Privacy e trattamento dei dati personali
- gli scopi e le modalità del trattamento dei dati raccolti;
- obblighi dell’informato nel fornire o meno i dati;
- conseguenze a cui va incontro l’interessato in caso di rifiuto;
- nominativi delle persone, società o terzi a cui possono essere inviati i dati;
- i diritti di cui dispone l’interessato;
- i dati del titolare e del responsabile del trattamento dati completo di riferimenti per essere contattato;
Perché l’obbligo
Il Decreto legislativo 30 giugno 2003, n. 196 – CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI – così detta:
1. Chiunque ha diritto alla protezione dei dati personali che lo riguardano.
E’ molto chiaro l’intento di questa legge. Molti anni fa le tecnologie web erano indubbiamente meno invasive e richiedevano una navigazione più semplice, più anonima, ma parliamo del passato. Oggi molto è cambiato e la sfida di ogni azienda o professionista non riguarda solo lo sforzo di farsi conoscere, ma anche di chi sta navigando sul nostro sito o sulle nostre pagine social, cercando quindi di individuare più informazioni possibili, dal punto di vista dei gusti, preferenze, indicazioni sociali, località ecc, che andranno ad arricchire database e archivi ad uso sia della stessa azienda o cedute ad aziende esterne “terzi”. Su questo non c’è nulla di male, in moltissimi casi gli utenti possono trarne dei vantaggi, ma la legge sulla privacy impone – giustamente – non solo di essere informato su questi sistemi detti appunto di “profilatura”; quindi successivamente accettare la navigazione, ma si deve essere messi in grado di bloccare alcuni di questi processi se non addirittura abbandonare la navigazione. Tutto questo è possibile grazie ai cookie, che sono sempre esistiti, ma che il Garante ha deciso di regolamentare tramite una legge, perché diventati sempre più tecnologici e potenti.
I Cookie
Ti sei mai domandato come fa un sito Internet a ricordare la tua identità successivamente al primo accesso? O come fa un E-commerce a conservare i prodotti che hai inserito nel carrello anche se non sei loggato al sito come utente? La risposta è semplice: tutto questo è possibile grazie ai cookie.
La legge distingue tra 2 principali categorie di cookie
I cookie “tecnici” e i cookie di “profilazione”
I cookie tecnici servono a raccogliere dati a scopo appunto tecnico e aiutano la navigazione: riportano i dati di login nei campi. E’ comunque obbligatorio informare l’utente della loro presenza e delle loro funzionalità e azioni.
I cookie di profilazione invece hanno scopi più importanti e richiedono quindi maggiore controllo in quanto tra le loro funzioni abbiamo la creazione di profili che riguardano il comportamento all’utente, vengono infatti utilizzati per inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso durante la navigazione sui siti. Un banner dovrà segnalare che il sito utilizza cookie di profilazione e mostrare il link alla pagina del sito dove è possibile consultare l’informativa completa, dove sarà anche possibile negare il consenso alla loro installazione o indirizzarsi ai siti che installano cookie di “terze parti, cioè non direttamente installati dal sito che stiamo consultando.
Il Garante ha stabilito quanto segue sull’uso dei cookie di profilazione:
1) che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
2) che il sito consente anche l’invio di cookie di “terze parti”, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
3) un link a una informativa più ampia, con le indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
4) l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link) si presta il consenso all’uso dei cookie.
Il D.Lgs. 28.5.2012, n. 69 e D.Lgs. 28.5.2012, n. 70. obbliga i titolari del trattamento dati di un sito a notificare all’utente l’uso di eventuali cookie di profilazione prima di iniziare la navigazione, questo per impedire di installare questi cookie sul dispositivo dell’utente senza che ci sia il consenso dello stesso. In base ai linguaggi di scrittura, che sono alla base di ogni sito web, si dovrà installare un banner che comparirà immediatamente appena eseguito l’accesso al sito, in questo modo l’utente potrà leggere la cookie policy e decidere se continuare la navigazione o abbandonarla.
Aggiornamento Linee Guida 10 giugno 2021 FILE
Alcuni esempi per individuare la categoria dei cookie
Cookie tecnico: cookie di sessione per mantenere il login.
Cookie di profilazione: ipotizziamo che durante la navigazione in un sito E-Commerce effettuate una ricerca per “scarpe Diadora” e sul vostro browser viene installato un cookie che archivia questa query. Se in seguito ad una succesiva navigazione un determinato software/plugin installato sul sito utilizzerà queste informazione per offrirvi della pubblicità attinente; come ricerca di Diadora o genericamente scarpe, quello installato è un cookie di profilazione.
Cookie di terze parti: i cookie installati dai social media per installare i loro buttons di condivisione e like: Facebook, Twitter, Google Plus, LinkedIn, ecc; Google Analytics che consente di analizzare statistiche dettagliate sui visitatori di un sito web; i cookie installati per l’implementazione degli dei video Youtube, ecc.
Il principio dell'opt-in (e dell'opt-out)
Controlli e sanzioni
- l’omessa informativa (art. 161);
- il trattamento illecito amministrativo (art. 162, comma 2-bis);
- la mancata adozione delle misure minime di sicurezza (art. 162, comma 2-bis);
- l’inosservanza di un provvedimento del Garante (art. 162, comma 2-ter). Altre sanzioni possono scattare in caso di:
- mancata presentazione della notificazione al Garante (art. 163);
- mancato riscontro alle richieste dell’Autorità (art. 164);
- violazione delle disposizioni sul Registro pubblico delle opposizioni (art. 162, comma 2-quater);
- nell’ipotesi di più violazioni commesse in relazione ad una banca-dati di rilevante importanza e dimensione (art. 164-bis, comma 2).
Sanzioni Per omessa o inidonea informativa all’interessato (Art. 161, D. Lgs. 30 giugno 2003, n. 196):
– da 3.000 a 18.000 euro per violazione dei dati ex art. 13
– da 3.000 a 18.000 euro per violazione dei dati sensibili o giudiziari
– da 5.000 a 30.000 si triplicano se risulta inefficace per le condizioni economiche del contravventore
Per omessa informazione o esibizione al Garante (Art. 164, D. Lgs. 30 giugno 2003, n. 196):
– da 4.000 a 24.000 euro
GDPR il nuovo Regolamento Privacy EU 2018
- SI applicherà a partire dal 25 maggio 2018;
- Ogni utente avrà maggiore controllo sui dati personali, tra cui la possibilità di portare i dati con sé fra diversi fornitori di servizi;
- Il GDPR sarà valido in tutti i Paesi UE (i Paesi europei adotteranno le stesse regole);
- I minori saranno maggiormente tutelati da procedure e regole addizionali sul trattamento dei dati;
- Sono previste semplificazioni per le aziende che trattano dati.
Sono due i nuovi strumenti legislativi:
- Il Regolamento sulla protezione dei dati personali che fa riferimento all’elaborazione e al trattamento dei dati personali (si tratta della parte che interessa le imprese e i consumatori);
- La Direttiva sulla protezione dei dati inerenti alla polizia e alla giustizia penale.
Il nostro interesse è rivolto al primo intervento in quanto tratta di nuove regole da adottare o aggiornare al proprio sito web.
Il Regolamento è differente da una Direttiva. Il GDPR è un regolamento, cosa ben diversa da una Direttiva, come lo è la precedete del 95/46/EC. La differenza sta nel come sarà recepita e attuata dai singoli paesi interessati: infatti, una direttiva viene attuata seguendo la legislazione vigente nei singoli Paesi, ogni singolo Stato dovrà tramutarla in legge ordinaria; al contrario, un regolamento diventa immediatamente legge, e dovrà essere applicata simultaneamente in tutti i paesi dell’UE.
Per aggiornare la propria Privacy è fondamentale conoscere la propria attività. Infatti il nuovo GDPR implica una maggiore responsabilizzazione del titolare su quanto concerne il trattamento (Accountability), richiamando alla raccolta dati, che dovrà rispettare legalità, correttezza e soprattutto trasparenza degli stessi.
Per soddisfare questi requisiti il Regolamento prevede la creazione di un registro delle attività di trattamento (art. 30). Si tratta di un documento in cui il titolare deve tenere traccia dettagliata delle attività compiute con dati relativi a dipendenti, fornitori, partner e soprattutto clienti (indicando in particolare le finalità del trattamento, le categorie dei dati e degli interessati, gli eventuali trasferimenti verso paesi terzi dei dati raccolti e le misure di sicurezza adottate).
No. L’obbligo della tenuta del registro non si applica alle imprese e organizzazioni con meno di 250 dipendenti, a meno che queste necessitano di trattamenti ad alto rischio o con Trattamento dati non occasionali; queste condizioni richiederanno un’analisi specifica caso per caso. Non è comunque escluso che una piccola impresa possa liberamente adottare questo registro per creare una maggiori condizioni di sicurezza alla propria attività e nello stesso tempo valorizzare il proprio Know-how.
Per maggiori informazioni sulla materia e per ricecevere un primo supporto di aiuto scriveteci.
L’articolo è stato scritto dal nostro Staff ed è basato sulla nostra esperienza e continua formazione tramite i consulenti legali con i quali collaboriamo. Quindi nonostate le nostre solide basi l’articolo ha il solo scopo di introdurre il lettore all’argomento di carattere prettamente legale. Non può quindi essere considerato un articolo esauriente su una materia complessa e articolata e impossibile da trattare in forma definitiva in un unico articolo. Si consiglia di rivolgersi ad un esperto qualificato o scriverci per ottenere il nostro supporto.