In questo contenuto parliamo di
Stai cercando informazioni su come fare un reclamo al Garante Privacy? In questo contenuto potrai trovare informazioni dettagliate sulla base della mia esperienza personale in proposito, in particolare per quel che concerne il trattamento di dati personali che avviene sui siti web.
Cos’è il Garante Privacy
Innanzitutto, diciamo che il termine Garante Privacy è una abbreviazione comunemente usata: l’indirizzo web di questa struttura nazionale è infatti https://www.garanteprivacy.it/ mentre il nome completo e per esteso è Garante per la Protezione dei Dati Personali (GPDP).
Il Garante per la Protezione dei Dati Personali è un’autorità amministrativa indipendente istituita dalla cosiddetta legge sulla privacy (legge 31 dicembre 1996, n. 675), poi disciplinata dal Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003 n. 196), come modificato dal Decreto legislativo 10 agosto 2018, n. 101. Inoltre, il Garante è anche stato designato come l’autorità di controllo ai fini dell’attuazione del Regolamento generale sulla protezione dei dati personali (UE) 2016/679 (art. 51).
Perché fare un reclamo al Garante per la Protezione dei Dati Personali
Il reclamo al Garante Privacy è un atto circostanziato con il quale si rappresenta una violazione della disciplina rilevante in materia di protezione dei dati personali (articolo 77 del Regolamento UE 679/2016) e artt. da 140-bis a 143 del Codice.
Il reclamo è solo una delle varie opzioni che un cittadino ha a disposizione se ritiene che un suo diritto sia stato calpestato o se hai subito una raccolta e/o trattamento illecito di dati personali, secondo quanto previsto dal Codice della Privacy e dal GDPR (Regolamento Generale sulla Protezione dei Dati personali)
Quando ci troviamo in questa situazione, abbiamo a disposizione (almeno inizialmente) tre strade:
- Contattare il titolare del trattamento in modo diretto (a tal fine nella Privacy Policy dei siti internet dovrebbero sempre essere indicati i recapiti)
- Fare una segnalazione al Garante Privacy
- Fare un reclamo al Garante Privacy
Se questi primi tre passaggi non portano a risultati, l’unico modo per far valere le proprie ragioni è di rivolgersi alla magistratura ordinaria, ma per questo sarà necessario l’intervento di un legale.
Infine, è utile sapere che la presentazione del reclamo al Garante Privacy è gratuita.
Differenza tra segnalazione e reclamo al Garante Privacy
La differenza tra segnalazione e reclamo è che, la segnalazione ha la finalità di sollecitare un controllo da parte del Garante mentre il reclamo è qualcosa di più preciso, puntuale e che dovrebbe avere già al suo interno anche la documentazione probatoria di ciò che si afferma. Un’altra differenza è che la segnalazione, al contrario del reclamo, non prevede obbligatoriamente l’adozione da parte dell’autorità di un provvedimento, ma nel caso sia ritenuto fondato l’autorità stessa può avviare un’istruttoria di approfondimento.
Il reclamo per il trattamento di dati personali su un sito web
In questa sezione ti spiegherò quali strumenti hai a disposizione per eseguire l’audit privacy di un sito web, per quanto riguarda il trattamento di dati personali.
Esistono molti modi per farlo, ma voglio parlarti di tre modalità specifiche (servizio di terze parti, estensione di terze parti, controllo manuale) che puoi utilizzare, sulla base delle tue competenze informatiche e tecniche e di certe terminologie che dovresti conoscere e imparare a trattare approfonditamente.
Un sito web è composto da contenuti visibili e contenuti invisibili
Iniziamo a capire cosa c’è (spesso in modo invisibile all’utente medio) al di sotto di un sito web: oltre al fatto che sul tuo monitor tu possa vedere i contenuti specifici del sito che stai visitando (testi, immagini, risorse grafiche, ecc.), devi sapere che ci potrebbe essere qualche pezzetto di codice (in gergo tecnico “snippet”) che fa cose che tu, come visitatore del sito web, non puoi vedere a occhio nudo.
Tra i vari comportamenti degli snippet (ce ne sono di ogni tipo e che servono per obiettivi diversi), concentriamoci su quelli che richiamano risorse esterne e/o inviano dati a software o sistemi di terze parti.
Vediamo quindi uno degli snippet più diffusi al mondo: il codice HTML di Google Analytics (o codice Javascript, spesso un mix dei due), che consente al proprietario del sito web (il titolare, ai fini del GDPR) di registrare e analizzare il comportamento dell’utente sul proprio sito.
Ma, come faccio a sapere se esiste uno snippet di Google Analytics, visto che l’utilizzo di un sito web non mi consente di saperlo (a meno di guardare nella privacy policy, o nella Cookie Policy, sempre che ci sia e che sia aggiornata)?
Per fare questa attività ti propongo tre modi, con livello crescente di difficoltà:
- Puoi usare un servizio online di terze parti che faccia il controllo per te
- Puoi installare sul tuo browser un’estensione di terze parti che faccia il controllo per te
- Puoi controllare tu stesso il codice del sito web
Modalità easy: usare un servizio online di terze parti
Usare un servizio online di terze parti è la modalità più semplice: non devi installare niente sul tuo PC e non devi avere particolari competenze tecniche. Ci sono vari strumenti che fanno questo tipo di attività, ma quello che ti propongo e che utilizzo personalmente è webbkoll | dataskydd.net. Questo strumento simula una normale visita del browser con Do Not Track disattivato, e richiede solo che l’utente inserisca precisamente l’indirizzo web del sito web che vuole analizzare. Lo strumento restituirà nel giro di qualche decina di secondi una analisi completa del sito web; la sezione da consultare di interesse normalmente è quella dei cookie, dove si può vedere quali cookie vengono utilizzati dal sito web in questione.
Nel caso specifico, se il sito web utilizza Google Analytics, troverai due cookie con nome “_ga” e “_gid”.
Modalità intermedia: installare un’estensione di terze parti
La seconda modalità è quella di installare un’estensione sul tuo browser. Se ti piace questa soluzione, a mio avviso la migliore è uBlock Origin. L’utilizzo principale è quello di “ad blocker”, ovvero una estensione che possa bloccare le pubblicità che appaiono sui siti web, tipicamente sotto forma di banner. Ma lo strumento ha anche la possibilità di bloccare i codici di tracciamento dei siti web (come Google Analytics), e ne consente la visualizzazione grafica. Ne consegue che, se nell’apposita sezione, trovi la dicitura “google-analytics.com”, questo significa che quel determinato snippet è installato sul sito.
Modalità ninja: controllare il codice in autonomia
Il terzo e ultimo metodo è quello di controllare visivamente il codice, grazie alla funzionalità di esplorazione presente in tutti i browser. Su Firefox, ad esempio, premendo il tasto destro del mouse ti comparirà un menu a tendina dal quale potrai scegliere l’opzione “Visualizza sorgente pagina”. Tramite questa opzione si aprirà un nuovo tab con il codice HTML della pagina, che potrai analizzare in autonomia alla ricerca dei vari snippet di tuo interesse.
Sempre dallo stesso menu a tendina, puoi selezionare “Analizza proprietà accessibilità”. Questa opzione apre la console da cui, tra le varie cose, potrai analizzare la sezione “Archiviazione”. Cliccando su questa opzione, il browser ti presenterà una serie di voci a sinistra: seleziona “Cookie” e poi clicca sul nome del sito web che compare sotto “Cookie” e nella sezione centrale compariranno immediatamente tutti i cookie rilasciati dal sito web. Anche in questo caso, se trovi un cookie con nome “_ga” e “_gid” significa che Google Analytics è installato e ti sta tracciando.
OK, un sito mi sta tracciando e ora?
Il fatto che un sito abbia attivato un tracciatore, di per sé non è un problema. Va invece valutato se può farlo secondo le leggi e i regolamenti vigenti. Ad esempio, dovremmo porci la domanda su quale sia questo tracciatore, quale tecnologia utilizza e dove finiscono i nostri dati. Le risposte a queste (e molte altre domande) dovrebbero farci delineare un’idea di massima sul fatto che il sito stia facendo un trattamento legittimo o meno.
Qui, stiamo però passando da un ragionamento tecnico a un ragionamento legale. Per poter eseguire in autonomia questa valutazione bisogna conoscere perfettamente (anche) il GDPR ed essere aggiornati sulle sentenze che sono state emesse a livello europeo o nazionale, e su ciò che i garanti di altre nazioni hanno deciso (non è un vincolo esplicito, ma tendenzialmente i garanti di varie nazioni tendono a non smentirsi a vicenda).
Per poter essere più chiari, a questo punto, circostanziamo bene quel che potrebbe essere successo. Ipotizziamo di aver verificato con gli strumenti sopra citati che un certo sito ha attivato la tracciatura di Google Analytics 3 (detto anche Universal Analytics) senza chiedere il consenso; quindi, senza passare da un cookie banner oppure che, nonostante il cookie banner, l’utente abbia scelto esplicitamente di non voler essere tracciato ma per qualche motivo il sito web lo sta facendo ugualmente.
Questi sono tipici casi di comportamenti illegali da parte del sito web, a cui deve rispondere il titolare del trattamento (il proprietario del sito web) anche se il sito non è stato fisicamente costruito da lui (molto spesso i titolari si affidano a freelance o web agency per questo genere di lavoro).
Se ti trovi in questa situazione, puoi scegliere di inviare un reclamo al Garante Privacy per chiedere una sua azione nei confronti del titolare, che potrebbe anche scaturire nell’emissione di un’ammenda se venisse accertato un comportamento non conforme.
Come fare un reclamo al Garante Privacy
La prima cosa da fare è scaricare il modello di reclamo dal sito ufficiale del Garante Privacy italiano. Una volta scaricato il documento, all’interno troverai tutte le informazioni necessarie alla sua compilazione.
Cosa prevede la procedura di reclamo
Si tratta, di fatto, di un documento composto da tre sezioni principali:
- I dati identificativi di chi presenta il reclamo;
- I dati identificativi della controparte (contro chi si presenta il reclamo, tipicamente il titolare del trattamento e/o il responsabile del trattamento se conosciuto) e la motivazione del reclamo con annessa documentazione probatoria (non obbligatoria) e indicazione delle disposizioni di legge in materia di tutela dei dati personali eventualmente violate;
- Le richieste di provvedimenti che il reclamante fa nei confronti del Garante per la Protezione dei Dati Personali
Se vuoi farti un’idea di come compilare un reclamo al Garante Privacy, puoi consultare quelli predisposti dall’associazione NOYB nei confronti di Gruppo Editoriale Gedi, Caffeina Media LTD, Fastweb e Il Meteo srl.
Come contattare il Garante Privacy per l’invio della documentazione
Una volta preparata la documentazione, sarà possibile procedere con l’invio utilizzando la modalità ritenuta più opportuna:
- Consegna a mano presso gli uffici del Garante per la protezione dei dati personali, Piazza Venezia, 11 – 00187 Roma
- Raccomandata A/R indirizzata a: Garante per la protezione dei dati personali, Piazza Venezia, 11 – 00187 Roma
- Messaggio di posta elettronica certificata indirizzata a: protocollo@pec.gpdp.it
La documentazione tecnica probatoria annessa al reclamo
In linea teorica, la documentazione tecnica probatoria non è obbligatoria quando si procede ad inviare un reclamo al Garante Privacy. Questo perché, una volta inviato il reclamo, sarà il garante stesso a ricercare informazioni o fare verifiche tecniche sui fatti e circostanze su cui l’atto si fonda.
A mio avviso però, fornire già le prove di quanto si dichiara permette – da un lato – di semplificare il lavoro dell’autorità per la protezione dei dati personali e – dall’altro – di apparire più autorevole agli occhi di chi leggerà il reclamo e dovrà valutarlo.
La documentazione probatoria dovrà dunque essere quanto più approfondita e completa possibile, e potrà essere composta da una o più delle seguenti tipologie di allegati:
- Screenshot del sito web e/o di alcune sue parti rilevanti ai fini del reclamo
- Allegati e documentazione di vario genere citata nel testo del reclamo (ad esempio copia della privacy policy o della cookie policy scaricata dal sito web del titolare)
- File HAR
- Pacchetto di documentazione generato dal tool Website Evidence Collector dell’European Data Protection Supervisor (EDPS)
I primi due tipi sono semplici da ottenere e non hanno bisogno di ulteriori approfondimenti.
Vediamo invece come generare il file HAR e il pacchetto di documentazione da Website Evidence Collector.
Generazione file HAR
Per la generazione del file HAR, eseguire la seguente sequenza di operazioni:
- Aprire un browser tipo Firefox, pulire la cache e chiudere il browser
- Riaprire il browser, disabilitare le protezioni privacy e addon vari (es. eventuali ad blocker)
- Aprire una nuova pagina “about:blank”
- Aprire devtool (F12 o ctrl+shit+I) e andare nel tab “network” (“rete” se usi il browser in italiano)
- Nella simbolo della rotellina selezionare l’opzione “Persist Logs“ (“Registro Permanente” se usi il browser in italiano)
- Apri il sito web oggetto di analisi e navigare il sito anche su eventuali sotto-pagine di interesse
- Alla fine della navigazione, da devtool esportare il file HAR tramite l’apposita opzione nel tab “network” (“rete” se usi il browser in italiano)
Generazione pacchetto Website Evidence Collector
Il Garante europeo della protezione dei dati (GEPD) ha reso disponibile lo strumento Website Evidence Collector, sotto licenza pubblica dell’Unione europea (EUPL-1.2), con l’obiettivo di analizzare il livello di conformità GDPR di un sito Web circa il trattamento effettuato sui dati personali.
In particolare, lo strumento raccoglie prove del trattamento dei dati personali, come i cookie, o le richieste a terzi. I parametri di raccolta vengono configurati prima dell’ispezione e quindi la raccolta viene eseguita automaticamente.
Le prove raccolte, strutturate in un formato leggibile dall’uomo e da una macchina, consentono ai titolari del sito web, ai responsabili della protezione dei dati e agli utenti finali di comprendere meglio quali informazioni vengono trasferite e archiviate durante una visita di un sito web.
L’installazione dello strumento non è però immediata, e richiede un certo livello di competenza tecnica. Se vuoi provare ad utilizzarlo, a questo link puoi trovare il repository Github ufficiale del progetto.
L’innovazione, il web e la tecnologia fanno parte del mio mondo lavorativo e delle mie passioni. Mi piace pensare alle città intelligenti del futuro, e poter contribuire alla loro progettazione.
La cosa paradossale e’ che il server su cui si appoggia il sito da cui si scarica il software “Website Evidence Collector 1.0.0” (https://joinup.ec.europa.eu/ di proprietà della Comunità Europea) è situato nelle USA …… con tanti saluti al GDPR e alla decisione del Garante Italiano ……