Il 25 maggio 2018 entreranno in vigore le disposizioni europee del regolamento generale sulla protezione dei dati dell’UE (“GDPR”, dall’inglese “General Data Protection Regulation”) che disciplinano la raccolta e il trattamento dei dati personali. In base al principio dell’ubicazione del mercato, anche il trattamento dei dati personali da parte di gestori di siti Web svizzeri può rientrare nel campo di applicazione del GDPR.

Dietro minaccia di ingenti sanzioni, l’UE è riuscita a portare la discussione sul tema della protezione dei dati ai maggiori livelli aziendali e tra i media. Sebbene sia improbabile che le autorità dell’Unione europea preposte alla protezione dei dati si occupino in prima battuta delle imprese svizzere per infliggere sanzioni elevate, si prevede tuttavia che il mancato adeguamento al nuovo regolamento possa portare a situazioni sgradevoli, come ad esempio ammonimenti o esortazioni da parte delle autorità (ad es. adempimento di richieste di cancellazione). A prescindere da ciò, anche la legge federale sulla protezione dei dati è in fase di revisione ed entro i prossimi due anni dovranno essere introdotte anche in Svizzera regole analoghe.

La gestione responsabile dei dati personali è un presupposto imprescindibile per conquistare la fiducia degli utenti. Indipendentemente dall’applicabilità del GDPR al caso specifico, quindi, è opportuno prendere sul serio il tema della privacy dell’utente e della sicurezza dei dati.

Riguarda anche me?

I singoli gestori di siti Web devono rispondere in autonomia a questa domanda in base alla propria situazione specifica. Tuttavia noi possiamo fornire delle linee guida che potranno essere di aiuto nel trovare una risposta al quesito. Il regolamento si basa sul cosiddetto principio dell’ubicazione del mercato. Di conseguenza ai fini dell’applicazione del regolamento non ha importanza se il gestore del sito Web abbia sede o meno al di fuori dell’UE. L’ubicazione del mercato su Internet è il luogo dal quale il visitatore visualizza l’offerta o il sito Web (con lo smartphone dall’aeroporto di Francoforte, con il notebook sul TGV da Parigi a Zurigo, ecc.).

Il GDPR, in particolare, si applica anche a quei siti svizzeri che propongono un’offerta a clienti finali dell’UE o ai provider svizzeri che monitorano il comportamento di clienti finali che si trovano nell’UE. Al contrario l’accessibilità (passiva) a un’offerta online dall’UE non rientra ancora nell’ambito di applicazione del GDPR. Un’altra falsa convinzione piuttosto diffusa è quella secondo la quale il GDPR si applica nei casi in cui la persona interessata proviene dall’UE.

Possibili fattori indicanti l’applicazione del GDPR sono, ad esempio, la pubblicazione dei prezzi dei prodotti in diverse valute (ad es. CHF ed euro), le indicazioni per raggiungere un determinato luogo dall’estero, informazioni sulle spese di spedizione verso l’estero o l’indicazione del numero di telefono con il prefisso internazionale. Sotto questo aspetto il regolamento è piuttosto vago e mancano dei precedenti che stabiliscano delle linee più precise a riguardo.

In caso di dubbio il nostro consiglio è quello di basarsi sul presupposto che il GDPR riguardi anche il proprio sito e quindi di adottare misure adeguate.

Cosa devo fare?

In caso di applicazione del GDPR, i dati personali degli utenti possono essere trattati soltanto se esiste un giustificato motivo per farlo. Il GDPR riconosce nel complesso sei diversi motivi giustificati e tra questi il consenso dell’utente rappresenta il motivo maggiormente discusso e utilizzato più frequentemente.

Tuttavia ottenere un consenso giuridicamente valido ai sensi delle disposizioni del GDPR non è così semplice: il consenso è valido soltanto se informato, volontario ed esplicito (per una o più finalità) e se revocabile in qualsiasi momento. In molti casi gli utenti sono sopraffatti da una quantità eccessiva di informazioni e non vogliono saperne niente. Spesso si dimentica poi che anche gli interessi commerciali legittimi delle imprese sono un motivo giustificato. In questo caso, tuttavia, bisogna soppesare con cura i propri interessi e quelli degli utenti. Nella maggior parte dei casi in cui i dati personali vengono utilizzati per scopi commerciali tale motivazione è giustificata e sicuramente più idonea che non il consenso. Un altro motivo giustificato è il trattamento dei dati ai fini dell’esecuzione di un contratto oppure per l’adempimento a un obbligo legale o per la prevenzione di eventuali svantaggi a carico dell’interessato.

In ogni caso, a prescindere dal motivo giustificato, sono consentiti, e quindi legittimi, unicamente la raccolta e il trattamento dei dati effettivamente necessari per il raggiungimento dello scopo prefissato. Nel caso degli shop online, ad esempio, tali dati potrebbero essere l’indirizzo di posta tradizionale e la data di nascita. Il credo religioso, al contrario, non è un dato rilevante per l’acquisto di una bottiglia di vino. Di conseguenza, richiedere o archiviare questa informazione non sarebbe consentito ai sensi del GDPR.

Una volta che si ha chiaro quali siano i dati trattati e in che modo avvenga il trattamento, il regolamento prevede la debita documentazione di queste operazioni (registro delle attività di trattamento). In caso di controllo le autorità chiederanno di visionare questo documento.

Inoltre, ogni interessato ha diritto a visionare i dati sulla propria persona soggetti a trattamento e a ottenere informazioni sulle finalità per cui vengono utilizzati, tranne nel caso in cui sussistano interessi superiori che ne impediscono la divulgazione.

Nel caso in cui più persone abbiano accesso a questi dati (ad es. webmaster, collaboratori, partner esterni, ecc.), anche questi soggetti dovranno documentare e dimostrare di disporre di un motivo giustificato per operare con tali dati.

Anche le misure di sicurezza adottate (antivirus, conservazione dei dati, protezione da accessi non autorizzati, ecc.) devono essere appropriate e documentate.

In generale, quindi, il soggetto tenuto ad adempiere alle disposizioni di legge è sempre colui che raccoglie e tratta i dati personali, quindi solitamente il gestore del sito Web, il quale elabora i dati dei propri visitatori e clienti.

Accordo di per il trattamento dei dati

Quasi tutte le piattaforme online affidano l’elaborazione di determinati dati a terzi. Noi, ad esempio, essendo un provider di servizi di hosting, archiviamo i dati (non soltanto quelli personali) dei nostri clienti. In questo caso il titolare della raccolta e del trattamento dei dati personali secondo i termini di legge è comunque il cliente. Hostpoint è il cosiddetto responsabile del trattamento. In quanto tale, quindi, supportiamo i nostri clienti nell’adempimento delle loro responsabilità. Le reciproche responsabilità devono essere concordate per iscritto ai sensi del GDPR. Nei casi in cui si applichi il GDPR è quindi necessario che tra il cliente e Hostpoint venga stipulato un accordo per il trattamento dei dati. Mettiamo a disposizione tale accordo contrattuale all’interno del nostro pannello di controllo, a prescindere dall’effettiva sussistenza di un obbligo di legge per la relativa stipula. Il contratto può essere visionato in qualsiasi momento all’interno del pannello di controllo da “Admin” -> “Contratti”.

Hostpoint può fornire supporto legale?

Nell’ambito della propria attività di provider di servizi Internet, Hostpoint non può fornire una consulenza legale vincolante. Cerchiamo di fare tutto il possibile per offrire ai nostri clienti informazioni e supporto secondo scienza e coscienza, tuttavia questi non possono sostituire la consulenza di un esperto legale professionale.

Vorrei ottenere informazioni dettagliate

Attualmente su Internet sono reperibili moltissimi articoli che parlano del GDPR sotto ogni possibile aspetto, così come molte valutazioni e interpretazioni del regolamento e dei suoi effetti. Tuttavia nella ricerca consigliamo ai nostri clienti di tenere presente che lo scenario giuridico è ancora caratterizzato da una forte incertezza e che le autorità giudiziarie non hanno ancora fornito alcuna indicazione precisa circa l’effettiva interpretazione e giurisprudenza.

Tuttavia vogliamo comunque segnalare alcuni link rilevanti:

Testo originale del GDPR: http://eur-lex.europa.eu/legal-content/IT/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ITA&toc=OJ:L:2016:119:TOC

Parere dell’IFPDT: https://www.edoeb.admin.ch/edoeb/it/home/documentazione/basi-legali/Datenschutz%20-%20International/DSGVO.html

Esclusione di responsabilità

Il presente articolo è stato redatto sulla base delle conoscenze e della letteratura attuali. Anche gli esperti in materia, tuttavia, in alcuni casi hanno opinioni molto discordanti, per questo non esistono ancora risposte chiare e non dobbiamo dimenticare che in Svizzera è in vigore anche la legge federale sulla protezione dei dati aggiornata. Non ci assumiamo quindi alcuna responsabilità circa la correttezza e la completezza delle informazioni riportate nel presente articolo. Tutti i gestori di siti Web dovranno analizzare personalmente la propria situazione e chiedere verosimilmente la consulenza di un esperto legale.

Il nuovo GDPR europeo: quali sono le novità più importanti per i gestori di siti Web?

Claudius Röllin

Co-Founder & Chief Product Officer

0