Indice:
GDPR per sito web: il modulo contatti
Come abbiamo visto in questo articolo, ogni sito web per essere a norma di legge deve dotarsi dei documenti legali necessari, come la privacy policy e la cookie policy.
Nella maggior parte dei casi, però questo non basta.
Chi ha un sito, infatti, usa il modulo contatti per aprire un canale di comunicazione con i propri utenti.
Ed è proprio attraverso il modulo contatti, che questi ultimi inseriscono i propri dati personali come nome e indirizzo e-mail.
In questo modo, il titolare del sito raccoglie i dati personali degli utenti che poi potrà trattare per inoltrare loro la risposta a eventuali domande, o per inserire l’indirizzo e-mail nella mailing-list dedicata alla newsletter.
Affinché tale attività di raccolta e trattamento sia rispettosa del regolamento privacy (GDPR Reg. UE n. 679/2016), occorre predisporre un modulo contatti a norma di legge.
Se, infatti, la raccolta dei dati avviene in modo illegittimo, sarà illecito – a cascata – anche il loro trattamento, con conseguente rischio di sanzioni e richieste risarcitorie (art. 82 GDPR).
Vediamo quindi cosa non può mancare in un modulo contatti a norma di GDPR.
GDPR per sito web: i 3 must-have del modulo contatti
1 – Le singole finalità devono essere indicate separatamente
Per impostare il modulo contatti a norma di GDPR, occorre innanzitutto individuare le finalità per cui quei dati vengono raccolti e saranno poi trattati.
Per esempio, il modulo contatti potrebbe servire solamente per rispondere alle richieste pervenute, oppure potrebbe essere un’occasione per raccogliere gli indirizzi e-mail e foraggiare la mailing-list cui inviare la newsletter che stiamo pensando di imbastire.
L’identificazione di queste singole finalità di raccolta e trattamento (es. risposta alle richieste di informazioni; invio di newsletter) è di grande importanza.
Il modulo contatti, infatti, per essere a norma, deve riportare in modo esplicito e specifico le singole finalità di trattamento dei dati.
Ogni singola finalità in forza della quale si raccolgono i dati (es. newsletter, profilazione, marketing ecc.), deve essere esplicitata in modo autonomo e corredata di apposita casella da spuntare.
Dal momento che il consenso dell’utente deve essere manifestato in modo attivo ed esplicito, è importante che la casella non sia pre-spuntata o pre-flaggata.
Sul punto si è espressa la Corte di Giustizia dell’Unione Europea nel caso “Planet 49“:
“il requisito della «manifestazione» della volontà della persona interessata evoca chiaramente un comportamento attivo e non uno passivo. Orbene, il consenso espresso mediante una casella di spunta preselezionata non implica un comportamento attivo da parte dell’utente di un sito Internet“.
(CGUE sent. 1 ottobre 2019 Causa C-673/2017)
2 – Il riferimento alla privacy policy del sito web
Oltre all’indicazione delle singole finalità di trattamento dei dati, il modulo contatti deve riportare il link diretto alla privacy policy, con un’indicazione, per presa visione da parte dell’utente, di questo tipo:
“acconsento all’utilizzo dei miei dati personali secondo quanto stabilito dall’informativa privacy“.
Anche in questo caso, con apposita casella da spuntare.
Così facendo, l’utente ha la possibilità di conoscere con trasparenza tutte le informazioni relative alle modalità di raccolta e trattamento dei suoi dati da parte del titolare del sito.
“I dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato“.
(Art. 5 lett. a) GDPR)
3 – Minimizzazione dei dati raccolti rispetto allo scopo
Ulteriore principio cardine del GDPR è la minimizzazione dei dati.
Sul modulo contatti questo principio si riverbera imponendo di ridurre la quantità di dati raccolti nei confronti dell’utente, in considerazione dello scopo perseguito.
Ecco quindi che, ancora una volta, le finalità perseguite tornano in rilievo per avere un modulo contatti a norma di GDPR.
Se, per esempio, le finalità si limitano all’inoltro di risposte alle richieste di informazioni e all’invio della newsletter, la richiesta di dati personali come il numero di cellulare o l’indirizzo di residenza non saranno necessari.
In conformità al GDPR, è quindi importante individuare le finalità di trattamento per ridurre al minimo la quantità di dati che si intendono raccogliere.
“I dati personali sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»)“.
(Art. 5 lett. c) GDPR)
Modulo contatti e GDPR: conclusioni
Abbiamo visto che per avere un modulo contatti a norma di legge, è essenziale fare un’analisi preventiva sulle diverse finalità che si intendono perseguire.
A seconda che il modulo contatti funga da canale di comunicazione con gli utenti, da collettore di contatti per la newsletter o per finalità di marketing, la sua architettura dev’essere pensata e impostata diversamente.
Proprio come accade per la privacy policy dedicata al sito vetrina o all’e-commerce.
In ogni caso, però, per avere un modulo contatti a norma, non possono mancare:
- l’indicazione puntuale di tutte le finalità perseguite nella raccolta dati, evitando caselle pre-spuntate;
- il link diretto alla privacy policy;
- la richiesta dei soli dati necessari allo scopo perseguito.
Ecco allora che, per evitare il rischio di raccogliere dati inutilizzabili, è opportuno fare un check preliminare che consenta di avere un modulo contatti a norma di legge.
Lo stesso modulo che in futuro, magari, potrà essere la base su cui costruire una landing page dedicata ad una raccolta di contatti più strutturata.
Vuoi saperne di più? Scrivimi.
