DSAR e siti web: cosa deve fare il titolare del sito o la web agency
Se gestisci un
sito web o sei una
web agency che realizza siti per i clienti, devi sapere come gestire le richieste di accesso ai dati personali, conosciute come
DSAR (Data Subject Access Request).
Queste richieste derivano dal Regolamento Generale sulla Protezione dei Dati (
GDPR) e impongono obblighi precisi a chi raccoglie e tratta i dati personali degli utenti.
In questa guida specifica per titolari di siti web ed ecommerce vediamo
quali sono i diritti degli utenti e come rispondere in modo efficace.
SOMMARIO
Quali diritti hanno gli utenti del sito web
Come gli utenti possono esercitare un DSAR
Cosa deve fare il titolare del sito web
Cosa succede se non rispondi alla richiesta dell'utente
I dubbi più frequenti
Conclusioni
Gli utenti del tuo sito web hanno diversi diritti sui loro dati personali, come stabilito dagli articoli 15-22 del GDPR, tra cui:
-
Diritto di accesso: possono chiedere quali dati personali hai raccolto su di loro.
-
Diritto di rettifica: possono chiedere di correggere dati errati o incompleti.
-
Diritto alla cancellazione ("diritto all'oblio"): possono chiedere la rimozione dei loro dati, salvo obblighi legali che impongano la conservazione.
-
Diritto di limitazione del trattamento: possono richiedere di limitare l'uso dei loro dati in determinati casi.
-
Diritto alla portabilità: possono ottenere una copia dei dati in formato strutturato e leggibile da un dispositivo.
-
Diritto di opposizione: possono opporsi al trattamento, in particolare per finalità di marketing.
Questi diritti possono essere esercitati tramite una
richiesta DSAR, che il titolare del sito web o la web agency deve gestire correttamente.
Per fare una DSAR, l’utente deve inviare una
richiesta chiara e precisa al titolare del sito web. Questa richiesta può avvenire tramite:
-
Modulo online: alcuni siti offrono un modulo dedicato per inviare richieste sui dati personali.
-
Email: l’utente può inviare una richiesta scritta all’indirizzo email indicato nella privacy policy.
-
PEC o raccomandata: alcuni preferiscono canali con valore legale. Tieni presente che non è possibile obbligare l'utente a utilizzare la PEC per inviare la richiesta. Questa può essere offerta come opzione, ma non come unico mezzo disponibile.
Il GDPR impone che la
richiesta sia gestita entro un mese dalla ricezione, con una possibile estensione a tre mesi per casi complessi, informando l’utente della proroga.
Se sei il
titolare del sito web, devi predisporre un
processo chiaro per gestire le richieste DSAR. Ecco i passaggi principali:
1.
Verifica dell’identità: prima di rispondere, accertati che il richiedente sia effettivamente il titolare dei dati. Puoi chiedere un documento di identità, se necessario. Ovviamente una volta dato seguito alla richiesta dovrai distruggere il documento e darne conferma all'utente.
2.
Analisi della richiesta: verifica se il diritto richiesto è applicabile e se hai l'obbligo di conservare i dati (ad esempio, per obblighi fiscali o legali). L'utente non può richiedere la cancellazione totale dei propri dati, poiché alcuni devono essere conservati per adempiere a obblighi legali. Ad esempio, i dati contenuti nelle fatture devono essere mantenuti per almeno 10 anni, come previsto dalla normativa fiscale.
3.
Risposta all’utente: fornisci i dati richiesti in modo chiaro e accessibile. Se rifiuti la richiesta, devi motivarlo e informare l'utente del diritto di reclamo al Garante Privacy.
4.
Aggiornamento della documentazione: registra la richiesta e l’esito nel tuo registro delle attività di trattamento, come richiesto dall’art. 30 del GDPR.
Ignorare una DSAR può portare a sanzioni da parte del
Garante per la protezione dei dati personali.
Le multe possono arrivare fino a 20 milioni di euro o il 4% del fatturato annuo globale.
In alcuni casi, il Garante può anche decidere di pubblicare la sanzione online, incidendo negativamente sulla reputazione e affidabilità del brand, con possibili ripercussioni sulla fiducia dei clienti e partner commerciali.
La
gestione delle DSAR può sollevare alcune domande frequenti. In questo paragrafo rispondiamo ai dubbi più frequenti.
Cosa fare se la richiesta è generica o poco chiara?
Se l’utente invia una richiesta vaga o incompleta, è fondamentale chiedere chiarimenti prima di procedere. Il titolare del sito può richiedere dettagli specifici per evitare risposte errate o incomplete.
Si possono cancellare tutti i dati su richiesta dell’utente?
No, alcuni dati devono essere conservati per legge. Ad esempio, i dati contenuti nelle fatture devono essere mantenuti per almeno 10 anni per obblighi fiscali. È importante informare l’utente quando alcuni dati non possono essere eliminati.
Bisogna sempre verificare l’identità dell’utente?
Sì, per evitare di fornire informazioni a persone non autorizzate, è buona prassi chiedere una verifica dell’identità, come un documento, che dovrà essere distrutto una volta completata la richiesta.
Se hai un sito web o gestisci siti per i tuoi clienti, devi assicurarti di essere pronto a gestire una richiesta DSAR. La chiave è avere una procedura chiara, informare gli utenti sui loro diritti e rispondere alle richieste entro i tempi previsti dal GDPR.
Vuoi assicurarti che il tuo sito sia conforme al GDPR? Contattaci per email per supporto su privacy policy, gestione delle richieste DSAR e strumenti per la compliance!
Team LegalBlink