Il modulo contatti è un classico in qualsiasi sito, probabilmente inventato assieme all’HTML. Adesso con il GDPR sembra che questo form contatti sia divenuto il male assoluto. Tutti sono spaventati, alcuni pensano di toglierlo mettendo solo un indirizzo email. Ma secondo voi:
- Se uno vi spedisce una mail con i suoi dati, voi non state facendo un trattamento dati? Certo che sì. E gli avete spiegato come lo farete?
- E’ mai possibile che il legislatore europeo voglia rendere demoniaca una cosa fondamentale per un business come il modulo di contatto (o in generale le modalità di contatto)?
Il GDPR protegge i dati personali dai trattamenti illeciti ed insicuri. Non è fatto per impedire la raccolta e l’utilizzo dei dati, anzi fornisce modalità, come il legittimo interesse, che sono assolutamente orientate a facilitare la costruzione di un business sui dati (cosa che negli USA fanno da anni).
Cosa è un form contatto
Parliamo un po’ del form contatto. E’ una pagina dove un’azienda fornisce un servizio e scrive qualcosa del genere: “Se hai bisogno di maggiori informazioni, invia la tua richiesta e ti risponderemo prima possibile”. Sta dicendo all’utente a che cosa serve la pagina di contatto e gli chiede dei dati per attivare il servizio.
I campi presenti sono il nome, l’indirizzo email, magari il telefono, tutti quelli necessari a voi per attuare il servizio. La legge ci dice: cerca di minimizzare i dati che chiedi (commento 156 del GDPR) nel limite del necessario a fare quello che l’utente si aspetta. L’utente si aspetta che tu gli risponda e quindi se gli chiedi il numero di scarpe, o stai sbagliando o gli stai dando dei consigli sulle calzature.
Visto che nella pagina contatto hai indicato che cosa farai (gli risponderai) quando l’utente preme “invia” fa una azione esplicita e consapevole di invio dei suoi dati per ottenere il servizio promesso (consenso). Non serve che metta spunte obbligatorie (serviva con la norma italiana perché c’era scritto che era necessaria una accettazione esplicita del trattamento dati – dovrei cercarmi il punto esatto ma non ne ho voglia visto che sta per essere soppiantata – cosa che non è presente nel GDPR).
E quindi a che serve l’informativa? Serve perché oltre al vostro impegno a trattare i dati secondo il servizio che offrite, la nota sulla privacy va ad indicare chi è il titolare del trattamento (molto utile in caso di aziende che sono parte di un gruppo, vedi oltre), per quanto tempo conserverai i dati, se li passi a paesi terzi, se sei una azienda obbligata ad avere un DPO (e chi è), eccetera. Inoltri gli indicherai come contattarti se ha problemi concernenti i suoi dati.
Sostanzialmente fai una operazione di trasparenza che serve prima di tutto a te azienda. E per farla bene, nel form contatti puoi mettere un link all’informativa, ma non è neanche detto sia necessario se è facilmente raggiungibile (ad esempio dal fondo pagina).
Tutto qua? Tutto qua. Perché se sei uno che si comporta bene, avrai i dati dentro il database del sito che tieni aggiornato per evitare i problemi di sicurezza, ne puoi avere una copia nel PC che ha password e antivirus. Possono essere visti dal consulente che fa lavori tecnici nel sito, con il quale sarebbe meglio avere un pezzo di carta che dice che lo autorizzi a lavorare su database ma che a lavoro concluso non deve trattenere alcuna copia dei dati che può aver scaricato.
Dati obbligatori, dati opzionali, minimizzazione
E’ lecito avere nel form dei campi obbligatori che, se non compilati, non si può procedere? Certo: che senso ha mandare una richiesta di contatto e pretendere di non fornire una indirizzo email, o un indirizzo postale o un numero di telefono (a seconda del tipo di contato)? Quelli sono i dati necessari per il servizio richiesto.
Ma il form potrebbe avere dei dati aggiuntivi opzionali? Assolutamente sì. Un esempio semplice: nel form metti il campo email ed il campo telefono. Il campo telefono, per il quale un utente è più sensibile, lo lasci opzionale.
Gli dici però: se il campo telefono lo compili, io posso risponderti, se lo ritengo necessario, con una telefonata in modo da essere più veloce ed efficace. Lo puoi scrivere nella privacy o lo puoi scrivere vicino al campo, che è ancora meglio.
I poteri forti
Vediamo un esempio di form congegnato per farti compilare dei dati che non sarebbero necessari ma che ti chiedono come obbligatori. Hai perso il manuale della caldaia a devi riprogrammare per la modalità estiva. Entri nel sito del produttore, ma i manuali sono disponibili a richiesta, con un form (di contatto o di registrazione).
Questo form ti chiede: nome, cognome, data di nascita, telefono, email, indirizzo completo, stato civile, codice fiscale, se ti piace la birra. Tutti obbligatori.
E’ chiaro che la cosa non ha senso, ma tu quel cavolo di libretto lo vuoi, ne hai bisogno come se fosse il tuo ultimo desiderio. Quindi compili di malavoglia il form e dai via una tonnellata di dati personali che non avresti voluto dare. Queste è un trattamento che sicuramente è non conforme con l’aggravante che l’azienda è in una posizione di forza rispetto a te e riesce ad estorcerti i dati, visto che tu non hai alternative.
Uso improprio dei dati
Quando utilizzo impropriamente i dati? Quando li adopero per qualcosa di diverso dal motivo per cui li ho raccolti. Con diverso si intende un qualcosa che l’utente non si aspetta.
Esempio ovvio: ti dà l’indirizzo email per avere un supporto per un tuo prodotto e tu inizi a bombardarlo di email commerciali. Non ci vuole una legge per capire che c’è qualcosa che non va, giusto?
Il consenso
Mandare email commerciali ad un contatto raccolto da un form non è proibito. Bisogna nel form inserire una casella (non spuntata) con la quale l’utente ti autorizza a farlo. E’ quindi importante memorizzare questa scelta dell’utente per due motivi:
- devi dimostrare con la registrazione dell’evento che hai avuto il consenso a qualcosa in più del trattamento per rispondere alla richiesta
- devi saper mandare le mail commerciali ai soli utenti che ti hanno autorizzato
La registrazione del consenso non è nulla di complicato. Se il form contatti salva i dati nel database mettendo la data, quel record salvato indica il momento del contatto (pressione del tasto invia) che ti autorizza a trattarli al fine di rispondere ad una richiesta. Se nel pacchetto dati c’è evidenza che ha spuntato l’accettazione alle comunicazioni di marketing, quel record è anche indicativo del consenso al marketing.
Quando sento la gente che chiede file di log e altre mille complicazioni e software per gestire questi consensi mi viene la pelle d’oca. Mi fanno invece arrabbiare quelli che vendono queste soluzioni come indispensabili al GDPR sfruttando la paura che si è ingenerata in questo periodo (maggio 2018).
Per WordPress un contact form 7 con salvataggio su database e sei a posto. Non vuoi salvare a database: tieni l’email che ti è arrivata con il consenso o, se proprio sei masochista, tieni un foglio Excel con i contatti che hai ricevuto ed i relativi consensi.
Ma queste sono tutte soluzioni con le quali è facile imbrogliare. Ma tu sei un imbroglione? O hai paura che qualcuno dica che tu hai imbrogliato quando non è vero? Nel secondo caso devi adottare misure molto più complesse e valutare se ne vale la pena. Mi viene in mente il far arrivare il contatto in una casella email PEC con dentro tutti i dati, compreso il consenso, e quindi affidarsi al fornitore di PEC come certificatore di quel dato (come se la mail spedita dal tuo server non potesse essere forgiata ad hoc…).
E l’onere di dimostrare il malfatto è sua.
Aziende collegate
Quando pensate a voi stessi, proprietari di un piccolo sito che gestite da soli, è facile non capire tutto questo caos del GDPR. Immaginate però grandi aziende che hanno una azienda capo e poi una costellazione di altre aziende del gruppo.
Nel sito di una di queste aziende satellite voi fornite dei contatti. Ma leggendo l’informativa scoprite che il titolare non è l’azienda del sito (che spesso è un brand e non una società vera e propria), ma l’azienda capogruppo e che il trattamento consiste nel memorizzare i dati da parte della capogruppo che li condivide con le aziende satellite (anche decine di aziende nei più disparati settori).
Ecco che l’informativa permette di capire meglio dove finiscono le vostre informazioni. Non vi metto il link di esempi reali, cercateveli da soli andando nei siti dei gruppi editoriali, tanto per fare un esempio.
Ottimo articolo Stefano!
Ma non mi è chiara una
Nel mio sito ho un form di contatto, e i dati che raccolgo (email, telefono, nome soggetto e nome azienda) li utilizzo solo per rispondere alla persona che che mi scrive per la richiesta di un preventivo/prima consulenza.
Non li uso in nessun modo per l’iscrizione alla newsletter e l’invio di offerte promozionali.
Devo mettere una casella di accettazione del consenso? Devo registrare il consenso? Oppure basta la casella per la presa visione dell’informativa privacy? O ancora, basta la scritta in cui inviti si invita a leggere la privacy policy?
Ciao Matteo, trovi implementate tutte le tue possibilità in vari siti di aziende anche importanti per cui pare proprio che ognuno dia la propria interpretazione più o meno restrittiva. Per quanto posso capire io dal GDPR, visto come fatto il tuo form, l’aziione esplicita della pressione del bottone l’evidenza che c’è una privacy è sufficiente. Al tempo l’ICO, garante inglese che è sempre prodigo di esempi, indicava questa modalità come corretta. Qui in italia sembra che se non ci sono checkbox ovunque non vada bene nulla… io starei tranquillo o userei l’alternativa: metti nella pagina un indirizzo email al quale scriverti. 🙂