Se sei arrivato qui è perchè stai cercando informazioni relative a come fare in modo che i tuoi siti web o quelli dei tuoi clienti abbiano una gestione dei COOKIE a norma.
Il 10 luglio 2021 il Garante italiano per la protezione dei dati personali ha rilasciato delle linee guida aggiornate che hanno l’obiettivo di regolamentare la giungla relativa all’utilizzo dei cookie sui siti web.
L’aggiornamento delle precedenti Linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy, ma ha le sue motivazioni anche in una serie di altri fattori: l’esperienza maturata in questi anni (in base ai numerosi reclami, segnalazioni e richieste di pareri pervenute agli Uffici) sulla non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati; il crescente uso di tracciatori particolarmente invasivi; la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati.
Per avere un banner cookie conforme al GDPR, la regola generale è quella di non costringere o “spingere” MAI i tuoi visitatori ad acconsentire al tracciamento dei loro dati, e allo stesso tempo deve essere altrettanto facile disattivare o attivare questo tracciamento.
Per fortuna, con Cookiebot di cui FinData è partner, la configurazione standard del banner cookie è già conforme al GDPR e oggi, grazie al nuovo aggiornamento, richiedere il consenso agli utenti del tuo sito web sarà ancora più semplice e flessibile.
Gratis per i piccoli siti. A pochi spiccioli per quelli più grande. More info qui https://lnkd.in/dp_w8vP oppure contattandoci direttamente.
Ti abbiamo già parlato della differenza tra PIA e DPIA. Le valutazioni dell’impatto sulla protezione dei dati possono essere utilizzate per identificare e mitigare eventuali rischi relativi alla protezione dei dati derivanti da un nuovo progetto, che potrebbero interessare l’organizzazione o le persone con cui interagisce. Di seguito ti illustriamo come e quando effettuare una DPIA.
Punti chiave
Ai sensi del GDPR, le DPIA saranno obbligatorie per qualsiasi nuovo progetto di elaborazione dati ad “alto rischio”.
Eseguire un processo DPIA ti consentirà di prendere decisioni informate sull’accettabilità dei rischi per la protezione dei dati e di comunicare efficacemente con le persone interessate.
Non tutti i rischi possono essere eliminati, ma una DPIA può consentire di identificare e mitigare i rischi per la protezione dei dati, pianificare l’implementazione di eventuali soluzioni a tali rischi e valutare la fattibilità di un progetto in una fase iniziale.
Se una DPIA non identifica misure di protezione contro rischi elevati residui, deve essere consultato il Garante per la protezione dei dati.
Una buona tenuta dei registri durante il processo DPIA può consentire di dimostrare la conformità al GDPR e ridurre al minimo il rischio che un nuovo progetto crei difficoltà legali.
Che cos’è una valutazione d’impatto sulla protezione dei dati?
Quando la tua organizzazione raccoglie, archivia o utilizza dati personali, le persone di cui stai elaborando i dati sono esposte a rischi. Questi rischi potrebbero riguardare, ad esempio, il furto o l’esposizione involontaria di dati personali che potrebbero essere utilizzati da criminali per impersonare l’interessato a scopi fraudolenti. Una valutazione dell’impatto sulla protezione dei dati (DPIA) descrive un processo progettato per identificare i rischi derivanti dal trattamento dei dati personali e ridurre al minimo questi rischi, eliminarli o mitigarli. Le DPIA sono strumenti importanti per identificare e limitare i rischi e per dimostrare la conformità al GDPR.
Questo documento presuppone che una DPIA venga condotta per un progetto definito, ovvero specifici trattamenti, piuttosto che per le operazioni di un’organizzazione nel suo insieme. Una particolare funzione della tua organizzazione, o un programma di modifiche alle operazioni della tua organizzazione nel suo insieme, può essere visto come un progetto.
Quali sono i vantaggi di condurre una DPIA?
La conduzione di una DPIA migliorerà la consapevolezza nella tua organizzazione dei rischi per la protezione dei dati associati a un progetto. Ciò contribuirà a migliorare la progettazione del trattamento e a migliorare la comunicazione sui rischi per la privacy dei dati con le parti interessate. Alcuni dei vantaggi di condurre una DPIA sono i seguenti:
Garantire e dimostrare che la tua organizzazione è conforme al GDPR (limitare e/o evita sanzioni).
Ispirare fiducia nei tuoi stakeholder migliorando le comunicazioni in relazione alla protezione dei dati.
Uno sforzo attivo nel garantire che i tuoi utenti non corrano il rischio che i loro diritti alla protezione dei dati vengano violati.
Consentire alla tua organizzazione di attuare il principio di privacy by design ovvero “protezione dei dati fin dalla progettazione”.
Ridurre i costi operativi ottimizzando i flussi di informazioni all’interno di un progetto ed eliminando la raccolta e l’elaborazione di dati non necessari.
Ridurre i rischi relativi alla protezione dei dati per la tua organizzazione.
La protezione dei dati fin dalla progettazione significa incorporare le funzionalità di protezione dei dati e le tecnologie che migliorano la protezione dei dati direttamente nella progettazione iniziale di un trattamento. Ciò contribuirà a garantire una protezione migliore e più conveniente per la privacy dei dati individuali.
La protezione dei dati by default, ovvero per impostazione predefinita, significa che le impostazioni del servizio che si propone devono essere automaticamente compatibili con la norma che regola protezione dei dati personali.
Sebbene da tempo raccomandati come buona pratica, entrambi questi principi sono sanciti dalla legge ai sensi del GDPR (articolo 25).
Come faccio a sapere se deve essere condotta una DPIA?
Ai sensi del GDPR, una DPIA è obbligatoria laddove il trattamento dei dati “può comportare un rischio elevato per i diritti e le libertà delle persone fisiche”. Ciò è particolarmente rilevante quando viene introdotta una nuova tecnologia di elaborazione dei dati. Nei casi in cui non è chiaro se una DPIA sia strettamente obbligatoria, l’esecuzione di una DPIA è ancora una buona pratica e uno strumento utile per aiutare i responsabili del trattamento a rispettare la legge sulla protezione dei dati. Insomma, nel dubbio: meglio farla!
Il GDPR fornisce alcuni esempi non esaustivi di quando il trattamento dei dati “potrebbe comportare rischi elevati”:
“Una valutazione sistematica ed ampia degli aspetti personali relativi alle persone fisiche che si basa su un trattamento automatizzato, compresa la profilazione, e sulla quale si basano le decisioni che producono effetti giuridici nei confronti della persona fisica o che incidono in modo analogo significativamente sulla persona fisica”.
“Trattamento su larga scala di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o di dati personali relativi a condanne penali e reati di cui all’articolo 10.”
“Un monitoraggio sistematico su larga scala.”
Nel valutare se il trattamento possa comportare un rischio elevato vanno considerati i seguenti criteri:
Valutazione o punteggio, compresa la profilazione e la previsione, in particolare “dagli aspetti riguardanti le prestazioni lavorative dell’interessato, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti” (considerando 71 e 91). Esempi di ciò potrebbero includere una banca che seleziona i propri clienti rispetto a un database di riferimento del credito, o un’azienda di biotecnologia che offre test genetici direttamente ai consumatori al fine di valutare e prevedere i rischi di malattia/salute, o un’azienda che crea profili comportamentali o di marketing basati sull’uso o navigazione sul suo sito web.
Processo decisionale automatizzato con effetti giuridici o analoghi significativi: trattamento volto a prendere decisioni sugli interessati che producono “effetti giuridici riguardanti la persona fisica” o che “influiscono in modo analogo significativamente sulla persona fisica” (articolo 35, paragrafo 3, lettera a)). Ad esempio, il trattamento può comportare l’esclusione o la discriminazione nei confronti delle persone fisiche. Il trattamento con effetti scarsi o nulli sugli individui non corrisponde a questo criterio specifico.
Monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, compresi i dati raccolti attraverso “un monitoraggio sistematico di un’area accessibile al pubblico” (articolo 35 (3) (c)). Questo tipo di monitoraggio è un criterio perché i dati personali possono essere raccolti in circostanze in cui gli interessati potrebbero non essere a conoscenza di chi sta raccogliendo i loro dati e come verranno utilizzati. Inoltre, potrebbe essere impossibile per le persone evitare di essere soggette a tale trattamento in frequenti spazi pubblici (o accessibili al pubblico).
Dati sensibili: comprendono categorie particolari di dati come definiti all’articolo 9 (ad esempio informazioni sulle opinioni politiche degli individui), nonché dati personali relativi a condanne penali o reati. Un esempio potrebbe essere un ospedale generale che conserva le cartelle cliniche dei pazienti o un investigatore privato che conserva i dettagli dei trasgressori. Questo criterio include anche dati che possono essere considerati più in generale come un aumento del possibile rischio per i diritti e le libertà delle persone, come dati di comunicazione elettronica, dati di localizzazione, dati finanziari (che potrebbero essere utilizzati per frode nei pagamenti). A questo proposito, il fatto che i dati siano già stati resi disponibili al pubblico può essere considerato un fattore di valutazione se si prevedeva che i dati sarebbero stati ulteriormente utilizzati per determinati scopi.
Dati trattati su larga scala: il GDPR non definisce cosa costituisce grande scala, sebbene il considerando 91 fornisca alcune indicazioni. In ogni caso, il WP29 raccomanda che i seguenti fattori, in particolare, siano presi in considerazione nel determinare se il trattamento è effettuato su larga scala:
Il numero di interessati, come numero specifico o come percentuale della popolazione interessata.
Il volume di dati e/o la gamma di diversi elementi di dati in elaborazione.
La durata, o permanenza, dell’attività di trattamento dei dati.
L’estensione geografica dell’attività di trattamento.
Insiemi di dati che sono stati abbinati o combinati, ad esempio provenienti da due o più operazioni di trattamento dei dati eseguite per scopi diversi e/o da responsabili del trattamento diversi in modo tale da superare le ragionevoli aspettative dell’interessato.
Dati relativi a soggetti vulnerabili (considerando 75): il trattamento di questo tipo di dati può richiedere una DPIA a causa del maggiore squilibrio di potere tra l’interessato e il titolare del trattamento, il che può comportare l’impossibilità per l’interessato di prestare il consenso o di opporsi al trattamento dei suoi dati. Ad esempio, i dipendenti incontrerebbero spesso serie difficoltà per opporsi al trattamento effettuato dal loro datore di lavoro, quando è legato alla gestione delle risorse umane. Allo stesso modo, i minori non possono essere considerati non in grado di opporsi o acconsentire consapevolmente e deliberatamente al trattamento dei loro dati. Ciò riguarda anche le fasce più vulnerabili della popolazione che necessitano di una protezione speciale, come, ad esempio, i malati di mente, i richiedenti asilo, o gli anziani, un paziente,
Uso innovativo o applicazione di soluzioni tecnologiche o organizzative, come combinare l’uso di impronte digitali e riconoscimento facciale per un migliore controllo dell’accesso fisico, ecc. Il GDPR chiarisce (articolo 35 (1) e considerando 89 e 91) che l’uso di una nuova tecnologia può innescare la necessità di effettuare una DPIA. Questo perché l’uso di una nuova tecnologia può comportare nuove forme di raccolta e utilizzo dei dati, possibilmente con un rischio elevato per i diritti e le libertà degli individui. In effetti, le conseguenze personali e sociali dell’impiego di una nuova tecnologia potrebbero essere sconosciute. Una DPIA aiuterà il titolare del trattamento a comprendere e trattare tali rischi. Ad esempio, alcune applicazioni “Internet of Things” potrebbero avere un impatto significativo sulla vita quotidiana e sulla privacy delle persone; e quindi richiedono una DPIA.
Trasferimento di dati al di fuori dell’Unione Europea (considerando 116), tenendo in considerazione, tra l’altro, il paese o i paesi di destinazione previsti, la possibilità di ulteriori trasferimenti o la probabilità di trasferimenti basati su deroghe per situazioni specifiche previste dal GDPR.
Quando il trattamento di per sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto” (art. 22 e considerando 91). Comprendono i trattamenti effettuati in un’area pubblica che le persone di passaggio non possono evitare oi trattamenti volti a consentire, modificare o riutilizzare l’accesso ad un servizio da parte degli interessati o la conclusione di un contratto. Un esempio di ciò è quando una banca controlla i propri clienti rispetto a un database di riferimento del credito per decidere se offrire loro un prestito.
Più criteri sono “soddisfatti” dal trattamento, più è probabile che ci sia un rischio elevato per i diritti e le libertà degli interessati e, pertanto, sia necessaria una DPIA. Se il Titolare del trattamento ritiene che un’operazione di trattamento che soddisfa almeno due di questi criteri non sia probabilmente ad alto rischio, dovrebbe documentare accuratamente i motivi per non effettuare una DPIA.
Quando non è necessaria una DPIA?
Una DPIA non è generalmente richiesta nei seguenti casi:
Laddove il trattamento “non possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35, paragrafo 1).
Quando la natura, l’ambito, il contesto e le finalità del trattamento sono molto simili al trattamento per il quale sono state effettuate le DPIA. In tali casi, possono essere utilizzati i risultati di una DPIA per un trattamento simile (articolo 35, paragrafo 1).
Quando un’operazione di trattamento ha una base giuridica nel diritto dell’UE o di uno Stato membro e ha stabilito che non è necessario eseguire una DPIA iniziale, se la legge disciplina la specifica operazione di trattamento e se una DPIA, secondo gli standard del GDPR, è già stato effettuato nell’ambito della creazione di tale base giuridica (articolo 35, paragrafo 10).
Quando il trattamento è incluso nell’elenco facoltativo (istituito dall’autorità di controllo) dei trattamenti per i quali non è richiesta la DPIA (articolo 35, paragrafo 5). Tale elenco può contenere attività di trattamento che rispettano le condizioni specificate da tale autorità, in particolare attraverso linee guida, decisioni o autorizzazioni specifiche o generali, norme di conformità, ecc. In tali casi, e previa rivalutazione da parte dell’autorità di controllo competente, una DPIA non è richiesto, ma solo se il trattamento rientra strettamente nell’ambito della relativa procedura indicata nell’elenco e continua a rispettare integralmente i relativi requisiti.
Aspetto spesso trascurata riguarda la revisione delle DPIA. L’EDPB raccomanda che tutte le DPIA siano riesaminate ogni 3 anni, o prima se le circostanze sono cambiate rapidamente.
Quando nel ciclo di vita di un progetto dovrebbe essere condotta una DPIA?
La DPIA dovrebbe essere effettuata “prima del trattamento” (Articoli 35(1) e 35(10) del GDPR, considerando 90 e 93). È generalmente buona pratica effettuare una DPIA non appena possibile nella progettazione delle attività di trattamento. Potrebbe non essere possibile condurre una DPIA all’inizio del progetto, poiché gli obiettivi del progetto e una certa comprensione di come funzionerà il progetto devono essere identificati prima che sia possibile valutare i rischi per la protezione dei dati coinvolti.
Per alcuni progetti la DPIA potrebbe dover essere un processo continuo ed essere aggiornata man mano che il progetto avanza. Il fatto che una DPIA possa dover essere aggiornata una volta che l’elaborazione è effettivamente iniziata non è un motivo valido per posticipare o non eseguire una DPIA.
Chi dovrebbe essere coinvolto nella conduzione della DPIA?
Spetta al Titolare del trattamento garantire lo svolgimento della DPIA. Può essere delegato a qualcun altro, all’interno o all’esterno dell’organizzazione, ma il Titolare del trattamento è, in ultima analisi, colui che ne risponde e ne è responsabile.
La DPIA dovrebbe essere guidata da persone con adeguate competenze e conoscenze del progetto in questione, normalmente il team di progetto. Se la tua organizzazione non possiede competenze ed esperienze interne sufficienti, o se un particolare progetto può contenere un livello di rischio molto elevato o interessare un numero molto elevato di persone, puoi prendere in considerazione l’assunzione di specialisti esterni per la consulenza o per la realizzazione la DPIA.
Un ampio processo di consultazione interna può avvantaggiare la DPIA, poiché alcuni rischi per la protezione dei dati saranno evidenti solo alle persone che lavorano su aspetti specifici del progetto. Ti consentirà inoltre di ottenere feedback da coloro il cui lavoro sarà interessato dal progetto dopo l’implementazione, come ingegneri, progettisti e sviluppatori, che avranno una conoscenza pratica delle operazioni.
Ai sensi del GDPR (articolo 35), se è stato nominato un DPO, questi venga coinvolto e gli venga chiesto un parere sulla DPIA che il Titolare avrà redatto. Il parere del DPO e le decisioni prese dovrebbero essere documentati come parte del processo DPIA. Se un responsabile del trattamento è coinvolto nel trattamento, il responsabile del trattamento dovrebbe assistere con la DPIA e fornire tutte le informazioni necessarie.
Il Responsabile della Protezione dei Dati (RPD/DPO) è una persona designata nominata da un’organizzazione per fornire consulenza sulle pratiche di protezione dei dati all’interno dell’organizzazione. Il DPO può essere un membro del personale o un fornitore di servizi esterno. Ai sensi del GDPR, la nomina di un DPO è obbligatoria nelle seguenti circostanze:
Per gli enti pubblici che effettuano il trattamento dei dati, ad eccezione dei tribunali che agiscono nella loro capacità giudiziaria
Se le attività principali dell’organizzazione consistono in trattamenti di dati che, in virtù del loro ambito e/o delle finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala; o
Le attività principali dell’organizzazione consistono nel trattamento su larga scala di categorie speciali di dati come indicato nell’articolo 9 o di dati personali relativi a condanne penali come indicato nell’articolo 10 del GDPR.
Il titolare del trattamento è tenuto a “chiedere il parere degli interessati o dei loro rappresentanti” (articolo 35, paragrafo 9), “se del caso” nell’esecuzione della DPIA.
Quali sono le fasi della realizzazione di una DPIA?
Il GDPR stabilisce le caratteristiche minime di una DPIA (articolo 35, paragrafo 7, e considerando 84 e 90):
“una descrizione delle operazioni di trattamento previste e delle finalità del trattamento”
“una valutazione della necessità e della proporzionalità del trattamento”
“come valutazione dei rischi per i diritti e le libertà degli interessati”
“le misure previste per:
“affrontare i rischi”;
“dimostrare il rispetto del GDPR”.
Il GDPR presenta un quadro ampio e generico per la progettazione e la realizzazione di una DPIA. Ciò consente la scalabilità, quindi anche i più piccoli titolari del trattamento possono progettare e implementare una DPIA; nonché per la flessibilità, in modo che il titolare del trattamento possa determinare la struttura e la forma precise della DPIA, consentendone l’adattamento alle pratiche di lavoro esistenti.
Elementi chiave di una DPIA di successo
Il GDPR non prescrive l’esatto processo per eseguire una DPIA oltre alle caratteristiche minime sopra descritte, consentendo flessibilità e scalabilità in linea con le esigenze della tua organizzazione. Sebbene non ci sia un approccio prescritto da adottare, i seguenti passaggi possono guidarti attraverso il processo:
Definire le caratteristiche del Trattamento per determinare i dettagli della valutazione dei rischi da realizzare.
Identificazione dei dati da proteggere e i relativi rischi.
Identificare soluzioni di protezione dei dati per ridurre o eliminare i rischi.
Approvazione degli esiti della DPIA.
Integrazione di soluzioni per la protezione dei dati nel progetto.
1. Identificare se è necessaria una DPIA
È possibile utilizzare i passaggi descritti nella sezione precedente “Come faccio a sapere se è necessaria una DPIA” per valutare se è necessario eseguire una DPIA. Ciò dovrebbe avvenire il prima possibile nel ciclo di vita del progetto. Dovrai anche identificare le risorse necessarie, le persone che saranno coinvolte e i tempi del processo DPIA.
L’Autorità Garante ha predisposto lo schema che trovate cliccando qui con l’obiettivo di aiutare i titolari a fare le necessarie valutazioni.
Poiché la natura e le implicazioni operative per la riservatezza dei dati di un progetto potrebbero non essere evidenti in una fase iniziale della pianificazione, la DPIA potrebbe dover essere un processo continuo e potrebbe essere necessario riesaminare o ripetere man mano che il progetto avanza.
2. Descrizione dei flussi informativi
In una fase iniziale della DPIA, dovresti identificare come si intende raccogliere, archiviare, utilizzare ed eliminare le informazioni personali come parte del progetto. Questo esercizio dovrebbe anche identificare quali tipi di informazioni saranno utilizzate come parte del progetto e chi avrà accesso alle informazioni.
Lo scopo di questo passaggio è quello di ottenere una prima comprensione di come le informazioni verranno utilizzate come parte di un trattamento in ogni fase del processo. Questo è fondamentale per essere in grado di riconoscere i rischi per la privacy dei dati che possono essere posti da un progetto e per identificare quali mezzi potrebbero essere utilizzati per mitigare tali rischi.
Dovresti inoltre considerare se il progetto genererà nuovi dati personali e includerli nella registrazione di questa fase. Ad esempio, un progetto che prevede l’elaborazione di test psicometrici potrebbe riguardare un certo tipo di informazioni personali (le risposte alle domande del test psicometrico) ed elaborarle fornendo come output un altro (un profilo psicometrico). Questo nuovo tipo di informazioni personali ha un carattere diverso, quindi registrarle separatamente nella mappa dei flussi di informazioni aiuterà a garantire che le sue caratteristiche speciali siano prese in considerazione successivamente nel processo di DPIA.
Questa parte della DPIA spesso rispecchia altri elementi del processo di progettazione del trattamento, come un esercizio generale di scoping per identificare come verrà realizzato il trattamento. Prestare attenzione nella progettazione di un trattamento di dati personali e a come le informazioni verranno utilizzate come parte del progetto può anche produrre vantaggi in termini di efficienza per la tua organizzazione, aiutandoti a semplificare i processi di gestione delle informazioni.
L’utilizzo di ausili visivi, come i diagrammi di flusso, per documentare come i dati verranno utilizzati può aiutare a identificare potenziali rischi per la privacy.
3. Identificazione dei dati da proteggere e dei relativi rischi
Questa fase prevede l’esame del trattamento che si intende effettuare per valutare quali problemi di protezione dei dati e per identificare eventuali rischi a cui potrebbero essere esposte le persone, nonché eventuali rischi relativi alla protezione dei dati che il trattamento potrebbe generare per la tua stessa organizzazione.
Esistono diversi modi in cui la privacy dei dati di un individuo può essere compromessa o messa a rischio. I rischi vanno dal “causare disagio” o “turbamento” a rischi di perdite finanziarie o danni fisici. Esistono altrettanti tipi di rischi relativi alla privacy dei dati per le organizzazioni, legati a problemi di conformità e fattori commerciali. Violazioni del GDPR, come un trattamento eccessivo dei dati o violazioni dei dati, possono portare a sanzioni significative, oltre a causare danni reputazionali alla tua organizzazione.
Per gli enti pubblici che contemplano misure di trattamento dei dati che limitano il diritto fondamentale dell’UE alla protezione dei dati ai sensi dell’articolo 8 della Carta dei diritti fondamentali dell’UE, deve essere intrapresa un’analisi dettagliata della “necessità” della misura. Le linee guida pubblicate dal Garante europeo della protezione dei dati aiuteranno i responsabili politici del settore pubblico a condurre le analisi necessarie.
Di seguito sono riportati esempi dei tipi di rischi per i quali è necessario prestare attenzione in questa fase del processo DPIA. Dovresti anche esaminare le linee guida specifiche del settore che possono essere fornite dalle autorità di regolamentazione o dai gruppi industriali nella tua area di attività, che possono evidenziare i tipi di rischio che potrebbero essere rilevanti per la tua organizzazione o specifico trattamento.
È necessario prendere nota dell’entità dei rischi individuati, tenendo conto sia della probabilità che un rischio si manifesti, sia del suo impatto. Nel valutare la gravità del rischio, è importante tenere presente la sensibilità dei dati personali da trattare, il numero di persone che potrebbero essere interessate da uno qualsiasi dei rischi individuati e il modo in cui potrebbero essere colpite.
Dovresti tenere un registro di tutti i rischi identificati in questa fase. Ciò aiuterà in seguito nel processo DPIA nella creazione di soluzioni per evitare o ridurre tali rischi. La tenuta dei registri può essere particolarmente importante in caso di indagine o audit. Una buona tenuta dei registri può aiutare a dimostrare come la tua organizzazione ha rispettato i suoi obblighi ai sensi del GDPR.
Questo esercizio di identificazione dovrebbe essere effettuato in una fase relativamente precoce della progettazione del progetto, poiché prima si possono identificare i rischi per la privacy dei dati, più facile ed economico sarà mitigarli. Tuttavia, come spiegato in precedenza, non si tratta di un esercizio una tantum; dovresti tenere sotto controllo la progettazione del trattamento durante tutto il processo DPIA per monitorare l’emergere di eventuali nuovi rischi, che possono verificarsi a causa di una modifica al trattamento o all’ambito del progetto, e per aiutare a valutare quali tecniche di riduzione del rischio funzionano.
Il punto è garantire che sia adottato un approccio metodologico per l’identificazione dei rischi e che siano conservate registrazioni di questo processo e di tutti i rischi identificati. La tua organizzazione potrebbe voler mantenere un registro dei rischi per la protezione dei dati per descrivere i rischi associati a un progetto e valutarne la probabilità e l’impatto. Potrai quindi consultare il registro in caso di eventuali modifiche al progetto, per prendere nota di eventuali misure adottate per mitigare il rischio, o eventuali rischi aggiuntivi che dovessero emergere. Questo può essere incorporato in un registro dei rischi esistente, se ne esiste uno per il progetto. I progetti su piccola scala possono adottare un approccio relativamente informale al rischio. In questi casi è ancora possibile utilizzare un registro dei rischi per la protezione dei dati, ma con le voci che riflettono l’approccio meno formale adottato.
Il registro dei rischi per la protezione dei dati dovrebbe essere aggiornato man mano che il progetto procede, per riportare eventuali soluzioni o nuovi rischi individuati.
Esempio di rischi per gli individui
Divulgazione inappropriata di dati personali all’interno dell’organizzazione a causa della mancanza di controlli adeguati.
La perdita accidentale di apparecchiature elettroniche da parte del personale dell’organizzazione può comportare il rischio di divulgazione di informazioni personali a terzi.
Violazione dei dati da parte di “hacker”.
Gli individui vulnerabili o gli individui dei quali vengono conservati dati sensibili potrebbero essere colpiti in misura molto elevata dalla divulgazione inappropriata di dati personali.
Le informazioni rilasciate in forma anonima potrebbero comportare la divulgazione di dati personali se le tecniche di anonimizzazione scelte si rivelassero non efficaci.
I dati personali trattati sono utilizzati in modo non previsto a causa di un’evoluzione nella natura del progetto.
I dati personali vengono utilizzati per scopi non previsti.
I dati personali utilizzati per prendere decisioni automatizzate possono essere considerati eccessivamente “invadenti”.
L’integrazione e/o il merge di set di dati può far sì che un responsabile o titolare del trattamento disponga di molte più informazioni sugli individui rispetto a quanto previsto dagli individui.
L’uso di tecnologie in grado di effettuare registrazioni video o audio invasive.
I dati potrebbero essere conservati più a lungo di quanto richiesto in assenza di politiche adeguate.
I dati non necessari per il progetto possono essere raccolti se non sono in atto politiche appropriate, portando a rischi inutili.
I dati possono essere trasferiti a paesi con regimi di protezione dei dati inadeguati.
Rischi aziendali
Il mancato rispetto del GDPR può comportare indagini, reclami, sanzioni amministrative, azioni penali o altre sanzioni. La mancata conduzione di una DPIA adeguata, ove appropriato, può costituire essa stessa una violazione del GDPR.
È probabile che le violazioni dei dati o il mancato rispetto delle aspettative dei clienti in merito alla privacy e ai dati personali causino un rischio reputazionale.
La sfiducia pubblica nei confronti dell’uso delle informazioni personali da parte della tua organizzazione può portare a una riluttanza da parte degli individui a trattare con la tua organizzazione.
La mancata gestione del modo in cui l’azienda conserva e utilizza le informazioni può portare a una duplicazione inefficiente o alla costosa raccolta e memorizzazione di informazioni non necessarie. L’elaborazione e la conservazione non necessarie delle informazioni possono anche esporre al rischio di non conformità con il GDPR.
Qualsiasi danno causato alle persone a causa di una cattiva gestione dei dati personali può portare a richieste di risarcimento contro la tua organizzazione. Ai sensi del GDPR potresti essere responsabile anche per danni non materiali.
Rischi di conformità
La tua organizzazione potrebbe affrontare rischi di azioni legali, sanzioni pecuniarie significative o danni alla reputazione se non rispetti il GDPR. Le persone colpite da una violazione del GDPR possono chiedere il risarcimento dei danni sia materiali che immateriali.
La mancata esecuzione di una DPIA, ove necessario, è di per sé una violazione della legislazione, nonché un’opportunità persa di identificare e mitigare i futuri rischi di conformità che un nuovo progetto potrebbe comportare.
4. Identificazione e valutazione delle soluzioni per la protezione dei dati
Questa fase segue l’identificazione dei rischi per la protezione dei dati nella fase 3, con l’obiettivo di ridurre al minimo il rischio di riservatezza dei dati associato al trattamento, per quanto possibile. Nella quasi totalità dei casi, non sarà possibile eliminare completamente i rischi per la protezione dei dati, ma l’obiettivo di questa fase è bilanciare tali rischi con gli obiettivi del progetto, per garantire che eventuali rischi accettati siano proporzionati ai risultati del trattamento. Tuttavia, ai sensi del GDPR, se permangono rischi elevati, sarà necessario consultare il Garante per la protezione dei dati, come descritto di seguito.
Le soluzioni per la protezione dei dati sono misure che possono essere adottate per ridurre la probabilità o la gravità dei rischi per la privacy dei dati che si realizzano.
Durante questa fase, dovresti cercare di identificare “soluzioni di protezione dei dati” per ridurre l’impatto del progetto sulla protezione dei dati. Dovresti farlo esaminando ciascuno dei rischi identificati come parte della fase precedente del processo DPIA e cercando di affrontarlo individualmente o come parte di una soluzione per la privacy che può affrontare insieme una serie di rischi.
In alcuni casi, le soluzioni per la protezione dei dati possono essere in grado di eliminare alcuni tipi di rischio, ad esempio abbandonando parti non necessarie del trattamento, creano rischi unici. In altri, le soluzioni per la protezione dei dati possono semplicemente mitigare il rischio o ridurre l’importanza delle violazioni dei dati, ad esempio adottando la pseudonimizzazione per ridurre il rischio di identificazione degli interessati. La natura di queste soluzioni dipenderà dai tipi di rischio individuati e dagli obiettivi del progetto. È necessario tenere un registro completo del processo, per documentare eventuali soluzioni di protezione dei dati che sono state identificate e quali rischi intendevano affrontare, nonché eventuali rischi che sono stati accettati. Questo può essere fatto in un registro dei rischi per la protezione dei dati creato al punto 3.
Questo passaggio prevede la conduzione di un esercizio di bilanciamento tra i vantaggi per gli individui e la tua organizzazione derivanti dalla protezione dei dati e i relativi rischi per tali individui e la tua organizzazione. Allo stesso modo, nel valutare se sia opportuno perseguire una particolare soluzione di protezione dei dati, è necessario soppesare i costi ei benefici di ciascuna soluzione. Ad esempio, l’anonimizzazione dei dati può aiutare a ridurre il rischio se i dati relativi a una persona identificabile vengano divulgati accidentalmente a terzi, ma è probabile che l’organizzazione costi denaro per mettere in atto un sistema di anonimizzazione e potrebbe limitare alcune delle obiettivi del progetto (se tali obiettivi dipendono dall’elaborazione di informazioni su individui identificati).
Ogni progetto avrà le sue circostanze uniche e il suo profilo di rischio, quindi non esiste una cosiddetta “taglia unica” di soluzioni da adottare per la protezione dei dati. Tuttavia, i seguenti sono esempi di soluzioni per la protezione dei dati, alcune delle quali possono essere applicate in una serie di scenari diversi:
Decidere di non raccogliere o archiviare particolari tipi di informazioni.
Mettere in atto periodi di conservazione rigorosi, progettati per ridurre al minimo la durata della conservazione dei dati personali.
Rivedere la sicurezza fisica e/o IT nella tua organizzazione o per un particolare team di progetto e apportare miglioramenti appropriati ove necessario
Condurre una formazione generale o specifica per il progetto per garantire che i dati personali siano gestiti in modo sicuro.
Creare protocolli per la gestione delle informazioni all’interno del progetto e garantire che tutto il personale interessato sia formato per operare secondo il protocollo.
Valutare la necessità di nuovi sistemi IT per elaborare e archiviare in sicurezza i dati e fornire al personale formazione su qualsiasi nuovo sistema adottato.
Valutare l’utilizzo di dati anonimi o pseudonimizzati come parte del progetto per ridurre i rischi di identificazione.
Garantire che le persone siano informate su come verranno utilizzate le loro informazioni.
Fornire un punto di contatto per gli interessati.
Se stai utilizzando processori di dati esterni, selezionando processori di dati adeguatamente esperti e mettendo in atto disposizioni legali per garantire la conformità con la legislazione sulla protezione dei dati.
Decidere di non procedere con un particolare elemento di un trattamento se i rischi per la privacy dei dati ad esso associati sono inevitabili e i benefici attesi da questa parte del progetto non possono giustificare tali rischi.
Nella maggior parte dei casi, esistono alcuni rischi per la protezione dei dati che non possono essere eliminati o ridotti. Questi rischi possono essere accettati se sono proporzionati ai risultati che si otterranno proseguendo il progetto nonostante il rischio. Qualsiasi decisione di accettare rischi per la protezione dei dati dovrebbe essere registrata nel registro dei rischi per la protezione dei dati.
In questa fase, dovresti anche assicurarti che il trattamento sia conforme alle leggi sulla protezione dei dati. In particolare, dovresti considerare se il progetto è conforme ai principi di protezione dei dati e assicurarti di avere una buona base giuridica per il trattamento dei dati personali.
5. Firma e registrazione degli esiti DPIA
L’obiettivo principale di condurre una DPIA è identificare e ridurre al minimo i rischi per la protezione dei dati coinvolti in un trattamento di dati personali. Tuttavia, come è stato sottolineato in precedenza, tenere un registro di tutti i passaggi effettuati nell’ambito della DPIA aiuterà a garantire che il processo sia completato in modo completo e a rassicurare le parti interessate che tutti i rischi per la protezione dei dati sono stati presi in considerazione. Questa registrazione scritta dovrebbe anche costituire la base per l’attuazione delle soluzioni di protezione dei dati che sono state identificate e può essere utilizzata per verificare l’attuazione di ciascuna soluzione.
È buona prassi redigere un report finale della DPIA. Questo rapporto dovrebbe riunire, in forma sintetica, la registrazione di ogni fase del processo DPIA e annotare le conclusioni di ogni fase del processo. Dovrebbe anche includere una panoramica del trattamento, spiegando perché è stato intrapreso e il processo adottato nello svolgimento della DPIA per definire i rischi e le soluzioni per la protezione dei dati che sono stati identificati come parte del processo. La tua organizzazione può decidere di pubblicare una parte del report della DPIA o una sua sintesi per il pubblico. La decisione se pubblicare o meno il rapporto avrà probabilmente un impatto su quante informazioni dettagliate vengono inserite nel report.
Una DPIA non richiede necessariamente un processo formale di approvazione, ma ciò potrebbe essere necessario se vengono raccomandate modifiche significative alla natura di un trattamento o se viene previsto di accettare rischi con impatti rilevanti.
Se i rischi per la privacy non sono in grado di essere mitigati in modo coerente con gli obiettivi di un progetto e non sarebbe proporzionato accettarli, questa fase dovrebbe essere utilizzata per rivalutare la fattibilità del trattamento che si intende avviare. In tali circostanze, un’organizzazione può decidere di modificare gli obiettivi di un progetto per consentire la mitigazione dei rischi per la protezione dei dati o abbandonare del tutto l’idea di trattamento iniziale.
6. Integrare i risultati della DPIA nel piano del progetto
Una volta sottoscritta la DPIA, è necessario mettere in atto quanto stabilito integrando le modifiche necessarie nei piani del progetto e quindi al trattamento.
Come parte dell’implementazione della DPIA dovresti valutare se le soluzioni per la protezione dei dati implementate stanno avendo l’effetto previsto di mitigare i rischi identificati. Inoltre, se il progetto mira a cambiare o espandersi nel corso della sua vita, potrebbe essere necessario valutare se sia necessaria un’ulteriore DPIA per valutare l’effetto delle modifiche sui rischi identificati per la protezione dei dati. Tale revisione può essere integrata nelle procedure esistenti della tua organizzazione.
Consultazione con il Garante per la protezione dei dati e pubblicazione della DPIA
Il Garante per la protezione dei dati deve essere consultato al termine della DPIA?
Se, durante il processo di DPIA, il Titolare ha individuato e adottato misure per mitigare eventuali rischi per i dati personali, non è necessario consultare il Garante prima di procedere con il progetto.
Se la DPIA suggerisce che i rischi identificati non possono essere gestiti e il rischio residuo rimane elevato, è necessario consultare il Garante per la protezione dei dati prima di procedere con il progetto.
Indipendentemente dal fatto che sia richiesta o meno la consultazione con il Garante, i tuoi obblighi di conservare un registro della DPIA e di aggiornarla a tempo debito rimangono.
Anche se la consultazione non è richiesta, la DPIA può essere riesaminata dal Garante in un secondo momento in caso di audit o indagine derivanti dai trattamenti che effettui.
La DPIA deve essere pubblicata?
Non è legalmente obbligatorio pubblicare la DPIA. Tuttavia, ci sono una serie di vantaggi nel farlo. La pubblicazione della DPIA può aiutare a promuovere la fiducia nel trattamento dei dati personali e dimostrare responsabilità e trasparenza, in particolare quando sono interessate le P.A..
Non è necessario che la DPIA pubblicata contenga l’intera valutazione, soprattutto quando la DPIA potrebbe presentare informazioni relative a rischi per la sicurezza o informazioni commercialmente sensibili. Potrebbe anche consistere solo in una sintesi dei principali risultati della DPIA.
L’Art. 37, par. 5 recita: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Riferimento nelle Linee guida del WP29: par. 2.5, pp. 14-16.
Precedenti decisioni del Garante
Nota del 28 luglio 2017, “Quesiti in materia di certificazione delle competenze ai fini della prestazione di consulenza in materia di protezione dei dati personali” (doc. web n. 7057222); “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”, 15 dicembre 2017 (doc. web n. 7322110).
Decisioni di altri organismi: sentenza del Tar Friuli-Venezia Giulia, sez. I, del 13 settembre 2018, n. 287; atto di segnalazione dell’Autorità garante della concorrenza e del mercato AS1636 del 2 gennaio 2020.
Questione emersa dalle verifiche effettuate dall’Autorità.
In alcuni casi, è stato riscontrato che, in ambito pubblico, il titolare del trattamento, per selezionare una figura dotata delle competenze necessarie, ha richiesto che il candidato fosse in possesso di titoli specifici, come ad esempio uno specifico titolo di studio (perlopiù la laurea in giurisprudenza), l’iscrizione ad un determinato albo professionale (spesso quello di avvocato) o particolari tipologie di certificazione (come le cc.dd. certificazioni volontarie).
I requisiti in tal modo richiesti non sono stabiliti dal Regolamento o da altre disposizioni normative, e il loro eventuale possesso non equivale, di per sé, a un’abilitazione allo svolgimento del ruolo del RPD, né può sostituire in toto la valutazione del soggetto pubblico nell’analisi del possesso dei requisiti del RPD necessari per lo svolgimento dei suoi compiti. Pertanto, escludere alcuni candidati solo perché privi di determinati titoli potrebbe apparire sproporzionato e discriminatorio, tenuto conto che tali requisiti, di per sé, non sono necessariamente in grado di dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato della funzione di RPD (ad esempio, l’avvocato che non si è mai occupato di protezione dei dati personali), potendo, invece, escludere in modo ingiustificato dalla competizione soggetti ugualmente esperti della materia, come potrebbero esserlo soggetti non iscritti all’albo degli avvocati che dimostrino di aver completato la propria preparazione anche sul versante giuridico o di avere una comprovata esperienza in materia di protezione dei dati personali.
Misure indicate
Preliminarmente, si rende necessario che l’ente pubblico valuti le qualità professionali, le conoscenze specialistiche e l’esperienza in materia di protezione dei dati personali in capo alla figura da incaricare quale RPD, tenendo conto dei trattamenti che effettua, prestando particolare cura, ad esempio, alla complessità dei trattamenti stessi, alla qualità e quantità di dati personali trattati, all’esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell’Unione europea. Ciò comporta che, in ambito pubblico, il RPD debba certamente conoscere la normativa e le prassi nazionali ed europee in materia di protezione dei dati (a partire da un’approfondita conoscenza del Regolamento), nonché possedere un’adeguata conoscenza anche delle norme e procedure amministrative che caratterizzano lo specifico settore, in quanto la liceità del trattamento dei dati personali in questo ambito dipende dalla corretta applicazione delle regole di volta in volta previste dalla disciplina di settore.
Conoscenza di norme e prassi
Per quanto concerne la conoscenza di norme e prassi in materia di protezione dei dati personali, essa può essere dimostrata, in primo luogo, attraverso una documentata esperienza professionale e/o anche attraverso la partecipazione ad attività formative specialistiche (ad esempio, master, corsi di studio e professionali, specie se risulta documentato il livello di acquisizione delle conoscenze). Rientra in questo contesto anche la certificazione volontaria acquisita sulla base della norma tecnica italiana UNI 11697 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, che può rappresentare un elemento utile di valutazione della preparazione del candidato, ma non un’abilitazione di per sé aprioristica.
Analogamente, la conoscenza specialistica sarà dimostrata dalle attività, dalle esperienze lavorative e professionali svolte, risultanti, ad esempio, dal curriculum e dalle autocertificazioni presentate. Particolare valore potrà assumere l’eventuale esperienza del candidato in organizzazioni simili a quella del titolare.
Competenze per ricoprire il ruolo di DPO
In tale contesto, preme in ogni caso evidenziare che la competenza a ricoprire il ruolo di RPD non può essere astrattamente riconosciuta in capo ad una qualsiasi figura per effetto del semplice possesso di specifici titoli (laurea, iscrizione ad un albo professionale, certificazione). Il titolare del trattamento è infatti tenuto a valutare nel complesso gli elementi previsti dall’art. 37, par. 5, del Regolamento e, qualora intenda richiedere un titolo di studio specifico, è chiamato a tenere in dovuta considerazione la proporzionalità tra quanto richiesto e la complessità del compito da svolgere nel caso concreto, comprovando le proprie scelte ai sensi degli artt. 5, par. 2, e 24 del Regolamento, a partire da un’adeguata motivazione nel provvedimento di assegnazione formale dell’incarico.
Pertanto, ne discende che, al momento della definizione dei requisiti in base ai quali individuare il soggetto da incaricare quale RPD, l’ente pubblico deve evitare restrizioni all’accesso alle selezioni che possano risultare sproporzionate e ingiustificate rispetto alla figura ritenuta necessaria, ma tenere in debita considerazione l’attinenza e la proporzionalità tra quanto richiesto (le qualità professionali di cui all’art. 37, par. 5, del Regolamento) e la complessità del compito da svolgere nel caso concreto (come il contesto in cui il RPD sarà chiamato ad operare o le caratteristiche dei trattamenti effettuati dall’ente designante).
Stiamo vivendo una rivoluzione dei cookie e della privacy per i siti web, è importante capire cosa succede e come affrontare la situazione.
Se il tuo sito web, che sia di tipo “vetrina”, “blog”, “e-commerce” o altro, riceve visitatori dai paesi dell’Unione Europea (UE), il Regolamento generale sulla protezione dei dati (GDPR) influisce sul modo in cui utilizzi i cookie per raccogliere le loro informazioni e su cosa puoi fare con queste informazioni.
Soprattutto, devi predisporre il necessario per informare i tuoi visitatori/clienti e raccogliere eventuali consensi sull’utilizzo di cookie o attività di Fingerprinting.
Come oramai quasi tutti sanno, il GDPR è un regolamento sulla protezione dei dati personali dell’UE entrato in vigore il 25 maggio 2018. Le regole europee si sono, senza alcun dubbio, poste a riferimento degli standard di protezione dei dati in tutto il mondo.
Il GDPR impone per le imprese:
Quali dati possono raccogliere sui visitatori del loro sito
Come conservare queste informazioni
Come utilizzare le informazioni
Quali politiche sulla privacy si devono implementare
Quali consensi occorre ottenere e conservare dai visitatori del sito per trattarne i dati.
Perché servono norme di conformità sul trattamento dei dati personali
L’evoluzione comportamentale degli utenti internet, sempre più disponibili a creare identità digitali come risultanti dall’accesso a molteplici servizi e funzioni disponibili (in particolare i social network), rende necessario fissare alcuni punti normativi.
Tale proliferazione di dati comporta infatti il rischio che le informazioni personali oggetto di trattamento siano raccolte incrociando altre informazioni per creare profili sempre più specifici e dettagliati.
Per questo motivo le Autorità Garanti si stanno muovendo, con diverse iniziative, per rafforzare le tutele volte a favorire e a rendere effettivo il controllo sulle informazioni personali oggetto di trattamento e, in definitiva, la capacità di autodeterminazione del singolo.
Il Regolamento UE 679/2016 prevede infatti che i consumatori siano in grado di controllare:
Chi raccoglie informazioni su di loro
Quali informazioni vengono raccolte
Come vengono utilizzate queste informazioni
Se terze parti hanno accesso a queste informazioni
Inoltre, una persona ha il diritto di revocare il consenso in qualsiasi momento. Se qualcuno decide che non vuole più che tu gestisca o memorizzi i suoi dati, devi adeguarti e agire di conseguenza. Ciò è in linea con i principi generali dell’UE in merito a trasparenza, equità, controllo individuale e processo decisionale basato sulla piena conoscenza dei fatti.
Cookie e GDPR
Poiché i cookie sono molto utilizzati, vale la pena definire cosa sono, in maniera semplice e sintetica.
Quando si visita un sito web, viene chiesto al computer o dispositivo mobile del visitatore di accettare dei cookie. I cookie sono una piccola porzione di dati che consente al sito web che visiti di ricordare te e le azioni che fai. Questo aiuta a identificare tendenze e modelli di navigazione offrendo, tra le altre cose, l’opportunità di creare dei “profili”.
Grazie ai Cookie, quindi:
Le aziende sono in grado di mostrare ai visitatori annunci pertinenti e coerenti ai loro profili di interesse;
I siti web possono memorizzare le preferenze uniche di qualcuno, il che migliora l’esperienza del visitatore;
Identifica un utente.
I cookie sono un potente strumento di marketing e le aziende online utilizzano frequentemente per il loro sviluppo. Il GDPR rende obbligatorio per le aziende essere oneste riguardo ai cookie che installano e ai dati che tracciano.
Tale onestà di intenti si materializza con una buona Cookie Policy da esporre ai propri visitatori nonché la possibilità per questi ultimi di decidere quali cookie accettare oppure no.
Adempimenti di chi ha un sito web
Al momento in cui scriviamo questo articolo, le Autorità Garanti per la protezione dei dati personali in Europa si stanno muovendo per fissare alcune linee guida, sottoponendole, in parte, anche a pubbliche consultazioni per accogliere suggerimenti e osservazioni degli addetti ai lavori. Qui trovate l’iniziativa del Garante Italiano. Qui quella del EDPB.
Andando quindi al sodo, è obbligatorio per tutti i siti web notificare ai propri utenti l’utilizzo dei cookie utilizzati sulle proprie pagine web. Non solo. Occorre anche dare la possibilità ai visitatori di acconsentire o meno alle attività di raccolta dei dati attraversi tali cookie.
Questo significa che se un sito utilizza i cookie di un certo tipo, è necessario ottenere un consenso valido prima della loro installazione. Come? Con il famoso “cookie wall”.
Occorre eseguire una serie di attività, quali, ad esempio:
mostrare un banner alla prima visita dell’utente
predisporre una cookie policy che contenga tutte le informazioni relative
dare agli utenti la possibilità di rifiutare parte dei trattamenti e, nel caso, revocare eventuali consensi già forniti.
Senza il consenso volontario ed esplicito non è possibile installare cookie, a eccezione dei cookie cosiddetti “esenti”, che sono cookie:
tecnici essenziali per l’erogazione del servizio, ovvero necessari al funzionamento del vostro sito web e che senza i quali non sarebbe possibile effettuare la navigazione delle pagine e l’utilizzo del sito stesso.
statistici gestiti direttamente dal proprietario del sito, purché i dati non vengano utilizzati per fare profilazione.
statistici di terze parte anonimi.
Per tutti gli altri tipi di cookie occorre il consenso dell’Interessato, ovvero il visitatore del sito.
Il consenso dei cookie deve soddisfare i requisiti stabiliti all’art.7 del GDPR. E’ importante che il consenso, da parte dell’interessato, venga fornito in maniera libera, specifica, informata e inequivocabile attraverso una “dichiarazione” o con una chiara azione affermativa circa quanto proposto dal titolare.
Rifiutare i cookie deve essere facile per l’utente del sito Web quanto dare il consenso ai cookie.
Il silenzio assenso, le caselle preselezionate, il procedere con la navigazione o l’inattività, non possono costituire un consenso valido per l’uso dei cookie.
Non è sufficiente informare gli utenti del sito Web come modificare le impostazioni del proprio browser per rifiutare l’utilizzo dei cookie.
Il Banner Cookie
Lo scopo del Banner Cookie serve a spiegare le finalità di installazione dei cookie utilizzati dal sito. Deve essere ben evidente e contenere il link alla “cookie policy” che può anche essere integrata alla “Privacy Policy”.
Nel banner vengono inoltre indicate chiaramente quali sono le azioni che definiscono il consenso richiesto al visitatore.
Infine, il banner e quindi la funzione che vi è dietro, assurge anche a blocco preventivo dei cookie, ovvero consentire la loro installazione solo dopo aver ottenuto il consenso dell’utente, requisito che viene meno in presenza delle tipologie di cookie già citate in precedenza (cookie “esenti”).
In che direzione vanno i grandi player
Prospetticamente, almeno da un punto di vista formale, a fronte delle azioni che gli Enti Regolatori stanno mettendo in campo per incrementare la trasparenza nei confronti degli utenti finali. I principali utilizzatori di cookie affermano di indirizzare i loro sforzi verso un mondo “cookieless”. Ad esempio, Google ha annunciato l’eliminazione dei cookie di terze parti nel suo browser Chrome entro il 2022.
In poche parole, i cookie di terze parti, che permettono di conoscere i comportamenti online degli utenti come i siti web che visitano di frequente, gli acquisti fatti, i propri interessi non saranno più supportati e quindi utilizzabili dagli editori e i proprietari di siti web, hanno vita breve.
Questo cambiamento avrà un impatto principalmente sull’open web, mentre se un sito utilizza pagine “sotto login” non dovrebbe essere alcun cambiamento drastico.
Occorre però dire che le tecnologie esistenti e utilizzate per tracciare gli utenti, proprio come i cookie di terze parti, sono diverse, tra cui:
Local Storage,
IndexedDB,
Web SQL,
qualsiasi altra tecnologia che permetta di salvare i dati sul dispositivo di un utente dai browser (come i cookie).
In più, c’è da aggiungere che da anni che altri browser (come Safari) bloccano i cookie di terze parti, ma abbiamo visto più volte che i tracker ricorrono semplicemente ad espedienti, cioè altri metodi e nuove tecnologie che rendono possibile tracciare gli utenti in modo analogo.
Ciò significa, in soldoni, che i cookie di prima parte continueranno a funzionare di default anche nei browser che bloccano i cookie di terze parti (incluso Google Chrome), e continueranno a richiedere il consenso nella maggior parte dei casi, a meno che lo scopo di un cookie non sia “strettamente necessario” per il funzionamento di base di un sito web e quindi mappato come un “cookie esente”.
I Big Player stanno ragionando ben oltre il concetto di cookie terze parti. Probabilmente mirano a creare piattaforme con standard trasparenti per il tracciamento degli utenti, tutelandone la privacy e offrendo dei trust per fornire consapevolezza e libertà di gestione dei dati agli interessati.
Il consenso è e sarà alla base del tracciamento
Il consenso, e quindi la sua raccolta e conservazione, non solo resta fondamentale nella maggior parte delle attività che riguardano i trattamenti di dati personali, ma assumerà sempre maggiore rilevanza per l’industria dell’online-advertising, tendenza tra l’altro confermata dal lancio di Google Consent Mode da parte di Google nel settembre 2020.
Il tool Google Consent Mode permette ai siti web di eseguire tutti i servizi Google sulla base del consenso degli utenti finali e offrendo quindi un primo equilibrio tra la conformità e il tracciamento informato e approvato dagli interessati.
Ultimi suggerimenti circa Cookie e Privacy per i siti web
Quando mantieni separate la tua Cookie Policy e la tua Privacy Policy, rendi più facile per gli utenti trovare le informazioni che stanno cercando.
Una Cookie Policy separata consente agli utenti di fare clic direttamente sulle informazioni sui cookie senza dover scorrere il documento sulla Privacy Policy;
I cookie sono molto importanti per l’elaborazione dei dati e dedicare una politica separata ai cookie mostra agli utenti che prendi sul serio la privacy;
È fondamentale che una politica sui cookie sia facilmente comprensibile, soprattutto da chi non ha conoscenze legali.
Per creare una Cookie Policy legalmente efficace, il documento deve includere alcune cose del tipo:
Come si utilizzano i cookie, ad esempio per mantenere un utente connesso senza reinserire la password ogni volta che visita il sito;
I tipi di cookie utilizzati nel sito, siano essi per pubblicità, analisi o comodità del cliente;
Se le informazioni vengono trasferite o utilizzate da terzi;
Come gli utenti possono rifiutare i cookie e come disattivarli;
Il consenso, che viene prestato liberamente nella piena consapevolezza di come vengono utilizzati i cookie, è alla base della normativa GDPR sui cookie. Ricorda di implementare un sistema per conservare i consensi raccolti e permettere ai visitatori del tuo sito di cambiarli.
Cookie a norma di legge
Il GDPR bilancia le esigenze del mondo degli affari con i diritti delle persone. Parte di questo equilibrio include la divulgazione di alcune informazioni sull’utilizzo dei cookie agli utenti dell’UE.
Assicurati che la tua politica sui cookie GDPR:
Sia scritta chiaramente
Rileva quali cookie raccogli, per cosa li usi e se condividi i loro dati con terze parti
Che ci sia un banner o pop-up di consenso ai cookie (se necessario)
Se non disponi di una Politica sui cookie separata, assicurati di includere una clausola sui cookie nella tua Informativa sulla privacy in cui copri le stesse. FinData è distributore autorizzato Cookiebot la soluzione di Cookie Consent Management più venduta al mondo.
Non sai se sei conforme? Verificalo velocemente utilizzando il tool gratuito di 2GDPR.
Il GDPR richiede ad alcune aziende di nominare un DPO per garantire l’elaborazione sicura dei dati e la conformità ai requisiti di protezione dei dati. Invece di assumere un dipendente, un’azienda può nominare un DPO esterno.
Nominato in ritardo il Responsabile della protezione dati e diffusi i curricula di 5000 manager
Il Garante per la privacy ha ordinato al Mise il pagamento di una sanzione di 75mila euro per non avere nominato il Responsabile della protezione dati (Rpd) entro il 28 maggio 2018, data di piena applicazione del Gdpr, e avere diffuso sul sito web istituzionale informazioni personali di oltre 5mila manager.
Per la prima volta l’Autorità ha sanzionato una Pa per non avere designato il Rdp entro il termine stabilito ed avere provveduto alla nomina e alla comunicazione al Garante dei dati di contatto con notevole ritardo. Ciò nonostante il Garante avesse, fin dal maggio 2017, avviato una articolata attività informativa rivolta a tutti i Ministeri, indicando proprio la nomina del Rpd tra le priorità da tenere in considerazione nel percorso di adeguamento al nuovo quadro giuridico del Regolamento.
La mancata nomina, è emersa nel corso di una istruttoria, aperta dall’Ufficio anche a seguito di alcune segnalazioni, con la quale è stata accertata la presenza sul sito del Ministero di una pagina web con un elenco di manager nella quale erano visibili e liberamente scaricabili i dati personali di più di cinquemila professionisti: nominativo, codice fiscale, e-mail, curriculum vitae integrale con telefono cellulare e, in alcuni casi copia del documento di riconoscimento e della tessera sanitaria. All’elenco avrebbero dovuto attingere le piccole e medie imprese, destinatarie dei voucher previsti dalla legge di bilancio 2019, per l’acquisto di consulenze volte a sostenere i processi di trasformazione tecnologica e digitale.
Dal sito era inoltre possibile scaricare anche il decreto direttoriale con il quale l’elenco era stato approvato, contenente dati e informazioni di tutti i manager. Nel rilevare l’illiceità del trattamento, il Garante ha ritenuto che il decreto direttoriale richiamato dal Mise, contrariamente a quanto da esso sostenuto, non costituisce una adeguata base normativa per la diffusione dei dati online.
L’Autorità ha ritenuto, inoltre, che la pubblicazione integrale dei curricula, senza alcun filtro, rappresenta un trattamento di dati sproporzionato, non in linea con i principi del Gdpr. Per consentire l’incontro tra la domanda delle società e l’offerta di consulenza da parte dei manager sarebbe stato sufficiente utilizzare strumenti meno invasivi rispetto alla pubblicazione sul web dei dati e delle informazioni di tutti i manager, evitando così il rischio di esporli ad utilizzi non legittimi da parte di terzi (es.: furti d’identità, profilazione illecita, phishing, ecc.). Si sarebbero potute prevedere, ad esempio, forme di accesso selettivo ad aree riservate del sito istituzionale mediante l’attribuzione di credenziali di autenticazione (es. username o password), oppure ancora tramite gli strumenti previsti dal CAD, che permettessero la consultazione solo alle Pmi interessate.
Il 2020 è stato l’anno dei data breach. Oltre mezzo miliardo di record personali sono stati considerati persi / violati a causa di attacchi informatici.
Le minacce di phishing, ransomware e malware è più grave di quanto un semplice cittadino possa immaginare. Queste minacce oggi influenzano il modo in cui facciamo business, effettuiamo transazioni finanziarie, acquisti online e persino quando comunichiamo con gli altri.
Mentre iniziare a vendere online è diventato relativamente semplice, tenere al sicuro i dati da hacking, phishing e altri attacchi informatici non lo è. È un incubo per la maggior parte degli imprenditori online.
Per i proprietari di piccole imprese, il rischio è ancora maggiore poiché la scelta delle misure di sicurezza è spesso al di là della portata delle risorse che hanno a disposizione.
Ecco 8 modi comprovati in cui una piccola impresa che fa commercio online può garantire la sicurezza a sé stessa e ai propri clienti.
1. Raccogli solo i dati che utilizzerai
Non raccogliere dati solo perché puoi. Potrebbe benissimo diventare un problema aggiuntivo in caso di data breach. l principio di minimizzazione dei dati fa parte dei principi in base ai quali si effettua il trattamento dei dati. Esso parte dall’idea che, salvo poche eccezioni, un titolare deve trattare solo i dati di cui ha realmente bisogno per raggiungere le finalità del trattamento.
Quasi tutte le landing page e i form di registrazione online sono ottimizzate per raccogliere tante informazioni. È facile raccogliere l’e-mail del cliente, il numero di telefono o anche i numeri della carta di credito. Ma prima di raccogliere e accumulare queste informazioni importanti, sarebbe opportuno domandarsi se sono davvero necessari.
Per un e-commerce, non è necessario raccogliere tutte le informazioni possibili da un cliente. Se tali informazioni sono sensibili e che, se violate, possono causare gravi perdite, problemi ai clienti e danni di immagine all’azienda, è meglio non raccoglierle.
2. Non memorizzare le informazioni sulla carta di credito del cliente
Come per il punto precedente ma con un leggero Add-On. I numeri di carta di credito e i nomi dei clienti sono essenziali per facilitare un rapido checkout. Tuttavia, non è necessario archiviarli nei server online. Archiviare informazioni così sensibili online è come raddoppiare la scommessa sulla sicurezza informatica. In effetti, è una violazione importante degli standard PCI.
Se queste informazioni sensibili vengono perse, ti ritroverai con una reputazione danneggiata e anche sanzioni legali per le perdite causate ai clienti. Come regola generale, non memorizzare online informazioni sensibili come il numero di carta di credito del cliente. Se proprio necessario e sei autorizzato, conservali in un archivio offline dove sono lontani dalla portata degli hacker. Nel caso degli e-commerce il meglio è utilizzare dei sistemi di pagamento PayPal, Stripe, ecc. per gestire l’intera transazione relativa alla carta di credito in maniera sicura e protetta.
3. HTTP + TLS= HTTPS
I certificati TLS (Transport Layer Security) standard successore del più famoso SSL (Secure Socket Layer), sono soluzioni chiavi in mano che crittografano i dati scambiati durante la navigazione delle pagine web. La crittografia TLS è la migliore forma di sicurezza online che puoi fornire ai tuoi clienti. Un certificato TLS può aiutare a impedire agli hacker di intercettare le informazioni scambiate tra un browser web e un server.
Oltre a fornire un livello di sicurezza aggiuntivo al firewall, TLS aiuta anche ad amplificare l’affidabilità del sito Web, in particolare un negozio di e-commerce. Dopo la configurazione del certificato SSL, la barra degli indirizzi del negozio evidenzierà l’URL in verde accanto al simbolo di un lucchetto verde.
La configurazione del tuo sito web con certificato TLS lo renderà anche conforme agli standard PCI DSS. Fornisce il doppio del vantaggio al costo di uno. Triste a dirsi (sembra incredibile) nel 2021 ci sono ancora siti web, anche e-commerce, in http.
4. Essere conforme allo standard PCI DSS
La conformità PCI DSS è un must per qualsiasi sito web che effettua transazioni di denaro online. Lo standard di protezione dei dati PCI è adottato da tutte le società di carte di credito del mondo. È un parametro universalmente accettato per la sicurezza dell’e-commerce che identifica un sito Web come sicuro per effettuare transazioni di denaro. I livelli di conformità PCI DSS sono i seguenti. Confronta le metriche del tuo negozio e implementa le misure di sicurezza di conseguenza:
5. Aggiorna sempre il tuo sito web
Le applicazioni e il software che non sono aggiornati alle ultime versioni sono soggetti a hacking. Possono essere facilmente penetrati da criminali informatici che sfruttano a proprio vantaggio le vulnerabilità delle versioni precedenti. Gli hacker dispongono di software in grado di eseguire la scansione dei siti Web e di rintracciare sistemi o siti Web non adeguatamente protetti. Per evitare una tale possibile perdita, il modo migliore per procedere è aggiornare le release sw man mano che vengono rilasciate dai fornitori/produttori.
6. Attenzione alle app e ai siti web falsi
Gli hacker ora stanno scrivendo app che sembrano identiche alle app originali. I clienti sono maggiormente esposti al rischio di inserire informazioni personali in APP o SITI fake/truffa.
Il modo migliore per contrastare app e siti Web falsi è fornire l’autenticazione a due fattori. L’autenticazione a due fattori garantisce che il cliente acceda e invii informazioni solo a siti Web credibili e legittimi.
7. Verifica chi ha accesso e a cosa
Secondo alcune statistiche, oltre il 62% delle fughe di dati aziendali è originata da addetti ai lavori. Gli attacchi interni sono in costante aumento dal 2014 e hanno raggiunto livelli allarmanti nel 2020.
Rivedere periodicamente chi ha accesso e a che tipo di dati, chi può apportare modifiche e controllare tali diritti di accesso, è parte integrante della sicurezza del sito web e dell’azienda nella sua interessa. Nel settore dell’e-commerce, ciò si traduce nella configurazione di controlli di accesso per amministratori, dipendenti, fornitori e clienti.
8. Richiedi password complesse ai clienti
La sicurezza del tuo e-commerce inizia dai clienti. Sono i principali custodi delle proprie informazioni riservate. La loro sicurezza inizia con password complesse che non possono essere violate facilmente.
Un negozio di e-commerce customer-oriented richiederà ai propri clienti di utilizzare password complesse che contengano un insieme di lettere, numeri e simboli.
Migliora la sicurezza del tuo sito web
Ogni anno che passa, il numero di violazioni e minacce alla sicurezza aumenta in maniera esponenziale. La necessità di attuare serie misure di sicurezza come certificati TLS, controllo dell’accesso, autenticazione a due fattori, ecc. È diventata indispensabile.
Sebbene abbiamo esposto 8 dei principali modi in cui le aziende possono migliorare la sicurezza del proprio sito Web/e-commerce, ci sono ancora altre azioni che possono essere esplorate e implementate. Tali ulteriori misure di sicurezza possono essere implementate come un nuovo inizio verso il raggiungimento della sicurezza completa dell’e-commerce.
E Tu, cosa hai fatto per rassicurare i clienti che il tuo e-commerce è sicuro?
L’European Data Protection Supervisor ha pubblicato oggi (10.02.2021) pareri sulle proposte della Commissione europea per una legge sui servizi digitali e una legge sui mercati digitali. Entrambi i pareri mirano ad aiutare i legislatori dell’UE a plasmare un futuro digitale radicato nei valori dell’UE, compresa la protezione dei diritti fondamentali delle persone, come il diritto alla protezione dei dati.
Il EDPS accoglie con favore la proposta di una legge sui servizi digitali che mira a promuovere un ambiente in linea trasparente e sicuro. Nel suo parere, l’Autorità raccomanda misure aggiuntive per proteggere meglio le persone quando si tratta di moderazione dei contenuti, pubblicità mirata online e sistemi di raccomandazione utilizzati dalle piattaforme online, come i social media e i mercati.
Wojciech Wiewiórowski del EDPS, ha dichiarato: “Prendiamo atto che la proposta non impone un obbligo generale di monitoraggio, conferma ragionevoli esenzioni di responsabilità e le integra con un sistema paneuropeo di norme di avviso e di azione, finora mancanti“.
L’EDPS sottolinea che qualsiasi forma di moderazione dei contenuti dovrebbe avvenire nel rispetto dello Stato di diritto. La profilazione ai fini della moderazione dei contenuti dovrebbe essere vietata a meno che il fornitore di servizi online non possa dimostrare che tali misure sono strettamente necessarie per affrontare i rischi sistemici esplicitamente identificati nella legge sui servizi digitali. Inoltre, i legislatori europei dovrebbero prendere in considerazione il divieto della pubblicità mirata online basata su un monitoraggio pervasivo e limitare le categorie di dati che possono essere elaborate per tali metodi pubblicitari. Nel suo parere sulla legge sui mercati digitali, l’EDPS accoglie con favore la proposta della Commissione europea che cerca di promuovere mercati digitali equi e aperti e il trattamento equo dei dati personali regolamentando le grandi piattaforme online che fungono da guardiani.
Wojciech Wiewiórowski, EDPS, ha affermato: “La concorrenza, la protezione dei consumatori e la legislazione sulla protezione dei dati sono tre settori politici inestricabilmente collegati nel contesto dell’economia delle piattaforme online. Pertanto, la relazione tra queste tre aree dovrebbe essere una relazione di complementarità, non di attrito“.
L’EDPS sottolinea l’importanza di promuovere mercati digitali competitivi in modo che le persone abbiano una scelta più ampia di piattaforme e servizi online che possono utilizzare. Dare agli utenti un controllo migliore sui propri dati personali può rafforzare la contendibilità nei mercati digitali. Una maggiore interoperabilità può aiutare ad affrontare il blocco degli utenti e, in ultima analisi, creare opportunità per i servizi per offrire una migliore protezione dei dati.
Per garantire la corretta attuazione del pacchetto della legge sui servizi digitali della Commissione europea, l’EDPS chiede una base giuridica e una struttura chiare per una più stretta cooperazione tra le autorità di controllo competenti, comprese le autorità per la protezione dei dati, le autorità per la protezione dei consumatori e le autorità garanti della concorrenza.
Il periodo di transizione per il recesso del Regno Unito dall’Unione europea terminerà il 31.12.2020. Ciò significa che a partire dal 1° gennaio 2021, il Regno Unito non applicherà più il #GDPR e sarà in vigore differente quadro giuridico, in UK, per ciò che concerne la protezione dei dati personali.
A partire dal 1.1.2021 quindi, tutti i trasferimenti di dati personali tra le parti interessate e soggette a GDPR e le entità del Regno Unito costituiranno un trasferimento di dati personali a un paese terzo e pertanto sarà soggetto a quanto previsto dal Capo V GDPR.
In assenza di una decisione di adeguatezza applicabile al Regno Unito ai sensi dell’articolo 45 GDPR, tali trasferimenti necessiteranno di adeguate garanzie (es. SSC, BCR, codici di condotta …), nonché diritti applicabili ai sensi dell’articolo 46 GDPR.
Fatte salve condizioni specifiche, potrebbe essere ancora possibile trasferire i dati personali nel Regno Unito in base a deroga di cui all’articolo 49 GDPR. Tuttavia, l’articolo 49 del GDPR ha natura eccezionale e le deroghe in esso contenute devono essere interpretate in modo restrittivo e riguardano principalmente le attività di trattamento che sono occasionali e non ripetitive.
Inoltre, se i dati personali vengono trasferiti nel Regno Unito sulla base delle garanzie dell’articolo 46 GDPR, potrebbero essere necessarie misure supplementari per portare il livello di protezione dei dati trasferiti fino allo standard UE di equivalenza essenziale, in conformità con le Raccomandazioni 01/2020 in data misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione UE di dati personali.
Titolari e / o responsabili del trattamento dovranno inoltre adempiere ad altri obblighi derivanti dal GDPR, in particolare sulla necessità di aggiornare i registri dei trattamenti e le informative sulla privacy per menzionare i trasferimenti nel Regno Unito.
L’EDPB richiama le indicazioni fornite in materia dalle autorità di vigilanza e dalla Commissione europea (CE). Le organizzazioni SEE possono rivolgersi, se necessario, alle autorità di controllo nazionali competenti per sovrintendere alle relative attività di trattamento.
Per i trasferimenti di dati dal Regno Unito al SEE, l’EDPB suggerisce di consultare regolarmente il sito web del governo britannico e il sito web dell’ICO per una guida aggiornata.
I firewall sono sistemi hardware e/o software che proteggono gli utenti finali dal traffico dannoso su Internet. Quando i dati vengono inviati su Internet, vengono fornite anche una serie di informazioni circa la provenienza e la destinazione, nonché un’indicazione su quali applicazioni riguardano i dati. I firewall analizzano i dati, quindi li eliminano se sono sospetti oppure li fanno passare se sono innocui. Ad esempio, se il firewall dovesse rilevare un flusso di dati in cui un computer “qualsiasi”, stia tentando via Internet di connettersi a uno dei computer della tua rete, eliminerà tali dati e, se opportunamente configurato, potrebbe anche avvisarti del tentativo di connessione bloccato. Tuttavia, se rileva che stai tentando di avviare una connessione a un sito Web, inoltrerà i dati al router dove alla fine raggiungerà il sito Web desiderato.
Schema installazione firewall HW
Perché ne hai bisogno?
I firewall, generalmente, non consentono connessioni all’interno della rete ma che sono state avviate dall’esterno della rete stessa, ciò a meno che non si dia una preventiva autorizzazione attraverso idonea configurazione. Questo è il motivo per cui i firewall sono così importanti per una navigazione web sicura. Senza firewall, qualsiasi applicazione in esecuzione sul computer che accetta connessioni di rete potrebbe essere connessa a chiunque su Internet. Se un utente malintenzionato è in grado di stabilire connessioni a una qualsiasi delle tue applicazioni, potrebbe potenzialmente compromettere il tuo computer se esiste una vulnerabilità di sicurezza nell’applicazione. I firewall sono una linea di difesa assolutamente essenziale per i computer utilizzati su rete Internet e assumono un ruolo fondamentale nelle organizzazioni che hanno attivato processi di smart working.
In sintesi, i firewall vengono utilizzati per proteggere il computer mentre si è connessi a Internet. Sono essenziali per prevenire intrusioni nella tua rete privata e nei PC ad essa collegati. Se si è connessi a Internet, si consiglia vivamente di posizionare il computer dietro un firewall per evitare che venga compromesso da un utente malintenzionato.
Va da sé che è necessario ricordare che un firewall senza un endpoint security è, pressoché, inutile.
