Il webmaster e la privacy.
Cose scomode che gli artigiani del web devono sapere.
Voglio raccontarvi un fatto realmente accaduto. Un fatto che, come a me, potrebbe essere capitato a molti miei colleghi che si occupano di privacy e che mi vede protagonista assieme a un mio amico webmaster (che per ovvie ragioni chiamerò Mario).
Eravamo seduti comodamente a prenderci un caffè e, tra una chiacchiera e l’altra, mentre gli raccontavo che è sempre preferibile scrivere un accordo con i propri clienti prima di iniziare qualsiasi progetto, lui fa una battuta dicendo:
<<Perché dovrei scrivere un contratto ogni volta che faccio un sito? Tanto non ho mica responsabilità, io>>.
In quel momento ho realizzato quanto fosse in pericolo. Sì, avete capito bene: in pericolo. Un pericolo che genera un rischio di conformità nei confronti della normativa sulla tutela dei dati personali e che espone quelli come Mario a pesanti sanzioni amministrative, civili e penali, oltre che all’ormai onnipresente danno d’immagine facilissimo da procurare con gli attuali media (tra cui proprio il web, ironia della sorte!).
Il webmaster (che spesso è chiamato anche a occuparsi delle campagne di marketing attraverso i siti che programma), per sua natura, è un lavoro che è caratterizzato da una grande libertà d’azione, proprio per via dell’ambiente in cui opera, Internet. Molto dell’efficacia delle loro opere è dovuta proprio alla facilità d’uso, alla libertà degli utenti di caricare, condividere, commentare, acquistare con un click. Tutto deve essere, come direbbero gli anglofoni, user friendly.
Per gli utenti, appunto.
Ma chi possiede un sito, e chi lo programma, per raggiungere il risultato che si sono prefissati devono attenersi a precise regole di comportamento, alcune richieste dal buonsenso (come la scelta di un provider che garantisca tempi di disaster recovery brevi), altre imposte da precise norme che vogliono soprattutto tutelare l’utilizzatore del sito, che per chi mastica un po’ di privacy si chiamano interessati.
Su tutti il Codice privacy, che impone l’adozione di misure di sicurezza sia a livello tecnico (per esempio le procedure di autenticazione informatica composte da userID e password univoci), richiamate anche dall’Allegato B, che a livello organizzativo (individuando i responsabili e gli incaricati del trattamento e i rispettivi ambiti operativi, obblighi e responsabilità). Un webmaster è, a tutti gli effetti, il responsabile dell’infrastruttura web dell’azienda e per questo motivo deve essere individuato in modo formale come amministratore di sistema (c.d. ADS o sistemista), che è una particolare forma di responsabile/incaricato.
Se io fossi il DPO dell’azienda cliente del mio amico Mario, gli farei sottoscrivere un preciso documento in cui dichiariamo i suoi obblighi e le sue libertà operative, individuando a priori quali siano gli interventi da fare sul sito (per esempio l’aggiornamento, la manutenzione, la programmazione dei cookie tecnici, analitici o di profilazione, di prima o di terza parte) e gli chiederei l’attestazione che quanto fatto sia conforme ai requisiti i legge richiesti, soprattutto se il suo progetto si conclude con la consegna del sito al committente.
Mario, alla fine del mio spiegone pieno di termini dal minaccioso suono legalese, mi ha domandato cosa dovrebbe fare per essere tutelato. In fondo, la parte che ha capito meglio e che ha attirato la sua attenzione, è stata quella relativa alle sanzioni (per il suo cliente e per lui) che potrebbero tradursi in richiesta di risarcimento per aver consegnato un lavoro non a regola d’arte: si andrebbe dai 36.000 € dell’informativa non idonea ai 120.000 € per le misure di sicurezza non adeguate, dai 120.000 € per un’omessa o inidonea notificazione al Garante in caso di cookie di profilazione ai 180.000 € per il mancato rispetto dei provvedimenti del Garante. E questo solo a livello amministrativo. Spostandoci nell’ambito delle sanzioni penali, Mario rischia molto probabilmente di essere punito con la reclusione fino a due anni per non aver implementato le dovute misure di sicurezza; sempre che non si sia preso il compito di effettuare la notificazione al Garante, e che l’Autorità non abbia poi constatato che questa fosse falsa: in tal caso, gli anni di reclusione sarebbero tre.
La mia risposta è stata semplice: <<Metti tutto per iscritto. Organizzati prima. Previeni.>>
Dopo queste mie parole mi è sembrato preoccupato. Di sicuro non ha voglia di rischiare così tanto.
Cosa gli serve? Facile. Un amico come me. Un consulente privacy.