre o meno il flag sulla stessa, dovrà essere data la possibilità di inoltrare la richiesta tramite l’apposito form, tenendo presente, a tal fine, che, come indicato nel Garante privacy nelle Linee Guida in materia di attività promozionale e contrasto allo spam del 4 luglio 2013, non può definirsi libero, e risulta indebitamente necessitato, «il consenso a ulteriori trattamenti di dati personali che l’interessato “debba” prestare quale condizione per conseguire una prestazione richiesta» e, analogamente, «non è corretta la predisposizione di moduli in cui la casella (c.d. “check-box”) di acquisizione del consenso risulta pre-compilata con uno specifico simbolo (c.d. flag)».

Conseguenze legate alla violazione della normativa

Quali sono le possibili conseguenze cui poter incorrere se si commette uno degli errori esaminati e quindi, se si viola la normativa in materia di privacy?

Sicuramente il primo aspetto da considerare è legato all’impianto sanzionatorio del Codice privacy, che individua sia illeciti amministrativi (come nel caso dell’omessa o inidonea informativa, punita, ai sensi dell’art. 161 con la sanzione del pagamento di una somma da 6 a 36 mila euro) sia illeciti penali (come nel caso di trattamento illecito, che si configura anche nell’ipotesi di violazione dell’art. 23 del codice privacy, ossia di trattamento dati in assenza di consenso espresso).

Tuttavia non possono trascurarsi anche le conseguenze in termini di web reputation, considerando che la maggiore consapevolezza maturata dagli utenti in ordine alla materia della privacy potrebbe condurre gli stessi a non compilare un form in cui siano richiesti molteplici dati oppure a mostrare sfiducia per il titolare di un sito che non fornisce alcuna informazione sul trattamento dei dati richiesti, generando, in tal modo, anche criticità in termini di immagine aziendale.