Privacy e trattamento dei dati personali

Il consenso informato relativo al trattamento dei dati risale al 2003 (art. 161, D.Lgs. 196/2003); questa legge impone la riservatezza dei dati inviati o lasciati sui siti internet, quando questi vengono richiesti ad esempio per iscriversi a newsletter o per compilare moduli di contatto. In ognuna di queste azioni è infatti obbligatorio richiedere all’utente il consenso informato, e per informato si deve intendere espressamente di consentire all’utente di leggere e dare il suo consenso all’informativa sulla tutela della privacy così come impostata dal titolare del sito. Infatti l’informativa varia da sito a sito in virtù della tipologia del sito e dalle sue specifiche caratteristiche. Un sito sito internet che raccoglie diversi dati degli utenti durante la navigazione, attraverso anche i moduli di compilazione, deve informare preventivamente su:

  • gli scopi e le modalità del trattamento dei dati raccolti;
  • obblighi dell’informato nel fornire o meno i dati;
  • conseguenze a cui va incontro l’interessato in caso di rifiuto;
  • nominativi delle persone, società o terzi a cui possono essere inviati i dati;
  • i diritti di cui dispone l’interessato;
  • i dati del titolare e del responsabile del trattamento dati completo di riferimenti per essere contattato;

Perché l’obbligo

Il Decreto legislativo 30 giugno 2003, n. 196 – CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI – così detta:

Art. 1. Diritto alla protezione dei dati personali

1. Chiunque ha diritto alla protezione dei dati personali che lo riguardano.

E’ molto chiaro l’intento di questa legge. Molti anni fa le tecnologie web erano indubbiamente meno invasive e richiedevano una navigazione più semplice, più anonima, ma parliamo del passato. Oggi molto è cambiato e la sfida di ogni azienda o professionista non riguarda solo lo sforzo di farsi conoscere, ma anche di chi sta navigando sul nostro sito o sulle nostre pagine social, cercando quindi di individuare più informazioni possibili, dal punto di vista dei gusti, preferenze, indicazioni sociali, località ecc, che andranno ad arricchire database e archivi ad uso sia della stessa azienda o cedute ad aziende esterne “terzi”. Su questo non c’è nulla di male, in moltissimi casi gli utenti possono trarne dei vantaggi, ma la legge sulla privacy impone – giustamente – non solo di essere informato su questi sistemi detti appunto di “profilatura”; quindi successivamente accettare la navigazione, ma si deve essere messi in grado di bloccare alcuni di questi processi se non addirittura abbandonare la navigazione. Tutto questo è possibile grazie  ai cookie, che sono sempre esistiti, ma che il Garante ha deciso di regolamentare tramite una legge, perché diventati sempre più tecnologici e potenti.

» Ulteriori informazioni

I Cookie

I cookie (biscotti in inglese) sono piccoli file di testo che durante la navigazione su un sito vengono inviati e archiviati sul dispositivo dell’utente per poi essere successivamente ritrasmessi e utilizzati dagli stessi siti durante la successiva visita. Sono utili perché possono eseguire autenticazioni automatiche, monitoraggio di sessioni, archiviazione, memorizzazione di informazioni. I cookie definiti “tecnici” sono in grado eseguire operazioni molto complesse, senza di essi la navigazione risulterebbe compromessa se non impossibile in alcuni casi.

Ti sei mai domandato come fa un sito Internet a ricordare la tua identità successivamente al primo accesso? O come fa un E-commerce a conservare i prodotti che hai inserito nel carrello anche se non sei loggato al sito come utente? La risposta è semplice: tutto questo è possibile grazie ai cookie.

La legge distingue tra 2 principali categorie di cookie

I cookie “tecnici” e i cookie di “profilazione”

I cookie tecnici servono a raccogliere dati a scopo appunto tecnico e aiutano la navigazione: riportano i dati di login nei campi. E’ comunque obbligatorio informare l’utente della loro presenza e delle loro funzionalità e azioni.

I cookie di profilazione invece hanno scopi più importanti e richiedono quindi maggiore controllo in quanto tra le loro funzioni abbiamo la creazione di profili che riguardano il comportamento all’utente, vengono infatti utilizzati per inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso durante la navigazione sui siti. Un banner dovrà segnalare che il sito utilizza cookie di profilazione e mostrare il link alla pagina del sito dove è possibile consultare l’informativa completa, dove sarà anche possibile negare il consenso alla loro installazione o indirizzarsi ai siti che installano cookie di “terze parti, cioè non direttamente installati dal sito che stiamo consultando.

Il Garante ha stabilito quanto segue sull’uso dei cookie di profilazione:

1) che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;

2) che il sito consente anche l’invio di cookie di “terze parti”, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;

3) un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;

4) l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.

Il D.Lgs. 28.5.2012, n. 69 e D.Lgs. 28.5.2012, n. 70. obbliga i titolari del trattamento dati di un sito a notificare all’utente l’uso di eventuali cookie di profilazione prima di iniziare la navigazione, questo per impedire di installare questi cookie sul dispositivo dell’utente senza che ci sia il consenso dello stesso. In base ai linguaggi di scrittura, che sono alla base di ogni sito web, si dovrà installare un banner che comparirà immediatamente appena eseguito l’accesso al sito, in questo modo l’utente potrà leggere la cookie policy e decidere se continuare la navigazione o abbandonarla.

GUIDA BREVE ALLE CATEGORIE DEI COOKIE E OBBLIGHI DI NOTIFICA AL GARANTE

Alcuni esempi per individuare la categoria dei cookie

Cookie tecnico: cookie di sessione per mantenere il login.

Cookie di profilazione: ipotizziamo che durante la navigazione in un sito E-Commerce effettuate una ricerca per “scarpe Diadora” e sul vostro browser viene installato un cookie che archivia questa query. Se in seguito ad una succesiva navigazione un determinato software/plugin installato sul sito utilizzerà queste informazione per offrirvi della pubblicità attinente; come ricerca di Diadora o genericamente scarpe, quello installato è un cookie di profilazione.

Cookie di terze parti: i cookie installati dai social media per installare i loro buttons di condivisione e like: Facebook, Twitter, Google Plus, LinkedIn, ecc; Google Analytics che consente di analizzare statistiche dettagliate sui visitatori di un sito web; i cookie installati per l’implementazione degli dei video Youtube, ecc.

» Ulteriori informazioni

Il principio dell'opt-in (e dell'opt-out)

E’ fondamentale comprendere questo concetto per capire la genesi della legge italiana sui Cookie, in parte elaborata su indicazioni ed esigenze dell’Unione Europea. Il concetto di privacy va inteso come protezione e di conseguenza tutti gli sforzi del legislatore vanno in questa direzione e di questo non possiamo che essere contenti, ma nello stesso tempo tutti gli interessati all’attuazione di queste normative non hanno un compito facile davanti a sé, ci si riferisce ai titolari dei siti web, ai webmaster, ai designer, i quali dovranno mettere in pratica tutti i sistemi richiesti dalla legge. Esemplifichiamo adesso questo importante concetto. In Europa si è scelto il principio per il quale prima di trattare un qualsiasi dato personale si deve chiedere il consenso all’interessato (opt-in), sbarcando negli gli Stati Uniti, troveremo l’opposto, infatti il principio cambia: i dati personali dell’interessato possono essere trattati anche senza che questo abbia concesso il consenso preventivo (opt-out), salvo, però, esercitare successivamente il diritto di opposizione al trattamento. Questo breve articolo ha il solo scopo di introdurre i lettori all’argomento che naturalmente richiede maggiori approfondimenti che ogni singolo proprietario di un sito web deve necessariamente affrontare, sia se già titolare di sito e questo non in regola, sia nel caso di colui che ha deciso di pubblicare il suo nuovo sito.

Controlli e sanzioni

Chi tratta i dati personali può incorrere in sanzioni? Sì. Il Codice in materia di protezione dei dati personali prevede sanzioni per i casi in cui il trattamento di dati personali viene effettuato violando le norme dettate del Codice stesso. Le principali sanzioni riguardano:

  • l’omessa informativa  (art. 161);
  • il trattamento illecito amministrativo  (art. 162, comma 2-bis);
  • la mancata adozione delle misure minime di sicurezza  (art. 162, comma 2-bis);
  • l’inosservanza di un provvedimento del Garante (art. 162, comma 2-ter). Altre sanzioni possono scattare in caso di:
  • mancata presentazione della notificazione al Garante (art. 163);
  • mancato riscontro alle richieste dell’Autorità  (art. 164);
  • violazione delle disposizioni sul Registro pubblico delle opposizioni  (art. 162, comma 2-quater);
  • nell’ipotesi di più violazioni commesse in relazione ad una banca-dati di rilevante importanza e dimensione (art. 164-bis, comma 2).
Sanzioni Per omessa o inidonea informativa all’interessato (Art. 161, D. Lgs. 30 giugno 2003, n. 196):

– da 3.000 a 18.000 euro per violazione dei dati ex art. 13

– da 3.000 a 18.000 euro per violazione dei dati sensibili o giudiziari

– da 5.000 a 30.000 si triplicano se risulta inefficace per le condizioni economiche del contravventore

Per omessa informazione o esibizione al Garante (Art. 164, D. Lgs. 30 giugno 2003, n. 196):

– da 4.000 a 24.000 euro

E’ opportuno quindi affidarsi a a professionisti competenti o anche consulenti legali in grado di impostare la normativa sulla privacy del nostro sito web nel miglior modo possibile, a garanzia di noi stessi e degli utenti finali, in molti casi questi sono i nostri potenziali clienti.

GDPR il nuovo Regolamento Privacy EU 2018

L’Europa ha adottato un nuovo Regolamento per la Privacy, denominato Regolamento generale sulla protezione dei dati personali (GDPR in inglese). Il regolamento entrerà in vigore a partire da Maggio 2018. Vediamo una sintesi della nuova normativa:

  • SI applicherà a partire dal 25 maggio 2018;
  • Ogni utente avrà maggiore controllo sui dati personali, tra cui la possibilità di portare i dati con sé fra diversi fornitori di servizi;
  • Il GDPR sarà valido in tutti i Paesi UE (i Paesi europei adotteranno le stesse regole);
  • I minori saranno maggiormente tutelati da procedure e regole addizionali sul trattamento dei dati;
  • Sono previste semplificazioni per le aziende che trattano dati.

Sono due i nuovi strumenti legislativi:

  • Il Regolamento sulla protezione dei dati personali che fa riferimento all’elaborazione e al trattamento dei dati personali (si tratta della parte che interessa le imprese e i consumatori);
  • La Direttiva sulla protezione dei dati inerenti alla polizia e alla giustizia penale.

Il nostro interesse è rivolto al primo intervento in quanto tratta di nuove regole da adottare o aggiornare al proprio sito web.

Regolamento e Direttiva: differenze

Il Regolamento è differente da una Direttiva. Il GDPR è un regolamento, cosa ben diversa da una Direttiva, come lo è la precedete del 95/46/EC. La differenza sta nel come sarà recepita e attuata dai singoli paesi interessati: infatti, una direttiva viene attuata seguendo la legislazione vigente nei singoli Paesi, ogni singolo Stato dovrà tramutarla in legge ordinaria; al contrario, un regolamento diventa immediatamente legge, e dovrà essere applicata simultaneamente in tutti i paesi dell’UE.

Si tratta quindi di nuove regole che in virtù dell’intento del legislatore di assicurare maggiore protezione e controllo dei dati personali potrà rappresentare un’ulteriore opportunità di creare valore aggiunto alla propria azienda presentandosi con tutte le carte in in regola. Il GDPR può fare la differenza per le aziende serie.

Per aggiornare la propria Privacy è fondamentale conoscere la propria attività. Infatti il nuovo GDPR implica una maggiore responsabilizzazione del titolare su quanto concerne il trattamento (Accountability), richiamando alla raccolta dati, che dovrà rispettare legalità, correttezza e soprattutto trasparenza degli stessi.

Per soddisfare questi requisiti il Regolamento prevede la creazione di un registro delle attività di trattamento (art. 30). Si tratta di un documento in cui il titolare deve tenere traccia dettagliata delle attività compiute con dati relativi a dipendenti, fornitori, partner e soprattutto clienti (indicando in particolare le finalità del trattamento, le categorie dei dati e degli interessati, gli eventuali trasferimenti verso paesi terzi dei dati raccolti e le misure di sicurezza adottate).

Tutti sono obbligati alla tenuta del Registro?

No. L’obbligo della tenuta del registro non si applica alle imprese e organizzazioni con meno di 250 dipendenti, a meno che queste necessitano di trattamenti ad alto rischio o con Trattamento dati non occasionali; queste condizioni richiederanno un’analisi specifica caso per caso. Non è comunque escluso che una piccola impresa possa liberamente adottare questo registro per creare una maggiori condizioni di sicurezza alla propria attività e nello stesso tempo valorizzare il proprio Know-how.

Al 25 maggio mancano pochi mesi, sarà opportuno mettersi in regola e affrontare questo cambiamento che sicuramente apporterà nel tempo notevoli vantaggi alle imprese che seriamente fanno parte del mondo del lavoro, indipendentemente dal paese in cui si trovino.

Per maggiori informazioni sulla materia e per ricecevere un primo supporto di aiuto scriveteci.

» Ulteriori informazioni

AVVERTENZE PER IL LETTORE

L’articolo è stato scritto dal nostro Staff ed è basato sulla nostra esperienza e continua formazione tramite i consulenti legali con i quali collaboriamo. Quindi nonostate le nostre solide basi l’articolo ha il solo scopo di introdurre il lettore all’argomento di carattere prettamente legale. Non può quindi essere considerato un articolo esauriente su una materia complessa e articolata e impossibile da trattare in forma definitiva in un unico articolo. Si consiglia di rivolgersi ad un esperto qualificato o scriverci per ottenere il nostro supporto.

Share This