Il Garante Finlandese ha pubblicato una decisione sui requisiti per il consenso dei cookie, contraddicendo una precedente decisione della sua “cugina”, l’Autorità delle Comunicazioni Finlandese. Il punto focale di entrambe le decisioni era se il consenso per l’uso di cookie non essenziali potesse essere fornito tramite le impostazioni del browser dell’utente di un sito Web.

Cookiebot solution by FInData

La decisione del 14 maggio 2020 dell’Autorità per la protezione dei dati, (DPA) ha stabilito che istruire un utente, che visita un sito Web, su come gestire le impostazioni della privacy del browser e quindi come disattivare/attivare i cookie, non costituisce un consenso sufficientemente attivo ed esplicito ai sensi del Regolamento Generale sulla Protezione dei Dati dell’UE (GDPR). L’Autorità ha inoltre sottolineato che rifiutare i Cookie non essenziali deve essere facile per l’utente del sito Web quanto dare il consenso ai cookie stessi. Come detto, questa decisione differisce dai pareri presentati nella decisione del 24 aprile 2020 dell’Agenzia finlandese per le Comunicazioni (Traficom).

L’interpretazione del Garante Privacy Finlandese è in linea con la sentenza della Corte di giustizia dell’Unione europea (CGUE) dell’ottobre 2019 sul consenso ai cookie, (sentenza C ‑ 673/17 (Planet49)

Nella sentenza, la CGUE ha dichiarato che il consenso deve essere fornito mediante una misura attiva e ha ritenuto che una casella di spunta pre-selezionata non indica tale misura attiva da parte di un singolo utente. Mentre nella sentenza “Planet49”, la CGUE non ha affrontato la questione di cosa significhi “consenso dato liberamente” nel contesto dei cookie, Il Garante ha ora chiarito che in Finlandia tale consenso non può essere ottenuto tramite le impostazioni del browser.

Il Garante Privacy finlandese ha intimato una società, in qualità di Titolare del trattamento dei dati, di modificare il modo in cui richiede il consenso dell’utente di un sito Web per l’uso di cookie non essenziali, dopo che un individuo ha presentato un reclamo in cui affermava di non avere l’opportunità di rifiutare l’uso di cookie su il sito web dell’azienda. La società ha utilizzato i cookie sul proprio sito Web per raccogliere dati per sé e per terze parti, ad esempio sull’uso del servizio e sugli indirizzi IP allo scopo di personalizzare i servizi e il marketing mirato. 

Un “banner cookie“, come quello della maggioranza dei siti italiani, informava che, continuando la navigazione gli scenari sarebbero stati sostanzialmente 2:

1) l’utente accettava i cookie
2) l’utente poteva rifiutare i cookie configurando opportunamente le impostazioni del proprio browser. 

Il DPA Finlandese ha dichiarato che tale consenso non soddisfa i requisiti del GDPR e che l’inattività relativa alle impostazioni del browser, vale a dire il rifiuto dei cookie nelle impostazioni del browser, non costituisce un consenso valido. Tuttavia, il DPA non ha emesso sanzioni monetarie per il Titolare del trattamento dei dati, facendo riferimento allo status giuridico ambiguo della domanda dopo l’inizio dell’applicazione del GDPR.

FinData Cookie Management solution

L’interpretazione del DPA segue le linee guida aggiornate sul consenso dell’European Data Protection Board , che sottolineano l’indicazione attiva della scelta in un consenso valido e menziona che le impostazioni del browser dovrebbero essere sviluppate in linea con le condizioni per un consenso valido nel GDPR, sottolineando che un consenso deve essere granulare per ciascuno degli scopi previsti.

Questo sviluppo segna la fine delle precedenti pratiche di consenso dei cookie finlandesi, secondo le quali un consenso per i cookie potrebbe essere dato attraverso le impostazioni del browser. Attualmente, la direttiva sulla e-privacy del 2002 richiede che una persona tracciata debba “aver dato il proprio consenso” all’uso dei cookie e una disposizione analoga è inclusa nella legge finlandese sui servizi di comunicazione elettronica (917/2014, come modificata ).

Il prossimo regolamento UE sulla e-privacy, che sostituirà l’attuale direttiva sulla e-privacy, dovrebbe specificare ulteriormente i requisiti di consenso per i cookie e unificare le pratiche negli Stati membri dell’UE. Tuttavia, non è stato ancora raggiunto un accordo sul testo finale del regolamento e-privacy, con le discussioni più recenti che si svolgono in seno al gruppo di lavoro del Consiglio dell’UE.

In assenza di ulteriori leggi in materia, la decisione del DPA finlandese rimane la fonte chiave di interpretazione in merito a un consenso valido per l’uso di cookie non essenziali in Finlandia e può essere sintetizzata come segue:

  • Il consenso dei cookie deve soddisfare i requisiti GDPR, compreso il consenso che deve essereun’indicazione liberamente fornita, specifica, informata e inequivocabile dei desideri dell’interessato attraverso una “dichiarazione” o con una chiara azione affermativa circa quanto proposto dal titolare.
  • Rifiutare i cookie deve essere facile per l’utente del sito Web quanto dare il consenso ai cookie.
  • Il silenzio assenso, le caselle preselezionate, il procedere con la navigazione o l’inattività, non possono costituire un consenso valido per l’uso dei cookie.
  • Non è sufficiente informare gli utenti del sito Web come modificare le impostazioni del proprio browser per rifiutare l’utilizzo dei cookie.

E Tu come sei messo con il tuo Sito web? Sei conforme?

Nella sezione Cookie del nostro sito trovi tutte le informazioni per approfondire l’argomento e utilizzare una soluzione compliant, economica e sempre aggiornata. Evita le sanzioni e dai valore al Tuo brand dimostrando la conformità alle norme che regolano i trattamenti dei dati personali!

La strada di mezzo del GDPR

Innanzitutto andiamo a definire la nomenclatura.

“Azienda piccola” per me e secondo un accezione comune è un’impresa che ha pochi dipendenti, diciamo non più di 5, che fattura quanto necessario alla sopravvivenza del titolare e dei dipendenti e che non effettua particolari trattamenti dati (minori, sanitari e cose così che fanno drizzare i peli a noi DPO).

So bene che quella appena data non è una definizione da manuale ma da un punto toccava partire altrimenti questo post non avrebbe mai visto la luce!

La aziende piccole che debbano, per il raggiungimento dei loro obiettivi, devono acquistare un prodotto o un servizio complesso, come ad esempio una consulenza per l’adeguamento al GDPR, si trovano davanti due strade.

La strada della semplificazione

Semplificare un processo complesso è molto difficile e bene che vada funziona per alcune aziende ma non per tutte. Quando si riesce a mettere sul mercato un servizio o un prodotto semplice che risponda alle esigenze di aziende che gestiscono processi complessi, si è fatto bingo.

Le aziende risparmiano ed hanno la percezione di aver risolto. Ma hanno veramente risolto oppure è solo una sensazione?

Nel nostro settore (GDPR & affini), purtroppo, è solo una percezione.

Rispondere a regolamenti complessi e mutevoli con strumenti e/o servizi semplici non funziona. Appiccicare un’informativa privacy uscita fuori da un software senza che il titolare abbia la minima idea di cosa stia facendo o di quali input debba inserire nel software, NON RISOLVE IL PROBLEMA!

Anzi, lo inasprisce e da conferma che il titolare “non poteva non sapere” che è molto peggio di “non sapere”.

La strada del supermega consulente galattico

Ovviamente i sistemi complessi trovano la loro migliore risposta nelle aziende che offrono soluzioni personalizzate e di altissimo profilo.

Tutto bello e tutto giusto ma quasi mai in linea con budget e possibilità della piccola azienda.

Ed ecco servita la fregatura: spendo poco e vivo con la percezione di essere in regola (ma non lo sono!) oppure spendo tanto e tolgo budget ad altri settori altrettanto importanti come ad esempio il marketing.

La via di mezzo

In FinData ci piace essere pragmatici e abbiamo iniziato a chiederci: “siamo proprio sicuri che non sia possibile offrire una soluzione che stia nel mezzo?”

Diciamo che è stato un parto complicato ma ci siamo riusciti.

Abbiamo elaborato una serie di soluzioni per l’adeguamento al GDPR dell’intera azienda o solo della parte web senza offrire qualcosa di precostituito o un programmino da due soldi e senza starcela troppo a tirare dicendo che siamo troppo preparati per chi non ha budget.

Siamo riusciti ad offrire soluzioni pacchettizzate e personalizzate senza superare la cifra psicologica dei mille euro. Ci siamo riusciti grazie ad alcuni accorgimenti.

  • Abbiamo posto il limite ad aziende con al massimo 5 dipendenti
  • Abbiamo posto il limite ad aziende che trattano dati particolari (ex sensibili)
  • Abbiamo definito nel dettaglio tutti i servizi e gli output che andremo ad erogare
  • Abbiamo incentivato politiche premianti per chi voglia stabilire un rapporto continuativo con noi

Direi che questa scommessa la stiamo vincendo viste le richieste e visto che l’80% dei clienti vuole contratti di consulenza continuativa.

Ai colleghi e ai clienti voglio soltanto dire che una terza via è sempre possibile. Non buttate i soldi!

Per chi vuole vedere le schede delle nostre soluzioni le trova qui:

WEB SITE DATA PROTECTION – Scheda Tecnica

COMPANY DATA PROTECTION – Scheda Tecnica

La vera suddivisione aziendale

A proposito, per chi lo volesse sapere, questa è la definizione aziendale da manuale aziendale:

La Micro impresa è costituita da imprese che:
– hanno meno di 10 occupati;
– hanno un fatturato annuo oppure un totale di bilancio annuo non superiore a 2 milioni di euro.
La Piccola impresa è costituita da imprese che:
– hanno meno di 50 occupati;
– hanno un fatturato annuo oppure un totale di bilancio annuo non superiore a 10 milioni di euro.
La Media impresa è costituita da imprese che:
– hanno meno di 250 occupati;
– hanno un fatturato annuo non superiore a 50 milioni di euro, oppure un totale di bilancio annuo non superiore a 43 milioni di euro.

Google ha avvisato gli amministratori di G-Suite di dire ai loro utenti di aggiornare le app iOS e Android, altrimenti potrebbero smettere di funzionare il 12 agosto 2020. I problemi riguardano i clienti di G-Suite e gli utenti delle app mobili di Google con un account Google personale. 

Google sollecita gli utenti ad aggiornare l’app iOS di Classroom, nonché Documenti, Drive, Fogli e Presentazioni su iOS e Android. Gli utenti dovrebbero anche aggiornare l’app desktop Drive File Stream e l’app iOS di Gmail. 

Google rileva che le versioni delle app rilasciate prima di dicembre 2018 hanno maggiori probabilità di essere influenzate dalle modifiche che verranno introdotte con gli aggiornamento del 12 agosto. 

“Nel 2018, abbiamo iniziato a apportare modifiche alle nostre API e alla nostra infrastruttura di servizi per migliorare le prestazioni e la sicurezza. Come risultato di queste modifiche, alcune versioni precedenti delle app desktop e mobili G-Suite potrebbero smettere di funzionare il 12 agosto 2020″, osserva Google.  

Google non spiega quali saranno questi cambiamenti, ma sembrano essere correlati al fatto che Google abbia sospeso il supporto per il protocollo JSON-RPC e gli endpoint batch HTTP globali. Tutto questo era programmato per marzo senonché Google si è resa conto che alcuni clienti altamente interessati da queste modifiche potrebbero non aver ricevuto la notifica di cui vi stiamo parlando ora.

Per questo motivo, BigG ha deciso di estendere la tempistica di upgrade al 12 agosto 2020.

Mentre sembra improbabile che ci siano app iOS e Android di Google non  aggiornate dal 2018, l’avviso e la proroga sono serviti per garantire che nessun  flusso di lavoro non venga interrotto e limitare qualsiasi disservizio. 

Se hai bisogno di una Email professionale, spazio di archiviazione online e altro ancora, scegli il tuo piano G-Suite: i primi 14 giorni sono gratis.

L’ambizione, nel trattare Dati Personali, dovrebbe essere quella di mantenerli sempre crittografati. Potreste pensare di non avere segreti né niente da nascondere, quindi per quale motivo ricorrere a tecniche di crittografia? Potreste inoltre pensare che a nessuno interessino i vostri dati. Probabilmente non è così.

Ad esempio: sareste pronti a mostrare le vostre foto personali e documenti che riguardano voi e la vostra famiglia a degli estranei? Siete pronti a condividere con gli amici le informazioni finanziarie memorizzate sul vostro computer? Rendereste note al pubblico e-mail e password dei vostri account personali?

Il problema potrebbe persino essere peggiore se un’applicazione malevola infettasse il computer o il dispositivo mobile sottraendo informazioni potenzialmente preziose, numeri di conto, password e altri documenti ufficiali. Questo tipo di informazioni può portare a furti di identità, frodi o richieste di riscatto. I criminali informatici potrebbero decidere semplicemente di crittografare i dati e renderli inutilizzabili fino al pagamento di un riscatto (ramsonware).

Cos’è la crittografia? La crittografia è il processo di conversione delle informazioni in formato non leggibile da terzi non autorizzati. Solo una persona autorizzata e attendibile, in possesso della chiave o della password segreta, è in grado di decriptare i dati e accedervi nel formato originale. La crittografia in sé non evita l’intercettazione dei dati. Può soltanto impedire che persone non autorizzate visualizzino il contenuto o vi accedano.

Per crittografare file, cartelle e persino intere unità vengono utilizzati programmi software.

Encrypting File System (EFS) è una funzionalità di Microsoft Windows per la crittografia dei dati. L’EFS è direttamente collegata a un account utente specifico. Solo l’utente che ha crittografato i dati potrà accedervi una volta crittografati con EFS. Per crittografare i dati utilizzando la funzionalità EFS in tutte le versioni Windows, procedere come descritto di seguito:

Fase 1. Selezionare uno o più file o cartelle.

Fase 2. Fare clic con il pulsante destro del mouse sui dati selezionati >Proprietà.

Fase 3. Fare clic su Avanzate…

Fase 4. Selezionare la casella di controllo Crittografa contenuto per la protezione dei dati.

Fase 5. I file e le cartelle crittografati con EFS vengono visualizzati in verde come illustrato nella figura.

Buona Crittografia a tutti!

NORDVPN la Tua VPN sicura ad un prezzo speciale