forma di contatto contact us

Siti web e form di contatto a prova di privacy

Tempo di lettura stimato: 4 minuti

Cos’è un modulo di contatto per il GDPR?

Lo scopo di un modulo di contatto è consentire a qualcuno di contattarti. Se un visitatore del sito web ha una domanda o un commento, è ovviamente necessario rispondere a tale domanda o commento ed è per questo che i moduli di contatto raccolgono informazioni come nomi, e-mail e indirizzi.

Queste informazioni sono dati personali. Ai sensi dell’art. 4 del GDPR, infatti, per dato personale si intende ogni informazione riferita ad una persona fisica identificata o identificabile.

La “raccolta di dati personali”, inoltre, per il GDPR costituisce un trattamento, così come integra un trattamento, la conservazione e l’uso dei dati medesimi. Pertanto, nel momento in cui decidi di inserire un modulo di contatto nel tuo sito web,  ti accingi a svolgere quanto meno quattro trattamenti. Infatti:

  • raccoglierai dei dati personali
  • li conserverai in un database
  • li utilizzerai per rispondere
  • li cancellerai una volta venuta meno la finalità per cui sono stati raccolti.

Il registro dei trattamenti

Se hai un modulo di contatto nel tuo sito web, non dovrai dimenticare, come spesso accade, di inserire nel registro dei trattamenti previsto dall’art. 30 GDPR i trattamenti originati dal modulo di contatto.

Come deve presentarsi un modulo di contatto a prova di GDPR

Se la finalità del modulo di contatto è consentire all’utente di porre delle domande al gestore del sito internet, è evidente che quest’ultimo dovrà ricontattare l’utente per rispondere.

In tale prospettiva, per rispettare il principio di minimizzazione dei dati raccolti, si suggerisce di non richiedere all’utente dati ulteriori rispetto al nome di battesimo ed all’indirizzo email.

Infatti, richiedere troppi dati personali rivela già l’intenzione del titolare del sito internet di utilizzare i dati raccolti attraverso il modulo di contatto per finalità ulteriori rispetto al semplice rispondere all’utente.

Se sussistono scopi ulteriori rispetto al semplice rispondere all’utente, il titolare del trattamento dovrà prima esplicitare le sue intenzioni e raccogliere in modo granulare un consenso per ogni finalità ulteriore. Se per esempio il suo scopo fosse anche quello di creare un database per fare marketing diretto, dovrà farsi spuntare un checkbox dedicato a questa finalità.

E’ sempre necessario un checkbox per l’acquisizione del consenso?

Se lo scopo è soltanto quello di fornire una risposta ad un utente del sito, la risposta è no.

La questione però non si esaurisce in questa semplice risposta. Occorre, infatti, esplicitare nella privacy policy quale sia la base giuridica che utilizziamo nel momento in cui tratteremo i dati personali inviatici con l’email.

Alcuni autori, a tal proposito, scomodano la base giuridica costituita  “dall’adempimento di obblighi contrattuali o misure precontrattuali“.

Questa scelta si fonda sulla tesi per cui rispondere ad una domanda dell’utente integri un servizio: seguendo questo ragionamento, se tu utente mi poni una domanda, io, titolare del trattamento, per poterti rispondere, devo avere quanto meno la tua email;  titolare del trattamento e utente, in tal modo, concluderebbero un contratto avente ad oggetto la risposta ad una domanda.

L’adempimento di obblighi contrattuali o misure contrattuali non è la base giuridica ideale per un form di contatto

Personalmente consiglio di porre particolare attenzione quando il titolare del trattamento, per prassi, tratti dati di particolare natura o dati giudiziari. Nel sito internet di un avvocato, i messaggi inviati dagli utenti, infatti, potrebbero contenere dati giudiziari, così come nel messaggio spedito attraverso il form di contatto di un medico, i messaggi potrebbero includere dati personali relativi alla salute dell’utente.

In questi casi le basi giuridiche del trattamento vanno ricercate non nell’art. 6 GDPR, ma nell’art. 9 GDPR.

Ne deriva che, solo per queste tipologie di dati sensibili, il trattamento non può fondarsi sull’ “adempimento di obblighi contrattuali o misure precontrattualie segnatamente, nel primo caso (trattamento di dati giudiziari), perché tale base giuridica non è prevista dall’art. 9 GDPR, nel secondo caso (trattamento di dati di particolare natura) perché l’art. 9 richiede testualmente il consenso esplicito.

Cos’è un consenso esplicito?

Una risposta a questa domanda ci viene offerta dalle linee guida del wp ex art. 29 del 2020. Qui, infatti, il gruppo di  lavoro dei garanti europei ci spiega come “nel contesto digitale od online, l’interessato può emettere la dichiarazione richiesta compilando un modulo elettronico, inviando un’e-mail, caricando un documento scansionato con la propria firma oppure utilizzando una firma elettronica.”

Tale precisazione è coerente con il Considerando 32 del GDPR secondo cui “il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile” 

Premendo il pulsante “invio”, quindi, l’utente compie una chiara azione positiva indicativa del consenso al trattamento dei dati. A questo punto non c’è necessità di alcuna casella di spunta per autorizzare il trattamento.

Per scrupolo sarà sufficiente apporre prima del pulsante “invio” l’espressione  “ho letto la privacy policy e presto il consenso al trattamento dei miei dati personali al fine di essere ricontattato“.

Sapere questo è importante, perché questa base giuridica, cioè il consenso, dovrà essere riportata sia nella privacy policy che nel registro dei trattamenti.

Requisiti del consenso

Il consenso per il GDPR, deve essere  libero, inequivocabile, specifico, informato, verificabile e revocabile.

Per garantire che questo avvenga, fornire una corretta informativa privacy è fondamentale.

Per tale ragione che è prudente richiamare l’informativa apponendo in calce al modulo di contatto l’espressione “Ho letto l’informativa privacy e presto il consenso al trattamento dei miei dati personali“.

Inoltre sarà bene inserire un collegamento ipertestuale alla privacy policy.

Qualora le finalità del modulo di contatto dovessero essere molteplici, il requisito della specificità dovrà assumere la caratteristica della granularità: tanti consensi quante le finalità. Se, per esempio, oltre a rispondere alla domanda dell’utente volessi costruire un database per inviare messaggi promozionali, come già scritto, dovrà esplicitare tale intenzione ed acquisire il consenso con un flag.

Peraltro, occorrerà tassativamente astenersi dal preflaggare i checkbox, poiché l’utente deve essere libero di poter scegliere. In tal senso si è espressa la Corte di Giustizia Europea nella sentenza 673/2017.

Principio di accountability

La scelta del consenso come base giuridica, per contro, presenta il problema della sua dimostrazione. Il consenso va registrato e conservato in caso di contestazioni o ispezioni dell’Autorità Garante.

Ne deriva che, laddove si possa escludere il trattamento di dati sensibili, la base giuridica costituita dall’ “l’adempimento di obblighi contrattuali o misure precontrattuali” potrebbe essere più agevole.

Sta al titolare del trattamento scegliere la soluzione più adeguata al caso specifico.

Data Retention

Sia che userai,  quale base giuridica, “l’adempimento di obblighi contrattuali o misure precontrattuali” sia che userai “il consenso“, ricordati di cancellare i dati personali raccolti una volta che non ti saranno più necessari per la finalità per cui sono stati raccolti.

Ricorda, inoltre, che se userai il consenso come base giuridica, questo potrà in ogni momento esserti revocato dall’interessato.

Conclusioni

Non esiste una regola fissa per poter scegliere una base giuridica piuttosto che un’altra, né un’espressione standard adeguata per ogni situazione. Infatti, anche per la realizzazione di un form di contatto a prova di privacy, come si è visto, regna sovrano il principio di accountability.

Si tratterà quindi di eseguire un assessment tra esigenze del titolare del trattamento e diritti degli interessati, avendo ben presente la normativa privacy. Inutile annotare come in caso di dubbio, trattandosi di ragionamenti a volte complessi, sia sempre preferibile rivolgersi ad un legale esperto della materia.



Primo contatto
Chiamaci a questo numero: 0422-235703.