Quando si avvia una startup uno dei primi obiettivi per cominciare col verso giusto la nuova avventura di business è il contenimento dei costi. Tuttavia, mai bisognerebbe sottovalutare tutti gli adempimenti legali che ci permettano di non trasgredire le norme soprattutto quando sbarchiamo sul web.
La nostra StartUp avrà un sito Internet, la cui apertura e mantenimento richiede una serie di adempimenti previsti dalla legge, il cui mancato rispetto può comportare non soltanto delle ipotesi di responsabilità amministrativa punibile con sanzioni pecuniarie, ma anche responsabilità civile e penale. Di particolare rilevanza sono gli aspetti di compliance privacy del sito Internet, con particolare riferimento all’obbligo di informazione che ciascun titolare del trattamento (la società o l’imprenditore) ha nei confronti degli utenti del sito, e in riferimento all’obbligo di far prestare loro consenso espresso, libero, specifico e informato al trattamento.
Dobbiamo, nella nostra analisi, partire dall’attuale impianto normativo previsto dal D.lgs. n. 196/2003 (Codice in materia di protezione dei dati personali), e dal Regolamento UE in materia di protezione dei dati personali del 27 aprile 2016, n. 679, (il “Regolamento”). Ai sensi dell’art.4 comma 1 lett.b del D.lgs. n. 196/2003, si definisce dato personale una qualsiasi informazione relativa a una persona fisica, sia essa identificata oppure identificabile, anche indirettamente, per il tramite di qualsiasi altra informazione, ivi incluso un numero di identi- ficazione personale.
Definiamo, invece, trattamento ai sensi dell’art.4 comma 1 lett.a una qualsiasi operazione o complesso di operazioni aventi ad oggetto il dato personale, a partire dalla sua raccolta e fino alla sua cancellazione, distruzione o anonimizzazione. La prima cosa da fare è fornire agli utenti del sito Internet, in modo chiaro e trasparente, una serie di informazioni che definiremo “privacy policy” che riguardino il trattamento posto in essere con riferimento ai loro dati personali. Sarà necessario, dunque, informare gli utenti in merito all’identità del titolare del trattamento e ai suoi contatti (ad esempio, indirizzo, numero telefonico, fax, indirizzo e-mail, etc.) e fornire informazioni specifiche quali: tipologia e quantità dei dati vengono trattati dal titolare e per quale specifica finalità, soggetti a cui i dati vengono comunicati o diffusi, chi potrebbe eventualmente concorrere al trattamento insieme al ti- tolare, modalità del trattamento, diritti che la legge riconosce in capo agli utenti e così via.
La redazione della privacy policy necessita di una accurata attività preventiva di riflessione e valutazione, per evitare che vengano fornite informazioni non corrispondenti a quelle che sono le reali attività di trattamento svolte dal titolare e prevede requisiti minimi particolarmente stringenti dal punto di vista contenutistico come quelli indicati sopra. Dobbiamo sempre ricordare che il trattamento di dati personali è ammesso in presenza del consenso dell’interessato: il consenso dell’interessato è una manifestazione di volontà recettizia, sempre revocabile, con la quale accetta liberamente ed espressamente il contenuto della Privacy Policy. Il consenso può essere prestato sia per iscritto che per il tramite di mezzi elettronici, dunque, anche online inserendo un flag in apposita casella predisposta sul sito o portale in questione. Sono infatti presenti numerosi presupposti di liceità del trattamento, alternativi al consenso, la cui applicazione va valutata caso per caso, a seconda delle specifiche circostanze relative al trattamento.
Damiani&Damiani accompagna il cliente nell’interpretazione di tali situazioni prevenendo eventuali lesioni nei confronti degli utenti. Privacy e cookie Il provvedimento n. 229 dell’8 maggio 2014 posto in essere dal Garante ha introdotto una serie di prescrizioni obbligatorie per i gestori dei siti Internet che ricorrono all’uso di cookie e di altri strumenti analoghi.
Possiamo riassumere il contenuto del provvedimento in punti:
1. Informativa estesa: il gestore del sito Internet deve informare gli utenti della tipologia di cookie impiegati dal sito e della finalità del trattamento che viene effettuato per il loro tramite.
2. Consenso: il gestore del sito deve raccogliere il consenso degli utenti nel caso in cui il sito Internet ricorra all’impiego di cookie analitici di terze parti, cookie di profilazione di prima parte e cookie di profilazione di terze parti;
3. Notificazione: si tratta di una comunicazione che, in determinati casi specifici, il titolare del trattamento deve effettuare una tantum utilizzando un apposito modulo da inviare al Garante. L’informativa può essere prestata nel momento in cui un utente si connette ex novo nella home page o nella content page in un determinato sito Internet , per mezzo di un’informativa breve, sotto forma di banner. Per ciò che consente, invece, il consenso esso può essere prestato per mezzo di un’azione concludente. Dobbiamo, comunque, rilevare che è in atto una proposta di Regolamento europeo volta alla semplificazione ulteriore della disciplina sopra descritta.
