Chiarimento che interessa tutti gli sviluppatori e proprietari di siti Web.
Come avrete letto più volte su questo blog, ho sempre avuto una posizione abbastanza critica sulle norme riguardo la Privacy.
Però fintantochè le sono ci sono magari ci si adopera per farle cambiare, ma nel frattempo vanno rispettate.
Uso molto i CMS e sulla famigerata informativa 13 D.lgs. 196/2003 girano molte interpretazioni, quindi ne ho parlato con l'Ufficio del Garante (non avrei mai pensato di riuscirci).
Premessa:
La stragrande maggioranza dei siti Web dinamici di oggi sono basati su CMS, in pratica delle console precostituite customizzabili che pure io utilizzo.
Molto diffusi sono Joomla, Drupal, Wordpress, Plone e tante altre spesso Open Source.
Quasi tutti i CMS importanti hanno una versione italiana ma non sono stati sviluppati solo per l'Italia, non prevedono nativamente funzioni per dare il consenso al trattamento al momento della registrazione, ecco perché molti utenti (soprattutto amatoriali), non si rendono conto degli adempimenti in caso di registrazione e semplicemente non si pongono il problema.
Ovviamente chi lo fa professionalmente deve preoccuparsi della cosa e spiegarlo ai clienti e agli sviluppatori occasionali.
Chi usa un CMS molto spesso sono piccole realtà senza un ufficio legale, spesso aziende con tre quattro dipendenti.
Queste piccole realtà non hanno software sviluppato su misura, modificabile per fare quello che si vuole, ma usano questi CMS collaudati e potenti, Open Source, costano poco o sono gratuiti e di conseguenza sono diffusissimi ma (per chi non spende per personalizzarli), abbastanza rigidi.
Esiste in realtà qualche componente gratuito che cerca di fare qualcosa, ma rischia di essere un modo per trasferire inconsciamente a terzi che hanno sviluppato tale componente, le credenziali del registrante.
Intanto voglio ringraziare l'ufficio del Garante della Privacy che ha gentilmente risposto ai miei quesiti:
I riferimenti normativi in particolare dove si parla di SPAM e delle normative per contrastarlo li trovate sul loro sito:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2542348
http://www.garanteprivacy.it/spam
Veniamo ora ai quesiti.
Serve L'informativa 13 D.lgs. 196/2003?
In che casi?
Deve essere necessariamente richiesta con una serie di check di accettazione espressa per ciascuna voce in fase di registrazione?
Sintetizzo la risposta (ovviamente la norma è quella che conta, è una mia sintesi e come tale personale, ma frutto di un cortese colloquio chiarificatore con i referenti dell'ufficio del Garante):
Serve L'informativa 13 D.lgs. 196/2003?
Se il sito non permette la registrazione degli utenti di norma No.
Se il sito ha persone che sono state iscritte dall'amministratore, hanno firmato il consenso al trattamento dei dati in cartaceo (ovviamente scritto in modo corretto e con riferimenti al Web), No.
Se il sito consente alle persone di registrarsi ma i dati vengono solo usati per i fini del sito (non per proposte commerciali, vendita ecc.) Sì.
Serve una pagina in cui inserire il responsabile del trattamento dei dati ecc. non servono conferme ulteriori durante la registrazione, basta citare il documento ed avere la pagina corrispondente in cui dare la possibilità di consultarlo.
Tutto questo vale anche se viene usata la mailing list interna e si limita ad avvisi relativi alle finalità del sito e senza promozioni commerciali.
Se invece si intende utilizzare gli stessi dati anche per finalità pubblicitarie, promozioni, trasmissione a terzi ecc. il consenso deve essere espresso chiaramente per ciascuna finalità.
In tal caso occorre inserire ulteriori voci per dare il consenso durante la registrazione e ciascuna va accettata separatamente.
Attenzione a Plugins che trasmettano dati a terzi, in tal caso si tratta di un illecito peggiore di quello della mancata informativa.