Qualche giorno fa una persona mi ha detto: << voglio mettermi a sviluppare APP e siti web, visto che è il mestiere del futuro..in fondo, basta conoscere WordPress per fare un sito!>>
La persona in questione, pur denotando una buona volontà da ammirare, ha trascurato un piccolo dettaglio: la sicurezza informatica..e di conseguenza tutti gli aspetti legati alla protezione dei dati personali di utenti di APP e siti web. Si tratta chiaramente di un aspetto spesso trascurato, ma molto importante.
Quante tra le APP che utilizzate, magari realizzate da esercizi commerciali locali per velocizzare le operazioni di prenotazione di tavoli al ristorante o accesso al sito di e-commerce, hanno una privacy policy adeguata?
Quanti dei siti web che visitate, hanno una chiara ed adeguata privacy policy in grado di spiegare a chi vengono comunicati i vostri dati personali (ebbene si:tra i dati personali rientrano anche indirizzi email, indirizzi Ip, cookie analitici e di profilazione)
Qualcuno dirà: << ma in fondo, a cosa serve la privacy policy in una APP o in un sito?quali rischi ci sono?>>
Semplice, una privacy policy realizzata in modo conforme alla normativa serve a tutelare voi e i vostri dati. Sopratutto serve a garantire la conformità con il Regolamento Generale per la Protezione dei Dati ( GDPR) ed evitare di conseguenza pesanti sanzioni per il titolare del sito web o della APP.
Cosa scrivere nella privacy policy per essere in regola con il GDPR?
Si vedono spesso, pagine con privacy policy “standard” contenenti indicazioni generiche o prive di alcune informazioni. L’art. 13 del GDPR indica chiaramente quali indicazioni devono essere presenti dell’informativa da fornire a coloro a cui si riferiscono i dati che stiamo trattando (c.d. “interessati”): <<In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili. >>
Ricapitolando: non basta scrivere genericamente che <<i dati saranno trattati dal titolare del trattamento>> ma occorre indicarne la ragione sociale e i contatti; occorre inoltre indicare le finalità del trattamento (ovvero per quali motivi trattate quei dati) e la/le basi giuridiche in base alle quali i dati vengono trattati (es: riferimenti ad eventuali leggi che vi autorizzano a trattare dati, riferimenti a contratti , etc). In mancanza di una valida base giuridica non è possibile trattare i dati (in altre parole: non potete raccogliere i dati ed elaborarli!),quindi, prima ancora di mettere online il vostro sito o la vostra APP, se utilizzate queste piattaforme per raccogliere dati, individuate una VALIDA BASE GIURIDICA e valutate in quale caso è necessario chiedere il CONSENSO all’interessato al trattamento dati!
Ok,ma chi potrebbe mai contestare il modo in cui la mia APP o il mio sito raccoglie i dati?
La risposta è molto semplice: qualunque persona che, visitando il sito o scaricando la APP, riscontrasse una raccolta dei suoi dati, senza l’avvenuta consegna di una opportuna informativa. Come ricorda l’art 13 del GDPR, il titolare del trattamento dati (l’azienda che raccoglie i dati dei visitatori del sito o degli utenti della sua APP) deve fornire l’informativa nel momento in cui ottiene i dati. Chiunque può rivolgersi direttamente al Garante per la Protezione dei Dati Personali per segnalare trattamenti dati effettuati in maniera non conforme ai regolamenti europei e nazionali.