Il diritto alla cancellazione nella gestione del sito web

In ambito comunitario il riconoscimento del diritto dell’interessato alla cancellazione dei dati personali che lo riguardano, comporta da parte del titolare del trattamento, l’esigenza di adeguare al Regolamento 679/2016 (GDPR) il proprio sistema organizzativo e di protezione dei dati personali, con particolare riferimento alla gestione del sito web.

Più precisamente, il titolare dovrà garantire che i dati personali che riguardano l’interessato siano cancellati e non più sottoposti a trattamento, nei casi in cui:

  • non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati;
  • sia stato revocato il consenso o vi sia opposizione al trattamento;
  • il trattamento non sia altrimenti conforme al Regolamento.

L’ accountability appare di particolare rilevo, laddove i dati personali vengano trattati nell’ambito del database di un sito web. A tal proposito l’art, 17, paragrafo 2 del Regolamento recita che il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

Appare evidente che anche nello scenario web sia necessario adottare misure tecniche ed organizzative che, fatti salvi l’adozione di una corretta, chiara e precisa informativa ed il rilascio del consenso esplicito e consapevole dell’interessato, assicurino tecnicamente (ed in modo dimostrabile), il corretto e tempestivo adempimento della richiesta di cancellazione manifestata dall’interessato.

Soccorre in questo caso l’art. 25 del Regolamento secondo il quale: tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso il titolare del trattamento mette in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del regolamento e tutelare i diritti degli interessati.

Il paragrafo 2, precisa inoltre che: il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tale obbligo vale per la quantità dei dati personali raccolti, la portata del trattamento, il periodo di conservazione e l’accessibilità. In particolare, dette misure garantiscono che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

Dunque, come applicare questi principi concretamente in ambiente web? Innanzitutto, occorre che l’informativa del sito sia correttamente aggiornata. Bisognerà infatti informare in modo chiaro tutti gli utenti del sito, sulla base giuridica dell’eventuale trattamento dei dati raccolti, delle finalità del trattamento, delle modalità di conservazione dei dati e di esercizio dei diritti degli interessati, ed eventuale intenzione del titolare di trasferire a terzi destinatari i dati raccolti. Di fatto il titolare dovrà essere in grado di dimostrare che il sito web possieda il fondamento giuridico per poter trattare i dati sensibili. Conseguentemente tutte le procedure dovranno essere modificate al fine di proteggere i diritti dell’utente/interessato, anche con riferimento alla richiesta di cancellazione dei dati personali, possibile in qualsiasi momento.

A tal riguardo, per facilitare la procedura di cancellazione è necessario che sia creato un apposito database separato per il consenso degli utenti. Non ultimo, ai sensi dell’art. 32 del Regolamento, affinché sia garantita la sicurezza del trattamento, il Titolare dovrà implementare un sistema di verifica dei dati dei visitatori (registrazione dei log), con possibilità di notifica immediata in caso di rischio di violazione dei dati personali trattati.

In tali casi una piattaforma di data-logging (registratore di log) è in grado di collezionare i dati, tracciare le attività dell’amministratore di sistema o del webmaster, associato a un software ovvero moduli/plug in di controllo accessi e protezione dei dati. Sarà opportuno che il Titolare del trattamento effettui sul web una divisione tra due categorie di dati, distinguendo i dati ottenuti direttamente dagli utenti e quelli secondari, ossia raccolti in base ad informazioni. Per garantire la conformità del sito web al Regolamento il titolare dovrà prevedere (by design o default) di introdurre meccanismi di configurazione che portino al riconoscimento dei diritti degli interessati, con particolare riguardo al diritto all’oblio, attraverso azioni automaticamente programmate fin dalla fase di verifica delle funzionalità di acquisizione. Anche le opzioni di invio newsletter e le preferenze di contatto andranno così riorganizzate by design o default.

In questi casi, uno dei migliori metodi di adeguamento consiste nel creare una pagina del profilo utente, dalla quale gestire autonomamente il rilascio dei consensi per la raccolta di dati personali, altresì utili ai fini di qualsiasi invio di comunicazioni e newsletter. Queste caratteristiche, combinate all’abilitazione di una procedura che agevoli l’eliminazione dei dati, che tenga conto delle eventuali esigenze di data retention del titolare del trattamento, possono di certo contribuire allo sviluppo di una privacy policy compliant in ambiente web.