Molte pagine web offrono un modulo di contatto per facilitare la comunicazione agli utenti o anche per ricevere messaggi strutturati e mirati. Quante informazioni possono essere richieste obbligatoriamente? Il visitatore dovrebbe essere invitato a confermare le istruzioni sulla protezione dei dati? Queste e altre domande vengono risposte in questo articolo per garantire la sicurezza giuridica nell'uso di moduli di contatto.
Introduzione
I moduli di contatto solitamente creano argomenti di discussione, perché Domande sul trattamento dei dati emergono. In realtà è piuttosto semplice offrire un modulo di contatto, o anche più, se si seguono alcune regole fondamentali.
Come per ogni tipo di elaborazione dei dati, ci sono anche piccoli rischi con i moduli di contatto, che possono essere minimizzati. In definitiva il rischio è gestibile e non superiore a quello di una comunicazione tramite un indirizzo email offerto sulla pagina web.
I moduli di contatto offrono migliori possibilità per evitare lo spam rispetto alla comunicazione via e-mail pura. Chi qui utilizza comunque Google reCAPTCHA ha carte legali molto cattive.
Le seguenti raccomandazioni aiutano a creare velocemente moduli di contatto sicuri e a chiarire le questioni giuridiche. D'altronde non si tratta dei moduli per iscrivere i newsletter, per cui valgono regole proprie. La maggior parte delle indicazioni citate è comunque trasferibile anche ai moduli con cui gli interessati possono abbonarsi al vostro newsletter.
Suggerimenti per i moduli di contatto
Ogni singola raccomandazione garantisce più sicurezza giuridica, se viene presa in considerazione. Alla fine avrete un sito web con tanti moduli quanti ne servono. Le norme sulla protezione dei dati che la GDPR stabilisce vengono rispettate.
Come sempre in materia di diritto, non esiste un comportamento assolutamente corretto, ma solo una maggiore sicurezza giuridica. Anche se fate tutto bene (chiunque decida), qualcuno potrebbe denunciarvi o citarvi in giudizio. Ma allora il vostro avversario avrà carte molto cattive e resterà a pagare le spese.
Il modulo di contatto generale
Un modulo per tutto è possibile e consentito. Tuttavia, dovresti considerare questo punto di contatto centrale solo come il primo punto di contatto. Questo modulo non dovrebbe trasformarsi in uno strumento di massa per interrogare tutti i dati del mondo. Ecco la mia raccomandazione per le informazioni che dovrebbero essere richieste in un modulo di raccolta:
- Per questo c'è il modulo di contatto.
- Indirizzo email: Solo così potrai rispondere.
- Nome o pseudonimo: spesso non avete bisogno del vero nome di una persona. Spesso però è importante saperlo. Decidetelo con buon senso, se avete bisogno del vero nome o no. Ad esempio, sulla mia pagina web non ho bisogno dei veri nomi delle persone che mi scrivono un messaggio via mail e non utilizzano la funzione di commento. Naturalmente posso anche rispondere a Hasemaus47 se lo desidero (se non ci sono impegni, io rispondo sempre quando il messaggio è serio e merita una risposta).
- Numero di telefono: Solo se utile e spesso richiesto. Eventualmente segnalare come opzionale.
Maggiore quantità di dati non li chiederei in un modulo generale. Dipende dall'indirizzo della tua pagina web o dalla tua attività se hai bisogno di altre informazioni generali. La maggior parte delle aziende riuscirà a cavarsela con quanto sopra. Le cliniche mediche, le scuole materne e i negozi di riparazione auto richiedono solitamente anche il numero di telefono di una persona.
Mussfelder e Cannfelder
Per ogni richiesta che fate nel modulo dovreste riflettere se la richiesta è necessaria o meno. Le richieste necessarie sono ovviamente sempre il testo della notifica e l'indirizzo email del mittente, per permettere a chiunque di rispondere.
Il nome della persona che scrive è spesso irrilevante. Anche per i newsletter generali, che non vengono inviati ai propri clienti, non è necessario conoscere il nome dell'abbonato. Vedi il mio Newsletter. Per l'iscrizione al servizio di notizie chiedo solo l'indirizzo email. Tutte le altre informazioni non mi interessano. Se qualcuno vuole farmi sapere qualcosa, allora gli scrivo una mail. In questa mail è spesso riportato il nome della persona che vuole farmelo sapere. E precisamente perché questa persona mi dice il suo nome di sua spontanea volontà.
Quanto più specifico è un modulo di contatto, tanto più possono essere indicate come obbligatorie le informazioni da fornire. In ogni caso va verificato quali informazioni si vorrebbe avere e quali sono invece necessarie. In alcuni casi potrebbero esserci informazioni che sarebbero molto gradite. Ad esempio, mi disse la gestore di una scuola materna che avete bisogno del numero di telefono perché quasi tutte le richieste si riferiscono alla domanda per un posto in scuola materna e quindi sono necessarie delle conferme. In casi simili dovreste verificare quante volte è necessaria la informazione in questione e, se necessario, trasformarla in un campo obbligatorio.
Il fine del vostro modulo
Pregustatevi la seguente domanda: Per cosa avete bisogno di un modulo? Definite lo scopo o gli scopi. Se avete riconosciuto solo uno scopo, allora avrete evidentemente bisogno di un modulo (o nessuno).
Scopi per i moduli possono essere ad esempio:
- Contatto generale: quindi non sapete ad hoc perché volete contattare qualcuno. Comunque offrite prodotti o servizi oppure fornite informazioni. Il contattato vi chiederà probabilmente una domanda sul vostro prodotto o ha una domanda sulle vostre affermazioni. O il mittente vuole esprimere un giudizio, qualunque esso sia.
- Concordato di fine rapporto: questo caso si verifica spesso presso medici o concessionari d'auto.
- Richiesta di contatto: Vuoi preferibilmente parlare al telefono e non scambiare email? Allora offri una tale possibilità e chiedi all'interessato il suo numero di telefono e un orario adatto per la richiesta di contatto.
- Elenco e critica.
- Contatto con il cliente: qualcuno è un tuo cliente e si è registrato nel suo account di cliente. Per le assicurazioni i clienti possono ad esempio emettere ordini, richiedere moduli o dichiarare la loro volontà di rescindere l'assicurazione.
- Commento a un articolo. Vedi sotto questo articolo o anche su siti giornalistici dove i lettori possono dare la loro risposta.
Se avete riconosciuto più scopi per cui desiderate offrire un modulo, verificate quali informazioni sono richieste nel modulo per ogni scopo. Gli scopi che hanno molte somiglianze nelle informazioni richieste e si trovano anche tematicamente vicini possono essere raggruppati in un solo modulo.
Tutto il resto va inserito in moduli diversi, a meno che non si decida di offrire un modulo di contatto generale.
Informazioni sulla protezione dei dati a conoscenza
Nominare brevemente, a cosa servono le informazioni richieste. Collegare poi alle note sulla protezione dei dati del vostro sito web. Tutto ciò può essere riassunto e posizionato sotto i campi di input del modulo e sopra il pulsante "Invia":
Utilizziamo le vostre informazioni per rispondere alla vostra richiesta. Ulteriori informazioni si trovano nei nostri Avvisi sulla protezione dei dati.
Assicuratevi di formattare il link in modo che si apra in una nuova finestra. Nulla è più fastidioso di un'invio di modulo che va perso perché si vuole dare uno sguardo alle informazioni sulla privacy. Se lo volete rendere ancora più comodo, potete utilizzare un cosiddetto anello HTML. In questo modo potrete formattare il link in modo da richiamare direttamente la sezione per i moduli di contatto nelle vostre informazioni sulla privacy. Ecco come fare:
Definiscono Anker nei loro avvisi sulla protezione dei dati:
Nell'ambito di WordPress, il collegamento può essere definito posizionando il cursore nell'editor sul testo desiderato e cliccando su "Esteso" nella zona a destra:
Utilizzare il link di Anker:
<a href="https://dr-dsgvo.de/datenschutz/#formular>Informazioni sulla protezione dei dati per i moduli di contatto</a>
Scrivete prima del nome dell'ancora il simbolo della raucedda hashtag, affinché il codice funzioni correttamente.
Così si presenta il link. Se clicchi su di esso, la zona di lettura saltella direttamente là dove sono riportate le informazioni sul modulo:
Informazioni sulla protezione dei dati per i moduli di contatto
Poiché sulla mia pagina non ci sono formulari se non per il newsletter, ho posizionato l'ancoraggio "formular" sul settore del newsletter a scopo dimostrativo. Suggerimento pratico: inserite l'ancoraggio alcune righe più in alto di dove dovrebbe essere. Infatti, a seconda del browser utilizzato, il testo potrebbe apparire troppo in alto e tagliato.
Come potete vedere, ho aggiornato le mie informazioni sulla protezione dei dati per renderle più accessibili. Forse pensate anche voi di farlo? Ecco come fare, nel post appena linkato.
Testi sulla protezione dei dati personali:
Spiegare semplicemente cosa succede. Ad esempio così:
Moduli di contatto
Se ci inviate richieste tramite modulo di contatto, le vostre informazioni fornite nel modulo di richiesta, comprese le vostre informazioni di contatto indicate lì, verranno salvate e trattate da noi per la gestione della richiesta e in caso di ulteriori domande. Le vostre informazioni saranno utilizzate esclusivamente a scopo di risposta e gestione della vostra domanda. Il trattamento dei dati avverrà ai sensi dell' Art. 6 comma 1 lettera f DSGVO in base all'interesse legittimo.
Nel caso di scoperta di truffe o abuso, ad esempio per scoprire attacchi hacker, ci riserviamo il diritto di conservare i dati del tuo network per un breve periodo e solo a questo scopo, non superiore a 30 giorni, salvo che un motivo giustifichi una maggiore durata.
Modello per un testo di protezione dei dati per i moduli di contatto.
Importante: Solo conoscenza, non conferma
Ora viene il momento più importante: date solo conoscenza alle informazioni sulla protezione dei dati menzionate sopra. Non chiedete una conferma o un consenso. Non dovete permettere che si verifichi la lettura delle vostre informazioni sulla protezione dei dati da parte di qualcuno. Se il visitatore del vostro sito web legge o meno è sua faccenda e non deve essere prescritto da voi. Una dichiarazione sulla protezione dei dati non è un contratto. Vedi ad esempio la sentenza della Corte d'appello di Berlino (27.12.2018 – 23 U 196/13).
È il vostro interesse legittimo (Art. 6 comma 1 lettera f DSGVO), utilizzare le informazioni della persona che vi scrive, per rispondere o per gestire la richiesta. In un altro contesto dovreste usare l'interesse legittimo come base giuridica solo in modo molto parsimonioso, poiché di solito non esiste.
Verifica spam
Usate nessun plugin Google, se non volete rischiare problemi con la protezione dei dati. Qualsiasi plugin Google può essere utilizzato solo dopo il consenso. Questa è la mia opinione, per cui potete trovare numerose giustificazioni in questo blog (Google e i dati senza sosta, anche per manipolare il comportamento; I dati possono essere abusati dai servizi segreti americani; Google raccoglie più dati di quelli necessari ecc.). Anche il Tribunale amministrativo regionale di Colonia condivide la mia opinione (sentenza del 23.03.2023 – 33 O 376/22).
Usate invece un Captcha come Contact Form 7 Image Captcha (per i moduli di WordPress). O o usate un campo di input in cui viene richiesto il risultato di una facile operazione aritmetica. Esempio: Quanti sono 17 meno 5. Scrivete la risposta a parole, in minuscolo.
Personalmente credo che con i moduli di contatto non arrivi molto più spam rispetto a quando si prendono direttamente le mail dagli elenchi delle pagine informative. Buoni filtri anti-spam aiutano molto. Il spam non può essere completamente evitato. Anche gli honeypot sono una buona misura.
Eventualmente potreste verificare se il testo della notifica ha una certa lunghezza. Se non raggiunge la minima, dovrebbe essere impossibile inviare il modulo. Potrebbe anche essere installato un filtro per determinate parole sgradite.
Se utilizzate un plugin per la verifica dello spam, assicuratevi che il database anti-spam globale sia disattivato o non vi siano dati in arrivo. Sebbene questa funzione possa essere utile per alcuni: se si trasmette l'indirizzo di rete (indirizzo IP) dei visitatori del vostro sito web a "sconosciuto", ciò non è buono. Un esempio di tale plugin è Antispam Bee per WordPress.
Ecco tre opzioni del plugin in questione. La prima opzione può essere attivata perché una banca dati locale non trasmette i dati a terzi. Le altre due opzioni dovrebbero essere disattivate per evitare problemi legali. In ogni caso, il plugin stesso già segnala di dover tenere presente particolari avvertimenti sulla protezione dei dati per le opzioni critiche.
Risposta all'inviante
L'inviante di un messaggio si aspetta probabilmente una risposta da voi. Queste dovreste anche dare, se lo ritenete sensato. Tuttavia esistono anche Bösewichte. È molto facile inserire un indirizzo email estraneo in un modulo di contatto. O perché qualcuno persegue intenzioni malvagie o perché è entrata una svista.
Se una notizia le sembra strana, non rispondere in caso di dubbio. Verificate l'indirizzo email. Un indirizzo da buttare (byom.de, trashmail.net ecc.) ha la minima credibilità. Anche i freemailer (gmx.de, web.de ecc.) non sono molto considerati, anche se sono molto diffusi. Le migliori sono le adresses di persone o aziende con una propria domanda email. Un tale dominio dedicato è per esempio dr-dsgvo.de.
Ricerca brevemente e se possibile per verificare la notizia e il nome eventualmente indicato (nella notifica o nel campo del nome) per metterli in sintonia. Se avete molti dubbi, scrivete al presunto mittente della notifica in modo informale e chiedete se da quella sua mail è stata inviata una notifica tramite il vostro modulo di contatto. L'indirizzo informale è importante per evitare l'apparenza di pubblicità non autorizzata. Informale significa anche che dovreste rimuovere tutti i loghi pubblicitari o le indicazioni del sito web dalla vostra firma per stare al sicuro.
Ulteriori suggerimenti
Usate un modulo personale e non soluzioni di serie come Microsoft Forms. Le offerte dei terzi solitamente presentano problemi giuridici. Ad esempio, con MS Forms ho spesso notato la mancanza di un avviso legale. Inoltre, per aziende come Microsoft si pone la domanda se il trasferimento dei dati con riferimenti agli Stati Uniti non rappresenta un problema giuridico. Io dico sì, il Tribunale di Colonia (cfr.) dice sì, l'EuGH ( "Schrems II") dice sì.
Ritengo lecito, al momento dell'attivazione del contatto, registrare l'indirizzo IP dell'inviante per avere qualcosa in mano nel caso di problemi giuridici. Ciò rappresenta un motivo giustificato. Ho trattato questo argomento approfonditamente in un contributo sui log dei server. La sezione corrispondente è inclusa nel testo modello per la loro dichiarazione di protezione dei dati, menzionata precedentemente.
In ogni caso preferirei chiamare la dichiarazione di protezione dei dati una "notizia sulla protezione dei dati" o "informazioni sulla protezione dei dati". In questo modo si attenua ulteriormente l'impressione che si tratti di un contratto (vedere il giudizio citato sopra).
Le informazioni che riceve tramite un modulo di contatto vengono trattate allo stesso modo come se avesse ricevuto un'e-mail con queste informazioni. Non c'è una differenza sostanziale. I dati necessari sono conservati, mentre quelli non più necessari vengono cancellati dopo un certo periodo di tempo. In generale, è meglio non cancellare subito i dati, perché potrebbe essere che qualcuno voglia farti del male e sarebbe utile avere qualcosa in mano per spiegare cosa è successo.
Certificato SSL
Invece di un modulo, si può semplicemente indicare il link sulla propria mail. Non è necessario offrire un modulo. Il link su una mail viene indicato come una normale indirizzo web (URL), ma si deve aggiungere il testo mailto:
Il codice HTML per un tale link appare così:
<a href="mailto:mail@dr-dsgvo.de">Scrivimi</a>
Tutto ciò viene poi rappresentato sul sito web così:
Se avete un editor come ad esempio WordPress, allora definite semplicemente un link e utilizzate il mailto: seguito dalla vostra email come indirizzo del link.
Importante: utilizzate i moduli, quindi dovreste assolutamente utilizzare un certificato SSL per il vostro sito web. Il vostro sito web sarà poi raggiungibile solo tramite https e non più tramite http. Assicuratevi che la reindirizzamento (Redirect) da http a https sia configurato. Controllatelo aprendo il vostro sito web una volta con http:// (inserendo quindi in browser: http://meine-webseite-0815.de anziché solo come altrimenti meine-webseite-0815.de).
Se nel browser compare la chiave di blocco a sinistra accanto all'indirizzo della vostra pagina web, è presente il certificato SSL. Per esaminare ulteriori caratteristiche del vostro certificato SSL, come ad esempio la profondità di cifratura o la credibilità dell'ente che lo ha rilasciato, potete utilizzare il mio check online per le pagine web:
Conclusione
I moduli di contatto dovrebbero richiedere il minimo necessario e il massimo possibile di dati.
Per scopi diversi con dati richiesti in quantità diverse dovrebbero essere offerti moduli diversi.
Se non vuoi offrire un modulo, allora non offrilo. È importante che nel tuo sito web il tuo indirizzo e-mail sia riportato nell'elenco dei contatti. Evitate di inserirlo in forma grafica per motivi legali: alcuni gestori di siti web infatti inseriscono l'indirizzo e-mail sotto forma di immagine, per evitare lo spam. È vero che ciò riduce la quantità di spam ricevuto, ma io non lo considero lecito. Una persona dovrebbe poter contattarvi facilmente. Ciò significa anche che il tuo indirizzo e-mail dovrebbe essere cliccabile per permettere a chiunque di scrivervi. Almeno un semplice copia-incolla dovrebbe essere possibile.
Quanto meno dati richiedete nel modulo, tanto meno dovete preoccuparvi. Per i dati che non avete, non avete alcun obbligo da adempiere. Come esempio si può citare il diritto di accesso delle persone interessate. I dati che non richiedete sono inizialmente privi di criticità. Se qualcuno vuole comunicarvi la sua numero di tassazione o altezza con un modulo, benché non aveste dato alcun motivo per farlo, trattateli con lo stesso rigore di tutti gli altri dati. In caso di dubbio cancellate le informazioni sensibili inviate senza richiesta e ignorate il messaggio (o chiedete un altro modo di contattarvi), a meno che non abbiano rilevanza giuridica.
Per tranquillizzare molti si può dire che nessun problema di privacy viene costruito da solo con un modulo di contatto. Mi è soltanto noto un caso in cui la mancanza del certificato SSL era problematica. O altrimenti, i dati ricevuti tramite il modulo sono stati maltrattati, come si dice così bene. L'ultimo ha però più a che fare con l'argomento centrale, il modulo, non c'è più niente.
Messaggi chiave
Per creare moduli di contatto sicuri e legali, chiedi solo informazioni essenziali come l'indirizzo email e il nome (se necessario), e assicurati di informare gli utenti su come vengono trattati i loro dati.
Per creare un modulo di contatto efficace, definisci chiaramente lo scopo e chiedi solo le informazioni essenziali per raggiungerlo.
È importante spiegare chiaramente ai visitatori cosa succede con i loro dati quando compilano un modulo sul tuo sito web.
Questo testo spiega come gestire i dati personali raccolti tramite moduli di contatto sul tuo sito web, rispettando le norme sulla privacy.
È importante proteggere i dati personali quando si utilizzano moduli di contatto online.
Per proteggere i dati personali, è importante utilizzare moduli di contatto sicuri e trasparenti, con informazioni chiare sull'utilizzo dei dati.
Richiedi solo i dati necessari nel modulo di contatto e tratta tutti i dati ricevuti con attenzione, anche quelli non richiesti.
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
