10. Obblighi di informazione e rispetto privacy su app e siti web: come evitare la sanzione?

Attenzione, a seguito dell’entrata in vigore dal 25 maggio 2018 del GDPR i contenuti esposti da questo articolo e podcast potrebbero risultare obsoleti.

Hai aperto un sito web o creato una app al fine di promuovere la tua attività o la tua azienda? Sapevi che la legge ti impone di pubblicare determinate informazioni? Ti voglio spiegare cosa devi fare per evitare brutte sorprese.

Gli obblighi web del sito aziendale

Gli obblighi di pubblicazione variano in relazione al tipo di attività o di impresa che svolgi.
La legge, nel caso delle società, impone di pubblicare le informazioni legali che riguardano l’azienda nello spazio elettronico collegato alla rete telematica ad accesso pubblico sul quale si effettua attività di comunicazione oltre che negli altri luoghi virtuali di comunicazione, come email e profili sui social networks.
L’art. 2250 Codice Civile prevede, in particolare, l’obbligo di pubblicare la ragione sociale, la sede legale, il Codice Fiscale e la Partita IVA, la posta elettronica certificata (PEC), l’Ufficio del Registro dove si è iscritti, il numero di Repertorio economico amministrativo (Rea), il capitale in bilancio (per le società di capitali che sono Spa, Sapa, Srl, Srls), l’eventuale liquidazione in seguito a scioglimento, l’eventuale stato di società con unico socio (Spa e Srl unipersonali). L’art. 2497-bis c.c. impone, inoltre, di rendere nota la società o l’ente alla cui attività di direzione e di coordinamento la società è soggetta.

Se sei titolare di partita IVA dovrai indicarla sulla home page del sito, obbligo previsto dall’art. 35, D.P.R. 633/1972, modificato dall’art. 2, D.P.R. 404/2001, mentre la R.M. 16 maggio 2006, n. 60/E sottolinea che l’onere di pubblicazione riguarda anche siti web utilizzati per motivi pubblicitari.
Se svolgi attività di E-Commerce devi sapere che l’art. 7, D.Lgs. 70/2003 ti impone di pubblicare gli estremi del venditore (domicilio o sede legale) e del prestatore (compresa posta elettronica), il numero di iscrizione Rea o Registro Imprese. Se la tua attività è soggetta a concessione, licenza o autorizzazione devi indicare gli estremi dell’autorità competente.
Per il mancato rispetto degli obblighi che ti ho elencato, sono previste sanzioni sino a 2.065 euro, quindi fai tesoro di quanto hai appena letto.
Oltre alla pubblicazione delle informazione sulla tua attività, devi prestare attenzione agli obblighi imposti dalla legge per il rispetto e la tutela della Privacy.

La tutela della riservatezza degli utenti Web

Il Codice della Privacy ti impone, quando richiedi agli utenti del tuo sito i loro dati sensibile al fine di iscriverli ad una newsletter o affinché tu li possa contattare, di richiedere un consenso informato, espresso solo dopo la lettura dell’informativa sulla tutela della riservatezza.
L’informativa sulla privacy deve, quindi, contenere i seguenti elementi:

  • scopi e modalità del trattamento cui sono destinati i dati;
  • obblighi dell’informato nel fornire o meno i dati;
  • conseguenze cui va incontro l’interessato in caso di rifiuto;
    nominativo delle persone, enti o società a cui possono essere forniti i dati;
  • diritti riconosciuti all’interessato;
  • nominativo del titolare e del responsabile del trattamento dei dati e relativi contatti.

Nel caso in cui dovessi omettere di chiedere il consenso ai tuoi utenti, potrebbe esserti irrogata una sanzione tra 6.000 e 36.000 euro prevista dall’art. 161, D.Lgs. 196/2003.
Non è, tuttavia, necessario richiedere il consenso nelle seguenti ipotesi:

  • quando il trattamento viene posto in essere per dare esecuzione a un obbligo legale;
  • quando i dati provengono da registri ed elenchi pubblici o i dati sono relativi allo svolgimento di attività economiche da parte dell’interessato;
  • quando il trattamento dei dati è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la finalità riguarda l’interessato e questi non può prestare il proprio consenso a causa di incapacità di agire, il consenso è manifestato da chi esercita legalmente la potestà ovvero dal congiunto o da un familiare;
  • nei trattamenti dei dati dei curricula vitae ricevuti spontaneamente e trasmessi dagli interessati ai fini dell’eventuale instaurazione di un rapporto di lavoro. L’esonero dal consenso riguarda anche i dati sensibili eventualmente contenuti nei curricula stessi;
  • nei trattamenti dei dati relativi alle persone giuridiche, imprese, enti o associazioni effettuati per finalità amministrativo-contabili;
  • quando i dati vengono trattati nell’esecuzione di un contratto o in fase pre-contrattuale;
  • nelle comunicazioni di dati infra-gruppo tra società, enti o associazioni con società controllanti, controllate o collegate ovvero con società sottoposte a comune controllo, nonché tra consorzi, reti di imprese e raggruppamenti ad associazioni temporanee di imprese con i soggetti ad essi aderenti per finalità amministrativo-contabili.

Come vedi un’attività di divulgazione online, essenziale se si vuole essere competitivi, deve conformarsi alle regole che sono state previste a tutela degli utenti del web: contatta un consulente legale e di comunicazione digitale (e secondo noi sei già sul sito giusto!) che potranno evitarti pesanti sanzioni e brutte sorprese.

Francesco Raccagna

Facendo un giro in rete tra i siti italiani è evidente a tutti quanto il problema degli oblighi legali a cui la maggior parte dei siti sono soggetti sia ampiamente sottovalutato. Sono davvero migliaia i casi di criticità legali, ed infatti non è affatto raro che la Guardia di Finanza rilevi contravvenzioni esose per questi motivi.

La causa di questo fenomeno europeo, ma anche italiano, è da ricondursi, a mio parere, nell’ampio utilizzo dei CMS (content management system) gratuiti, cioè di software per la creazione di pagine web che non richiedono il pagamento di una licenza e sono di facile utilizzo anche per chi non è esperto del settore, o la tendenza a non investire in modo serio coinvolgendo un vero professionista bensì un amico o il classico “cugino smanettone” pur di risparmiare.

E’ proprio il fai da te, o il rivolgersi a personale inadeguato, ad esporre un gran numero di aziende al rischio di sanzioni molto pesanti.

Oltretutto ho tristemente notato che la maggior parte di queste piattaforme, essendo “open source” (cioè con un codice dal libero utilizzo e che funzionano in modo “modulare”, ovvero in modo espandibile utilizzando “blocchi di codice già pronto”), non includono di default le funzionalità richieste dalla normativa vigente.
Credo che il motivo dipenda dal fatto che si tratta di progetti a carattere internazionale (soluzioni, cioè, aperte a tutte le necessità legali esistenti nel mondo).

In Italia però la partita iva (ad esempio) per legge andrebbe posta in homepage, ne consegue che dovrebbe essere collocata da chi realizza il sito di propria spontanea volontà, anche se il software non lo suggerisce.

Personalmente consiglio di inserire la partita iva, così come le altre informazioni richieste ai proprietari di un sito e-commerce, direttamente nel footer (piedipagina). Ciò è fattibile tramite l’utilizzo di un plug-in apposito (che va però cercato ed installato) o di un widget (il caso tipico per chi utilizza WordPress, il CMS più popolare in assoluto).
In questo modo non solo chi accede al sito dalla home, ma da qualsiasi altra pagina, potrà leggerla (andando quindi “oltre” gli stessi requisiti minimi di legge).
In effetti la legge è persino permissiva poiché incompleta: infatti non tiene conto che oggi una buona parte degli utenti di un sito accede proprio dalle pagine interne, non tanto dalla homepage (specialmente quelli occasionali provenienti dai motori di ricerca).

Riguardo invece alla mancanza totale o parziale dei requisiti richiesti dal Codice della Privacy, anche in questo caso girando in rete si nota come non siano affatto rare le criticità da parte di un buon numero di siti web italiani.
Questa osservazione è suffragata anche da una recente indagine (fonte: www.privacyenforcement.net) effettuata in ambito comunitario dalle 24 autorità per la privacy, incluso il nostro Garante. Dopo aver esaminato 455 tra siti e app, il 20% di queste non riporta minimamente la normativa privacy, ma il numero di criticità rilevate sono anche tante altre, ad esempio:

  • informative privacy troppo generiche ed imprecise;
  • quasi nessuna indicazione dell’uso che varrà fatto dei dati degli utenti e dei soggetti terzi a cui questi possono essere comunicati;
  • solo il 50% circa dei siti ed app analizzati spiegano all’utente come esercitare il diritto di accesso ai propri dati personali.

Il motivo è analogo al caso precedente: i plug-in di raccolta dati degli utenti, come ad esempio l’indirizzo di posta elettronica (per capirci, i moduli elettronici da compilare) presenti sui CMS più comuni (tra cui cito in ambito e-commerce il famoso Prestashop) NON includono la casellina di spunta e la dicitura obbligatoria di accettazione della normativa privacy: ne consegue che se chi realizza il sito non è abbastanza sveglio, professionale ed aggiornato, ignora di realizzare questi moduli applicando questi importanti criteri legali. E così facendo rischia di arrecare un danno non indifferente al proprio amico o cliente.

Ma spesso, anche quando un sito sembra perfettamente in regola, le cose non sono proprio così:

Ho personalmente individuato numerosi siti con normative privacy identiche. In realtà ciò è lecito, visto che è possibile applicare una linea di condotta nella gestione dei dati comune anche ad altri. Tuttavia, prima di pubblicare la normativa, bisognerebbe accertarsi se si sia provveduto a personalizzare all’interno della normativa il nome e cognome (ed i dati) del titolare al trattamento dei dati personali.
Non sono affatto rari, infatti, i casi di copia e incolla raffazzonati! Attenzione quindi, perché un’errata comunicazione potrebbe esporvi non solo a multe salatissime, ma persino a querele da parte di terzi che nulla hanno a che fare con la vostra società!

Per concludere, come giustamente ricordato dall’avvocato Raccagna, è proprio il caso di non improvvisarsi e piuttosto di affidare la realizzazione del proprio sito/app non solo ad un esperto di comunicazione digitale, ma anche di diritto.

Leonardo Cascio

Attenzione, a seguito dell’entrata in vigore dal 25 maggio 2018 del GDPR i contenuti esposti da questo articolo e podcast potrebbero risultare obsoleti.

foto: 1
Francesco Raccagna
Classe 1981, laureato in Legge presso l’Università di Pavia nel 2009, specializzato in Diritto Civile e Penale e abilitato presso la Corte di Appello di Milano. Dal 2015 é avvocato in proprio e presso uno studio associato di Marsala. Compagno di Francesca, ama il cinema, lo sport e la buona cucina.
Leonardo Cascio
Classe 1975, da 16 anni è consulente ICT, CTP e Direttore Marketing di LCM Your Global Partner con cui aiuta le aziende a trovare e fidelizzare clienti col marketing digitale. Dal 2017 è blogger di LeonardoCascio.com. Vive tra Marsala e Milano, sposato con Linda e papà di Lorenzo, adora l’inglese, la lettura, la musica e il calcio.