Le regole sulla protezione dei dati personali previste dal GDPR trovano applicazione anche ai moduli (form) con cui si raccolgono dati su app e siti web. La raccolta e l’inoltro dei dati attraverso queste interfacce costituisce un trattamento di dati a tutti gli effetti.

Per evitare di incorrere in contestazioni e sanzioni da parte del Garante della Privacy, è necessario dunque che i form siano progettati conformemente alle previsioni del regolamento.

Analizziamo di seguito gli errori più comuni che si possono commettere nella creazione di un form online e i rimedi da mettere in campo.

Raccogliere dati superflui

Uno degli errori più frequentemente commessi nella progettazione di moduli online è quella di richiedere più dati personali di quelli effettivamente necessari. Ad esempio, se abbiamo in mente di creare un modulo di iscrizione ad una newsletter inviata per email, non è corretto raccogliere anche dati come l’indirizzo postale o il numero di cellulare dell’interessato.

In base ai principi di necessità e pertinenza, infatti, il Titolare del trattamento è tenuto a raccogliere soltanto i dati personali strettamente necessari al perseguimento delle finalità del trattamento.

A questo proposito, non fa alcuna differenza che i dati siano raccolti come “obbligatori” o “facoltativi”: anche la loro semplice acquisizione e conservazione, infatti, se non necessaria, costituisce un trattamento illecito.

Per rendere il nostro form conforme al GDPR, occorre sempre valutare se tutti i dati che sono richiesti e trattati siano o meno strettamente necessari per raggiungere gli scopi per cui sono raccolti.

Fornire un’informativa incompleta sul trattamento dei dati

Un altro errore frequente è quello di non fornire all’interessato una adeguata informativa sul trattamento dei dati personali.

L’art. 13 del GDPR obbliga infatti il Titolare del trattamento a fornire all’interessato tutte le informazioni su come i suoi dati verranno utilizzati. L’informativa deve essere data “nel momento in cui i dati sono ottenuti”.

Per essere conforme al GDPR un form online dovrebbe quindi contenere un richiamo ad una informativa privacy che contenga, tra l’altro, queste indicazioni:

  1. l’identità e i dati di contatto del Titolare del trattamento e, se ci sono, del suo rappresentante e del responsabile della protezione dati (DPO);
  2. l’indicazione se il conferimento dei dati è obbligatorio o facoltativo;
  3. le finalità del trattamento e la base giuridica su cui avviene;
  4. gli eventuali destinatari dei dati personali raccolti;
  5. il periodo di conservazione dei dati;
  6. le informazioni su come gli interessati possono esercitare i loro diritti previsti dal GDPR.

Non è necessario creare un’informativa specifica per ogni form. Se la privacy policy del sito o dell’app è completa (anche in relazione ai form presenti), è possibile inserire un semplice richiamo a questo documento. Ciò che conta è che il richiamo all’informativa sia evidente e facilmente accessibile da parte dell’interessato.

Anche se non è obbligatorio, molti siti prevedono una checkbox obbligatoria, con la quale gli utenti dichiarano, prima di inviare i dati del form, di aver preso visione dell’informativa sul trattamento dei dati.

La prassi da seguire dipende anche dalla base giuridica sulla quale si basano i trattamenti dei dati raccolti attraverso il modulo online.

Richiedere un consenso per l’invio del form anche se non è previsto dal GDPR

Anche richiedere un consenso non necessario per il trattamento dei dati personali attraverso un form online può rivelarsi un errore. Infatti, non tutti i trattamenti di dati personali richiedono il consenso dell’interessato. L’uso errato di questa base giuridica può essere visto in modo sfavorevole dal Garante ed interpretato come una errata applicazione dei principi del GDPR.

In base all’art. 6 del GDPR, ad esempio, possono essere trattati senza il consenso dell’interessato i dati necessari a dare esecuzione ad un contratto o ad una misura precontrattuale (ad esempio, rispondere ad una richiesta di preventivo o di informazioni su un prodotto o servizio offerto).

Per evitare di incorrere in errori, si devono dunque valutare attentamente le basi giuridiche in base alle quali si effettua il trattamento, riconducendo ogni finalità alla sua corretta base giuridica (vedi anche questo articolo sul legittimo interesse come base giuridica per i cookie profilanti e come mettere a norma il proprio sito). È inoltre fondamentale che l’informativa sia allineata con il form e che i consensi raccolti rispecchino le basi giuridiche indicate.

Gestire il consenso in modo sbagliato

Se si decide di fondare uno dei trattamenti dei dati sul consenso dell’interessato, è importante che il form ed il sottostante sistema lo raccolga in modo conforme al GDPR.

Ad esempio, il consenso al trattamento deve essere specifico e libero. Non si può raccogliere un solo consenso per più trattamenti diversi né raccogliere il consenso al trattamento dei dati unitamente ad altre manifestazioni di volontà. Per esempio non si può raccogliere il consenso all’invio di una newsletter insieme alla volontà di concludere un contratto di acquisto.

Inoltre, il consenso deve essere adeguatamente documentato: si dovranno configurare i propri sistemi perché da qualche parte sia provato quando e con che modalità l’interessato ha prestato il consenso al trattamento dei suoi dati.

Infine, il consenso deve essere sempre revocabile con la stessa facilità con cui è stato prestato. Non devono essere previsti meccanismi contorti o procedure complesse per revocare il consenso. Questo diritto dell’interessato dovrebbe poter essere esercitato per quanto possibile in autonomia.

Non cancellare i dati allo scadere del periodo di conservazione

Spesso, per disattenzione o scarsa conoscenza delle proprie interfacce, i dati personali raccolti tramite form sono conservati oltre il periodo indicato nell’informativa. Il semplice fatto di conservare dei dati personali raccolti tramite un form oltre il tempo necessario a realizzare le finalità per cui sono raccolti costituisce una violazione del GDPR.

Si deve dunque prestare attenzione a dove e come il componente utilizzato per gestire i form conserva i dati personali, e si devono eliminare periodicamente i dati non più necessari. Questa regola vale per tutte le copie di questi dati, comprese le eventuali mail che sono generate automaticamente ad ogni invio di dati (ad esempio, in un form di contatto).

Non implementare nel form le misure di sicurezza richieste dal GDPR

Come ogni sistema di trattamento, anche per i form online occorre adottare misure di sicurezza adeguate ai sensi dell’art. 32 del GDPR.

Occorre sempre verificare che i componenti utilizzati siano sicuri e non rischino di compromettere la riservatezza dei dati, consentendo l’accesso a persone non autorizzate.

Deve inoltre essere assicurato che il modulo sia affidabile: il mancato funzionamento delle funzionalità di invio del form può dare luogo ad una violazione di dati rilevante ai sensi del GDPR sotto il profilo della disponibilità del dato.

Le conseguenze dell’uso di form non conformi al GDPR

Come si è detto, usare moduli non conformi alle regole sulla protezione dei dati personali previste dal GDPR costituisce un trattamento illecito di dati personali che può essere sanzionato ai sensi dell’art. 83 GDPR, e può dare luogo a richieste di risarcimento del danno (qui il nostro approfondimento specifico).

Il Garante della Privacy potrebbe disporre una verifica a seguito di un reclamo proposto dagli interessati. La conformità del sito web o delle app potrebbe essere verificata anche nel corso delle ispezioni previste dal piano semestrale approvato dall’Autorità.

Sono moltissime le pronunce del Garante che comminano sanzioni a carico di imprese private ed enti pubblici che commettono uno o più degli errori che abbiamo esaminato.

Per esempio, con un’ordinanza del 21 aprile 2021, il Garante ha multato per € 15.000 un ente pubblico che aveva pubblicato sul proprio sito un modulo:

  • privo dell’informativa sul trattamento ai sensi dell’art. 13 GDPR;
  • che non prevedeva protocolli sicuri, ma trasmetteva i dati raccolti (peraltro di natura sanitaria) in chiaro tramite protocollo http, adottando così misure di sicurezza inadeguate.

Meno pesante è stata anche la sanzione recentemente irrogata nei confronti di un’impresa privata per l’omissione dell’informativa privacy nel modulo contatti del proprio sito. In quel caso la sanzione comminata è stata pari a “soli” € 2.400.