Le “chiavi d’accesso” di un sito web

Le “chiavi d’accesso” di un sito web: la regolamentazione dei rapporti tra il Committente e l’Agency web design ai sensi del Reg. UE n. 679/2016

Con il presente “contributo” è esposta una possibile problematica giuridica in tema di protezione dei dati personali.

Va premesso che il diritto a tale protezione, nel contesto attuale, riveste un’incidenza sempre più significativa – soprattutto per i trattamenti di dati personali svolti tramite internet – tanto è vero che occorre porsi il problema di come regolare i rapporti tra due o più parti di un rapporto contrattuale che  muova dall’uso dei mezzi e delle reti informatiche ai sensi del Reg. UE n. 679/2016 (impregiudicate, le eccezioni previste dal detto regolamento ed il suo ambito di operatività).

Un’applicazione concreta di tale aspetto può essere colta con riferimento alla seguente frequente ipotesi: una società di web design viene incaricata di realizzare un sito web da un’altra società e, al termine della prestazione richiesta, l’esecutore del servizio mantiene le chiavi d’accesso al medesimo sito web per tutta una serie di ragioni tecniche e di utilità a favore del cliente.  

Ebbene, rispetto a ciò, si prospettano due possibili alternative di verosimile regolamentazione.

La prima di esse (A) presuppone il seguente ulteriore quesito: cosa fare in tema di protezione dei dati, se l’agency web design, post realizzazione del sito web, ha pure l’obbligo di garantirne la sicurezza e la manutenzione, oltreché quello di conservare i dati ivi trattati per conto del Committente/Cliente?

In tale prima evenienza pare necessario che il Cliente, quale Titolare del trattamento, provveda con atto scritto a nominare la società come responsabile (esterno) del trattamento ai sensi dell’art. 28, Reg. UE n. 679/2016.

Tale nomina non è priva di conseguenze.

Ad esempio, se l’agency web viene nominata, come Responsabile  del trattamento da parte di ciascun proprio Cliente, è probabile che la stessa debba poi adoperarsi, ad  individuare un data protection officer ai sensi degli artt. 37ss, del Reg. UE n. 679/2016. Soluzione tanto più necessaria allorquando i trattamenti oggetto dell’incarico possano dare luogo a meccanismi di profilazione e/o quando 2) siano connessi a dei form di contatti o di altri inserimenti di dati personali.

La seconda alternativa (B) è data dal possibile caso in cui il sito web è gestito direttamente dal Committente, mentre la società, in precedenza incaricata per la creazione del sito, si limiti alla mera detenzione delle chiavi d'accesso, al fine di sopperire ad eventuali smarrimenti/dispersioni.

In questo ultimo caso – a parte la ritrosia del Committente ad essere nominato come responsabile esterno ex art. 28 Reg. UE n. 679/2016 – occorrerebbe formalizzare almeno un sintetico protocollo, utile ad autorizzare e ad istruire il Committente circa le modalità di detenzione e dell’utilizzo (eccezionale) delle chiavi d’accesso.

La scelta di un atto, piuttosto che dell’altro, si pone nell’ambito del principio di auto-responsabilità, prefigurato dalle regole europee, nonché del principio di accountability.

In definitiva, si può concludere dicendo che l’assenza di qualsiasi regolamentazione tra parti in simili casi è vivamente sconsigliata.

a cura di Avv. Davide Cicu