L’editore francese del “Le Figaro” è subito una sanzione di 50.000 euro dall’autorità per la protezione dei dati francese (CNIL) dopo che è stato scoperto che il suo sito Web installava cookie pubblicitari di terze parti senza il consenso degli utenti.
La Commission Nationale de l’Informatique et des Libertés (CNIL) ha imposto le sanzioni dopo che i controlli tra il 2020 e il 2021 hanno rivelato che i cookie venivano automaticamente posizionati sui computer dei visitatori del sito Web lefigaro.fr, senza che venissero avvisati o chiedendo il permesso.
Il Regolamento generale sulla protezione dei dati (GDPR) dell’UE impone che i siti web acquisiscano il permesso degli utenti prima che vengano installati i cookie con finalità di tracciamento e/o marketing, data la quantità di dati personali che raccolgono. I siti web sono inoltre tenuti a rispettare il rifiuto degli utenti se espresso. Le Figaro ha violato queste regole in quanto “non garantiva sistematicamente la raccolta del consenso”.
La multa è la più recente di una serie di sanzioni comminate dalla CNIL per violazioni della protezione dei dati, alcune delle quali sono state imposte ai giganti della tecnologia globale per milioni di euro.
Gli addetti ai lavori ritengono che il provvedimento della CNIL sia stato anche preso per fornire “un esempio per altri siti web e per far sapere all’industria che tali sanzioni non accadono solo a grandi aziende come Google e Amazon”.
Le violazioni relative ai cookie sono state al centro di una serie di recenti sentenze CNIL.
Nel novembre 2020, i rivenditori Carrefour France e Carrefour Banque sono stati colpiti rispettivamente da multe di 2,25 milioni di euro e 800.000 euro dopo essere stati scoperti per aver violato una serie di normative sulla protezione dei dati, inclusa la politica sui cookie del GDPR.
Un mese dopo, nel dicembre 2020, la CNIL ha anche emesso una serie di importanti multe contro i giganti della tecnologia Google e Amazon per mancato rispetto degli obblighi relativi ai cookie.
Google ha ricevuto una sanzione pari a 100 milioni di euro per un reato simile a quello del Le Figaro, dopo che è stato scoperto che i siti web francesi della società avevano installato cookie sui computer degli utenti senza il loro previo consenso. Google ha poi impugnato la decisione in tribunale, sia contestando i termini delle sanzioni sia contestando la giurisdizione della CNIL.
Non c’è dubbio che quello dei cookie sia un tema caldo e che presto anche gli altri garanti privacy (quello italiano incluso) passeranno all’attacco per debellare, si spera in maniera definitiva, l’utilizzo selvaggio di questo strumento del digital marketing.
Dopo le circa venti diffide inviate nel maggio 2021 e che hanno permesso di renderle conformi, il presidente della CNIL ha emesso una diffida ad altre quaranta organizzazioni che ancora non consentono agli internauti di rifiutare i cookie in maniera semplice e conforme. .
Come annunciato un mese fa, la CNIL sta perseguendo la sua strategia globale di rendere conformi i giocatori che utilizzano i cookie. Il presidente della CNIL aveva così inviato, a fine maggio, una ventina di diffide che consentivano alle organizzazioni interessate di correggere le proprie cattive pratiche. Tuttavia, alcune organizzazioni non sono ancora in regola con la normativa sui cookie. Siccome per il garante francese tale situazione non è accettabile è stato deciso deciso di adottare nuove diffide nei confronti di una quarantina di organizzazioni con pratiche non conformi fissando al 6 settembre 2021 il limite ultimo per adeguarsi.
Sono particolarmente interessati da queste comunicazioni formali:
quattro grandi piattaforme dell’economia digitale;
sei principali produttori di hardware e software per computer;
sei aziende di beni di consumo online;
due attori principali nel turismo online;
tre società di autonoleggio;
tre principali attori del settore bancario;
due importanti comunità locali;
due servizi pubblici on line;
un palyer del settore di energia.
Questa nuova campagna di verifica e segnalazione integra le procedure in corso prima della costituzione ristretta della CNIL (organo competente a pronunciare le sanzioni) e che rischiano di comportare sanzioni pecuniarie fino al 2% del fatturato.
La politica di controllo della CNIL è a lungo termine. All’inizio dell’anno scolastico saranno realizzate altre campagne di verifica e di correzione per garantire il rispetto della privacy degli internauti francesi. Questo per garantire l’efficacia del lavoro iniziato dalla CNIL da 2 anni e culminata nell’adozione di specifiche linee guida e relativa raccomandazione .
Se sei arrivato qui è perchè stai cercando informazioni relative a come fare in modo che i tuoi siti web o quelli dei tuoi clienti abbiano una gestione dei COOKIE a norma.
Il 10 luglio 2021 il Garante italiano per la protezione dei dati personali ha rilasciato delle linee guida aggiornate che hanno l’obiettivo di regolamentare la giungla relativa all’utilizzo dei cookie sui siti web.
L’aggiornamento delle precedenti Linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy, ma ha le sue motivazioni anche in una serie di altri fattori: l’esperienza maturata in questi anni (in base ai numerosi reclami, segnalazioni e richieste di pareri pervenute agli Uffici) sulla non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati; il crescente uso di tracciatori particolarmente invasivi; la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati.
Per avere un banner cookie conforme al GDPR, la regola generale è quella di non costringere o “spingere” MAI i tuoi visitatori ad acconsentire al tracciamento dei loro dati, e allo stesso tempo deve essere altrettanto facile disattivare o attivare questo tracciamento.
Per fortuna, con Cookiebot di cui FinData è partner, la configurazione standard del banner cookie è già conforme al GDPR e oggi, grazie al nuovo aggiornamento, richiedere il consenso agli utenti del tuo sito web sarà ancora più semplice e flessibile.
Gratis per i piccoli siti. A pochi spiccioli per quelli più grande. More info qui https://lnkd.in/dp_w8vP oppure contattandoci direttamente.
Ti abbiamo già parlato della differenza tra PIA e DPIA. Le valutazioni dell’impatto sulla protezione dei dati possono essere utilizzate per identificare e mitigare eventuali rischi relativi alla protezione dei dati derivanti da un nuovo progetto, che potrebbero interessare l’organizzazione o le persone con cui interagisce. Di seguito ti illustriamo come e quando effettuare una DPIA.
Punti chiave
Ai sensi del GDPR, le DPIA saranno obbligatorie per qualsiasi nuovo progetto di elaborazione dati ad “alto rischio”.
Eseguire un processo DPIA ti consentirà di prendere decisioni informate sull’accettabilità dei rischi per la protezione dei dati e di comunicare efficacemente con le persone interessate.
Non tutti i rischi possono essere eliminati, ma una DPIA può consentire di identificare e mitigare i rischi per la protezione dei dati, pianificare l’implementazione di eventuali soluzioni a tali rischi e valutare la fattibilità di un progetto in una fase iniziale.
Se una DPIA non identifica misure di protezione contro rischi elevati residui, deve essere consultato il Garante per la protezione dei dati.
Una buona tenuta dei registri durante il processo DPIA può consentire di dimostrare la conformità al GDPR e ridurre al minimo il rischio che un nuovo progetto crei difficoltà legali.
Che cos’è una valutazione d’impatto sulla protezione dei dati?
Quando la tua organizzazione raccoglie, archivia o utilizza dati personali, le persone di cui stai elaborando i dati sono esposte a rischi. Questi rischi potrebbero riguardare, ad esempio, il furto o l’esposizione involontaria di dati personali che potrebbero essere utilizzati da criminali per impersonare l’interessato a scopi fraudolenti. Una valutazione dell’impatto sulla protezione dei dati (DPIA) descrive un processo progettato per identificare i rischi derivanti dal trattamento dei dati personali e ridurre al minimo questi rischi, eliminarli o mitigarli. Le DPIA sono strumenti importanti per identificare e limitare i rischi e per dimostrare la conformità al GDPR.
Questo documento presuppone che una DPIA venga condotta per un progetto definito, ovvero specifici trattamenti, piuttosto che per le operazioni di un’organizzazione nel suo insieme. Una particolare funzione della tua organizzazione, o un programma di modifiche alle operazioni della tua organizzazione nel suo insieme, può essere visto come un progetto.
Quali sono i vantaggi di condurre una DPIA?
La conduzione di una DPIA migliorerà la consapevolezza nella tua organizzazione dei rischi per la protezione dei dati associati a un progetto. Ciò contribuirà a migliorare la progettazione del trattamento e a migliorare la comunicazione sui rischi per la privacy dei dati con le parti interessate. Alcuni dei vantaggi di condurre una DPIA sono i seguenti:
Garantire e dimostrare che la tua organizzazione è conforme al GDPR (limitare e/o evita sanzioni).
Ispirare fiducia nei tuoi stakeholder migliorando le comunicazioni in relazione alla protezione dei dati.
Uno sforzo attivo nel garantire che i tuoi utenti non corrano il rischio che i loro diritti alla protezione dei dati vengano violati.
Consentire alla tua organizzazione di attuare il principio di privacy by design ovvero “protezione dei dati fin dalla progettazione”.
Ridurre i costi operativi ottimizzando i flussi di informazioni all’interno di un progetto ed eliminando la raccolta e l’elaborazione di dati non necessari.
Ridurre i rischi relativi alla protezione dei dati per la tua organizzazione.
La protezione dei dati fin dalla progettazione significa incorporare le funzionalità di protezione dei dati e le tecnologie che migliorano la protezione dei dati direttamente nella progettazione iniziale di un trattamento. Ciò contribuirà a garantire una protezione migliore e più conveniente per la privacy dei dati individuali.
La protezione dei dati by default, ovvero per impostazione predefinita, significa che le impostazioni del servizio che si propone devono essere automaticamente compatibili con la norma che regola protezione dei dati personali.
Sebbene da tempo raccomandati come buona pratica, entrambi questi principi sono sanciti dalla legge ai sensi del GDPR (articolo 25).
Come faccio a sapere se deve essere condotta una DPIA?
Ai sensi del GDPR, una DPIA è obbligatoria laddove il trattamento dei dati “può comportare un rischio elevato per i diritti e le libertà delle persone fisiche”. Ciò è particolarmente rilevante quando viene introdotta una nuova tecnologia di elaborazione dei dati. Nei casi in cui non è chiaro se una DPIA sia strettamente obbligatoria, l’esecuzione di una DPIA è ancora una buona pratica e uno strumento utile per aiutare i responsabili del trattamento a rispettare la legge sulla protezione dei dati. Insomma, nel dubbio: meglio farla!
Il GDPR fornisce alcuni esempi non esaustivi di quando il trattamento dei dati “potrebbe comportare rischi elevati”:
“Una valutazione sistematica ed ampia degli aspetti personali relativi alle persone fisiche che si basa su un trattamento automatizzato, compresa la profilazione, e sulla quale si basano le decisioni che producono effetti giuridici nei confronti della persona fisica o che incidono in modo analogo significativamente sulla persona fisica”.
“Trattamento su larga scala di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o di dati personali relativi a condanne penali e reati di cui all’articolo 10.”
“Un monitoraggio sistematico su larga scala.”
Nel valutare se il trattamento possa comportare un rischio elevato vanno considerati i seguenti criteri:
Valutazione o punteggio, compresa la profilazione e la previsione, in particolare “dagli aspetti riguardanti le prestazioni lavorative dell’interessato, la situazione economica, la salute, le preferenze o gli interessi personali, l’affidabilità o il comportamento, l’ubicazione o gli spostamenti” (considerando 71 e 91). Esempi di ciò potrebbero includere una banca che seleziona i propri clienti rispetto a un database di riferimento del credito, o un’azienda di biotecnologia che offre test genetici direttamente ai consumatori al fine di valutare e prevedere i rischi di malattia/salute, o un’azienda che crea profili comportamentali o di marketing basati sull’uso o navigazione sul suo sito web.
Processo decisionale automatizzato con effetti giuridici o analoghi significativi: trattamento volto a prendere decisioni sugli interessati che producono “effetti giuridici riguardanti la persona fisica” o che “influiscono in modo analogo significativamente sulla persona fisica” (articolo 35, paragrafo 3, lettera a)). Ad esempio, il trattamento può comportare l’esclusione o la discriminazione nei confronti delle persone fisiche. Il trattamento con effetti scarsi o nulli sugli individui non corrisponde a questo criterio specifico.
Monitoraggio sistematico: trattamento utilizzato per osservare, monitorare o controllare gli interessati, compresi i dati raccolti attraverso “un monitoraggio sistematico di un’area accessibile al pubblico” (articolo 35 (3) (c)). Questo tipo di monitoraggio è un criterio perché i dati personali possono essere raccolti in circostanze in cui gli interessati potrebbero non essere a conoscenza di chi sta raccogliendo i loro dati e come verranno utilizzati. Inoltre, potrebbe essere impossibile per le persone evitare di essere soggette a tale trattamento in frequenti spazi pubblici (o accessibili al pubblico).
Dati sensibili: comprendono categorie particolari di dati come definiti all’articolo 9 (ad esempio informazioni sulle opinioni politiche degli individui), nonché dati personali relativi a condanne penali o reati. Un esempio potrebbe essere un ospedale generale che conserva le cartelle cliniche dei pazienti o un investigatore privato che conserva i dettagli dei trasgressori. Questo criterio include anche dati che possono essere considerati più in generale come un aumento del possibile rischio per i diritti e le libertà delle persone, come dati di comunicazione elettronica, dati di localizzazione, dati finanziari (che potrebbero essere utilizzati per frode nei pagamenti). A questo proposito, il fatto che i dati siano già stati resi disponibili al pubblico può essere considerato un fattore di valutazione se si prevedeva che i dati sarebbero stati ulteriormente utilizzati per determinati scopi.
Dati trattati su larga scala: il GDPR non definisce cosa costituisce grande scala, sebbene il considerando 91 fornisca alcune indicazioni. In ogni caso, il WP29 raccomanda che i seguenti fattori, in particolare, siano presi in considerazione nel determinare se il trattamento è effettuato su larga scala:
Il numero di interessati, come numero specifico o come percentuale della popolazione interessata.
Il volume di dati e/o la gamma di diversi elementi di dati in elaborazione.
La durata, o permanenza, dell’attività di trattamento dei dati.
L’estensione geografica dell’attività di trattamento.
Insiemi di dati che sono stati abbinati o combinati, ad esempio provenienti da due o più operazioni di trattamento dei dati eseguite per scopi diversi e/o da responsabili del trattamento diversi in modo tale da superare le ragionevoli aspettative dell’interessato.
Dati relativi a soggetti vulnerabili (considerando 75): il trattamento di questo tipo di dati può richiedere una DPIA a causa del maggiore squilibrio di potere tra l’interessato e il titolare del trattamento, il che può comportare l’impossibilità per l’interessato di prestare il consenso o di opporsi al trattamento dei suoi dati. Ad esempio, i dipendenti incontrerebbero spesso serie difficoltà per opporsi al trattamento effettuato dal loro datore di lavoro, quando è legato alla gestione delle risorse umane. Allo stesso modo, i minori non possono essere considerati non in grado di opporsi o acconsentire consapevolmente e deliberatamente al trattamento dei loro dati. Ciò riguarda anche le fasce più vulnerabili della popolazione che necessitano di una protezione speciale, come, ad esempio, i malati di mente, i richiedenti asilo, o gli anziani, un paziente,
Uso innovativo o applicazione di soluzioni tecnologiche o organizzative, come combinare l’uso di impronte digitali e riconoscimento facciale per un migliore controllo dell’accesso fisico, ecc. Il GDPR chiarisce (articolo 35 (1) e considerando 89 e 91) che l’uso di una nuova tecnologia può innescare la necessità di effettuare una DPIA. Questo perché l’uso di una nuova tecnologia può comportare nuove forme di raccolta e utilizzo dei dati, possibilmente con un rischio elevato per i diritti e le libertà degli individui. In effetti, le conseguenze personali e sociali dell’impiego di una nuova tecnologia potrebbero essere sconosciute. Una DPIA aiuterà il titolare del trattamento a comprendere e trattare tali rischi. Ad esempio, alcune applicazioni “Internet of Things” potrebbero avere un impatto significativo sulla vita quotidiana e sulla privacy delle persone; e quindi richiedono una DPIA.
Trasferimento di dati al di fuori dell’Unione Europea (considerando 116), tenendo in considerazione, tra l’altro, il paese o i paesi di destinazione previsti, la possibilità di ulteriori trasferimenti o la probabilità di trasferimenti basati su deroghe per situazioni specifiche previste dal GDPR.
Quando il trattamento di per sé “impedisce agli interessati di esercitare un diritto o di avvalersi di un servizio o di un contratto” (art. 22 e considerando 91). Comprendono i trattamenti effettuati in un’area pubblica che le persone di passaggio non possono evitare oi trattamenti volti a consentire, modificare o riutilizzare l’accesso ad un servizio da parte degli interessati o la conclusione di un contratto. Un esempio di ciò è quando una banca controlla i propri clienti rispetto a un database di riferimento del credito per decidere se offrire loro un prestito.
Più criteri sono “soddisfatti” dal trattamento, più è probabile che ci sia un rischio elevato per i diritti e le libertà degli interessati e, pertanto, sia necessaria una DPIA. Se il Titolare del trattamento ritiene che un’operazione di trattamento che soddisfa almeno due di questi criteri non sia probabilmente ad alto rischio, dovrebbe documentare accuratamente i motivi per non effettuare una DPIA.
Quando non è necessaria una DPIA?
Una DPIA non è generalmente richiesta nei seguenti casi:
Laddove il trattamento “non possa comportare un rischio elevato per i diritti e le libertà delle persone fisiche” (articolo 35, paragrafo 1).
Quando la natura, l’ambito, il contesto e le finalità del trattamento sono molto simili al trattamento per il quale sono state effettuate le DPIA. In tali casi, possono essere utilizzati i risultati di una DPIA per un trattamento simile (articolo 35, paragrafo 1).
Quando un’operazione di trattamento ha una base giuridica nel diritto dell’UE o di uno Stato membro e ha stabilito che non è necessario eseguire una DPIA iniziale, se la legge disciplina la specifica operazione di trattamento e se una DPIA, secondo gli standard del GDPR, è già stato effettuato nell’ambito della creazione di tale base giuridica (articolo 35, paragrafo 10).
Quando il trattamento è incluso nell’elenco facoltativo (istituito dall’autorità di controllo) dei trattamenti per i quali non è richiesta la DPIA (articolo 35, paragrafo 5). Tale elenco può contenere attività di trattamento che rispettano le condizioni specificate da tale autorità, in particolare attraverso linee guida, decisioni o autorizzazioni specifiche o generali, norme di conformità, ecc. In tali casi, e previa rivalutazione da parte dell’autorità di controllo competente, una DPIA non è richiesto, ma solo se il trattamento rientra strettamente nell’ambito della relativa procedura indicata nell’elenco e continua a rispettare integralmente i relativi requisiti.
Aspetto spesso trascurata riguarda la revisione delle DPIA. L’EDPB raccomanda che tutte le DPIA siano riesaminate ogni 3 anni, o prima se le circostanze sono cambiate rapidamente.
Quando nel ciclo di vita di un progetto dovrebbe essere condotta una DPIA?
La DPIA dovrebbe essere effettuata “prima del trattamento” (Articoli 35(1) e 35(10) del GDPR, considerando 90 e 93). È generalmente buona pratica effettuare una DPIA non appena possibile nella progettazione delle attività di trattamento. Potrebbe non essere possibile condurre una DPIA all’inizio del progetto, poiché gli obiettivi del progetto e una certa comprensione di come funzionerà il progetto devono essere identificati prima che sia possibile valutare i rischi per la protezione dei dati coinvolti.
Per alcuni progetti la DPIA potrebbe dover essere un processo continuo ed essere aggiornata man mano che il progetto avanza. Il fatto che una DPIA possa dover essere aggiornata una volta che l’elaborazione è effettivamente iniziata non è un motivo valido per posticipare o non eseguire una DPIA.
Chi dovrebbe essere coinvolto nella conduzione della DPIA?
Spetta al Titolare del trattamento garantire lo svolgimento della DPIA. Può essere delegato a qualcun altro, all’interno o all’esterno dell’organizzazione, ma il Titolare del trattamento è, in ultima analisi, colui che ne risponde e ne è responsabile.
La DPIA dovrebbe essere guidata da persone con adeguate competenze e conoscenze del progetto in questione, normalmente il team di progetto. Se la tua organizzazione non possiede competenze ed esperienze interne sufficienti, o se un particolare progetto può contenere un livello di rischio molto elevato o interessare un numero molto elevato di persone, puoi prendere in considerazione l’assunzione di specialisti esterni per la consulenza o per la realizzazione la DPIA.
Un ampio processo di consultazione interna può avvantaggiare la DPIA, poiché alcuni rischi per la protezione dei dati saranno evidenti solo alle persone che lavorano su aspetti specifici del progetto. Ti consentirà inoltre di ottenere feedback da coloro il cui lavoro sarà interessato dal progetto dopo l’implementazione, come ingegneri, progettisti e sviluppatori, che avranno una conoscenza pratica delle operazioni.
Ai sensi del GDPR (articolo 35), se è stato nominato un DPO, questi venga coinvolto e gli venga chiesto un parere sulla DPIA che il Titolare avrà redatto. Il parere del DPO e le decisioni prese dovrebbero essere documentati come parte del processo DPIA. Se un responsabile del trattamento è coinvolto nel trattamento, il responsabile del trattamento dovrebbe assistere con la DPIA e fornire tutte le informazioni necessarie.
Il Responsabile della Protezione dei Dati (RPD/DPO) è una persona designata nominata da un’organizzazione per fornire consulenza sulle pratiche di protezione dei dati all’interno dell’organizzazione. Il DPO può essere un membro del personale o un fornitore di servizi esterno. Ai sensi del GDPR, la nomina di un DPO è obbligatoria nelle seguenti circostanze:
Per gli enti pubblici che effettuano il trattamento dei dati, ad eccezione dei tribunali che agiscono nella loro capacità giudiziaria
Se le attività principali dell’organizzazione consistono in trattamenti di dati che, in virtù del loro ambito e/o delle finalità, richiedono un monitoraggio regolare e sistematico degli interessati su larga scala; o
Le attività principali dell’organizzazione consistono nel trattamento su larga scala di categorie speciali di dati come indicato nell’articolo 9 o di dati personali relativi a condanne penali come indicato nell’articolo 10 del GDPR.
Il titolare del trattamento è tenuto a “chiedere il parere degli interessati o dei loro rappresentanti” (articolo 35, paragrafo 9), “se del caso” nell’esecuzione della DPIA.
Quali sono le fasi della realizzazione di una DPIA?
Il GDPR stabilisce le caratteristiche minime di una DPIA (articolo 35, paragrafo 7, e considerando 84 e 90):
“una descrizione delle operazioni di trattamento previste e delle finalità del trattamento”
“una valutazione della necessità e della proporzionalità del trattamento”
“come valutazione dei rischi per i diritti e le libertà degli interessati”
“le misure previste per:
“affrontare i rischi”;
“dimostrare il rispetto del GDPR”.
Il GDPR presenta un quadro ampio e generico per la progettazione e la realizzazione di una DPIA. Ciò consente la scalabilità, quindi anche i più piccoli titolari del trattamento possono progettare e implementare una DPIA; nonché per la flessibilità, in modo che il titolare del trattamento possa determinare la struttura e la forma precise della DPIA, consentendone l’adattamento alle pratiche di lavoro esistenti.
Elementi chiave di una DPIA di successo
Il GDPR non prescrive l’esatto processo per eseguire una DPIA oltre alle caratteristiche minime sopra descritte, consentendo flessibilità e scalabilità in linea con le esigenze della tua organizzazione. Sebbene non ci sia un approccio prescritto da adottare, i seguenti passaggi possono guidarti attraverso il processo:
Definire le caratteristiche del Trattamento per determinare i dettagli della valutazione dei rischi da realizzare.
Identificazione dei dati da proteggere e i relativi rischi.
Identificare soluzioni di protezione dei dati per ridurre o eliminare i rischi.
Approvazione degli esiti della DPIA.
Integrazione di soluzioni per la protezione dei dati nel progetto.
1. Identificare se è necessaria una DPIA
È possibile utilizzare i passaggi descritti nella sezione precedente “Come faccio a sapere se è necessaria una DPIA” per valutare se è necessario eseguire una DPIA. Ciò dovrebbe avvenire il prima possibile nel ciclo di vita del progetto. Dovrai anche identificare le risorse necessarie, le persone che saranno coinvolte e i tempi del processo DPIA.
L’Autorità Garante ha predisposto lo schema che trovate cliccando qui con l’obiettivo di aiutare i titolari a fare le necessarie valutazioni.
Poiché la natura e le implicazioni operative per la riservatezza dei dati di un progetto potrebbero non essere evidenti in una fase iniziale della pianificazione, la DPIA potrebbe dover essere un processo continuo e potrebbe essere necessario riesaminare o ripetere man mano che il progetto avanza.
2. Descrizione dei flussi informativi
In una fase iniziale della DPIA, dovresti identificare come si intende raccogliere, archiviare, utilizzare ed eliminare le informazioni personali come parte del progetto. Questo esercizio dovrebbe anche identificare quali tipi di informazioni saranno utilizzate come parte del progetto e chi avrà accesso alle informazioni.
Lo scopo di questo passaggio è quello di ottenere una prima comprensione di come le informazioni verranno utilizzate come parte di un trattamento in ogni fase del processo. Questo è fondamentale per essere in grado di riconoscere i rischi per la privacy dei dati che possono essere posti da un progetto e per identificare quali mezzi potrebbero essere utilizzati per mitigare tali rischi.
Dovresti inoltre considerare se il progetto genererà nuovi dati personali e includerli nella registrazione di questa fase. Ad esempio, un progetto che prevede l’elaborazione di test psicometrici potrebbe riguardare un certo tipo di informazioni personali (le risposte alle domande del test psicometrico) ed elaborarle fornendo come output un altro (un profilo psicometrico). Questo nuovo tipo di informazioni personali ha un carattere diverso, quindi registrarle separatamente nella mappa dei flussi di informazioni aiuterà a garantire che le sue caratteristiche speciali siano prese in considerazione successivamente nel processo di DPIA.
Questa parte della DPIA spesso rispecchia altri elementi del processo di progettazione del trattamento, come un esercizio generale di scoping per identificare come verrà realizzato il trattamento. Prestare attenzione nella progettazione di un trattamento di dati personali e a come le informazioni verranno utilizzate come parte del progetto può anche produrre vantaggi in termini di efficienza per la tua organizzazione, aiutandoti a semplificare i processi di gestione delle informazioni.
L’utilizzo di ausili visivi, come i diagrammi di flusso, per documentare come i dati verranno utilizzati può aiutare a identificare potenziali rischi per la privacy.
3. Identificazione dei dati da proteggere e dei relativi rischi
Questa fase prevede l’esame del trattamento che si intende effettuare per valutare quali problemi di protezione dei dati e per identificare eventuali rischi a cui potrebbero essere esposte le persone, nonché eventuali rischi relativi alla protezione dei dati che il trattamento potrebbe generare per la tua stessa organizzazione.
Esistono diversi modi in cui la privacy dei dati di un individuo può essere compromessa o messa a rischio. I rischi vanno dal “causare disagio” o “turbamento” a rischi di perdite finanziarie o danni fisici. Esistono altrettanti tipi di rischi relativi alla privacy dei dati per le organizzazioni, legati a problemi di conformità e fattori commerciali. Violazioni del GDPR, come un trattamento eccessivo dei dati o violazioni dei dati, possono portare a sanzioni significative, oltre a causare danni reputazionali alla tua organizzazione.
Per gli enti pubblici che contemplano misure di trattamento dei dati che limitano il diritto fondamentale dell’UE alla protezione dei dati ai sensi dell’articolo 8 della Carta dei diritti fondamentali dell’UE, deve essere intrapresa un’analisi dettagliata della “necessità” della misura. Le linee guida pubblicate dal Garante europeo della protezione dei dati aiuteranno i responsabili politici del settore pubblico a condurre le analisi necessarie.
Di seguito sono riportati esempi dei tipi di rischi per i quali è necessario prestare attenzione in questa fase del processo DPIA. Dovresti anche esaminare le linee guida specifiche del settore che possono essere fornite dalle autorità di regolamentazione o dai gruppi industriali nella tua area di attività, che possono evidenziare i tipi di rischio che potrebbero essere rilevanti per la tua organizzazione o specifico trattamento.
È necessario prendere nota dell’entità dei rischi individuati, tenendo conto sia della probabilità che un rischio si manifesti, sia del suo impatto. Nel valutare la gravità del rischio, è importante tenere presente la sensibilità dei dati personali da trattare, il numero di persone che potrebbero essere interessate da uno qualsiasi dei rischi individuati e il modo in cui potrebbero essere colpite.
Dovresti tenere un registro di tutti i rischi identificati in questa fase. Ciò aiuterà in seguito nel processo DPIA nella creazione di soluzioni per evitare o ridurre tali rischi. La tenuta dei registri può essere particolarmente importante in caso di indagine o audit. Una buona tenuta dei registri può aiutare a dimostrare come la tua organizzazione ha rispettato i suoi obblighi ai sensi del GDPR.
Questo esercizio di identificazione dovrebbe essere effettuato in una fase relativamente precoce della progettazione del progetto, poiché prima si possono identificare i rischi per la privacy dei dati, più facile ed economico sarà mitigarli. Tuttavia, come spiegato in precedenza, non si tratta di un esercizio una tantum; dovresti tenere sotto controllo la progettazione del trattamento durante tutto il processo DPIA per monitorare l’emergere di eventuali nuovi rischi, che possono verificarsi a causa di una modifica al trattamento o all’ambito del progetto, e per aiutare a valutare quali tecniche di riduzione del rischio funzionano.
Il punto è garantire che sia adottato un approccio metodologico per l’identificazione dei rischi e che siano conservate registrazioni di questo processo e di tutti i rischi identificati. La tua organizzazione potrebbe voler mantenere un registro dei rischi per la protezione dei dati per descrivere i rischi associati a un progetto e valutarne la probabilità e l’impatto. Potrai quindi consultare il registro in caso di eventuali modifiche al progetto, per prendere nota di eventuali misure adottate per mitigare il rischio, o eventuali rischi aggiuntivi che dovessero emergere. Questo può essere incorporato in un registro dei rischi esistente, se ne esiste uno per il progetto. I progetti su piccola scala possono adottare un approccio relativamente informale al rischio. In questi casi è ancora possibile utilizzare un registro dei rischi per la protezione dei dati, ma con le voci che riflettono l’approccio meno formale adottato.
Il registro dei rischi per la protezione dei dati dovrebbe essere aggiornato man mano che il progetto procede, per riportare eventuali soluzioni o nuovi rischi individuati.
Esempio di rischi per gli individui
Divulgazione inappropriata di dati personali all’interno dell’organizzazione a causa della mancanza di controlli adeguati.
La perdita accidentale di apparecchiature elettroniche da parte del personale dell’organizzazione può comportare il rischio di divulgazione di informazioni personali a terzi.
Violazione dei dati da parte di “hacker”.
Gli individui vulnerabili o gli individui dei quali vengono conservati dati sensibili potrebbero essere colpiti in misura molto elevata dalla divulgazione inappropriata di dati personali.
Le informazioni rilasciate in forma anonima potrebbero comportare la divulgazione di dati personali se le tecniche di anonimizzazione scelte si rivelassero non efficaci.
I dati personali trattati sono utilizzati in modo non previsto a causa di un’evoluzione nella natura del progetto.
I dati personali vengono utilizzati per scopi non previsti.
I dati personali utilizzati per prendere decisioni automatizzate possono essere considerati eccessivamente “invadenti”.
L’integrazione e/o il merge di set di dati può far sì che un responsabile o titolare del trattamento disponga di molte più informazioni sugli individui rispetto a quanto previsto dagli individui.
L’uso di tecnologie in grado di effettuare registrazioni video o audio invasive.
I dati potrebbero essere conservati più a lungo di quanto richiesto in assenza di politiche adeguate.
I dati non necessari per il progetto possono essere raccolti se non sono in atto politiche appropriate, portando a rischi inutili.
I dati possono essere trasferiti a paesi con regimi di protezione dei dati inadeguati.
Rischi aziendali
Il mancato rispetto del GDPR può comportare indagini, reclami, sanzioni amministrative, azioni penali o altre sanzioni. La mancata conduzione di una DPIA adeguata, ove appropriato, può costituire essa stessa una violazione del GDPR.
È probabile che le violazioni dei dati o il mancato rispetto delle aspettative dei clienti in merito alla privacy e ai dati personali causino un rischio reputazionale.
La sfiducia pubblica nei confronti dell’uso delle informazioni personali da parte della tua organizzazione può portare a una riluttanza da parte degli individui a trattare con la tua organizzazione.
La mancata gestione del modo in cui l’azienda conserva e utilizza le informazioni può portare a una duplicazione inefficiente o alla costosa raccolta e memorizzazione di informazioni non necessarie. L’elaborazione e la conservazione non necessarie delle informazioni possono anche esporre al rischio di non conformità con il GDPR.
Qualsiasi danno causato alle persone a causa di una cattiva gestione dei dati personali può portare a richieste di risarcimento contro la tua organizzazione. Ai sensi del GDPR potresti essere responsabile anche per danni non materiali.
Rischi di conformità
La tua organizzazione potrebbe affrontare rischi di azioni legali, sanzioni pecuniarie significative o danni alla reputazione se non rispetti il GDPR. Le persone colpite da una violazione del GDPR possono chiedere il risarcimento dei danni sia materiali che immateriali.
La mancata esecuzione di una DPIA, ove necessario, è di per sé una violazione della legislazione, nonché un’opportunità persa di identificare e mitigare i futuri rischi di conformità che un nuovo progetto potrebbe comportare.
4. Identificazione e valutazione delle soluzioni per la protezione dei dati
Questa fase segue l’identificazione dei rischi per la protezione dei dati nella fase 3, con l’obiettivo di ridurre al minimo il rischio di riservatezza dei dati associato al trattamento, per quanto possibile. Nella quasi totalità dei casi, non sarà possibile eliminare completamente i rischi per la protezione dei dati, ma l’obiettivo di questa fase è bilanciare tali rischi con gli obiettivi del progetto, per garantire che eventuali rischi accettati siano proporzionati ai risultati del trattamento. Tuttavia, ai sensi del GDPR, se permangono rischi elevati, sarà necessario consultare il Garante per la protezione dei dati, come descritto di seguito.
Le soluzioni per la protezione dei dati sono misure che possono essere adottate per ridurre la probabilità o la gravità dei rischi per la privacy dei dati che si realizzano.
Durante questa fase, dovresti cercare di identificare “soluzioni di protezione dei dati” per ridurre l’impatto del progetto sulla protezione dei dati. Dovresti farlo esaminando ciascuno dei rischi identificati come parte della fase precedente del processo DPIA e cercando di affrontarlo individualmente o come parte di una soluzione per la privacy che può affrontare insieme una serie di rischi.
In alcuni casi, le soluzioni per la protezione dei dati possono essere in grado di eliminare alcuni tipi di rischio, ad esempio abbandonando parti non necessarie del trattamento, creano rischi unici. In altri, le soluzioni per la protezione dei dati possono semplicemente mitigare il rischio o ridurre l’importanza delle violazioni dei dati, ad esempio adottando la pseudonimizzazione per ridurre il rischio di identificazione degli interessati. La natura di queste soluzioni dipenderà dai tipi di rischio individuati e dagli obiettivi del progetto. È necessario tenere un registro completo del processo, per documentare eventuali soluzioni di protezione dei dati che sono state identificate e quali rischi intendevano affrontare, nonché eventuali rischi che sono stati accettati. Questo può essere fatto in un registro dei rischi per la protezione dei dati creato al punto 3.
Questo passaggio prevede la conduzione di un esercizio di bilanciamento tra i vantaggi per gli individui e la tua organizzazione derivanti dalla protezione dei dati e i relativi rischi per tali individui e la tua organizzazione. Allo stesso modo, nel valutare se sia opportuno perseguire una particolare soluzione di protezione dei dati, è necessario soppesare i costi ei benefici di ciascuna soluzione. Ad esempio, l’anonimizzazione dei dati può aiutare a ridurre il rischio se i dati relativi a una persona identificabile vengano divulgati accidentalmente a terzi, ma è probabile che l’organizzazione costi denaro per mettere in atto un sistema di anonimizzazione e potrebbe limitare alcune delle obiettivi del progetto (se tali obiettivi dipendono dall’elaborazione di informazioni su individui identificati).
Ogni progetto avrà le sue circostanze uniche e il suo profilo di rischio, quindi non esiste una cosiddetta “taglia unica” di soluzioni da adottare per la protezione dei dati. Tuttavia, i seguenti sono esempi di soluzioni per la protezione dei dati, alcune delle quali possono essere applicate in una serie di scenari diversi:
Decidere di non raccogliere o archiviare particolari tipi di informazioni.
Mettere in atto periodi di conservazione rigorosi, progettati per ridurre al minimo la durata della conservazione dei dati personali.
Rivedere la sicurezza fisica e/o IT nella tua organizzazione o per un particolare team di progetto e apportare miglioramenti appropriati ove necessario
Condurre una formazione generale o specifica per il progetto per garantire che i dati personali siano gestiti in modo sicuro.
Creare protocolli per la gestione delle informazioni all’interno del progetto e garantire che tutto il personale interessato sia formato per operare secondo il protocollo.
Valutare la necessità di nuovi sistemi IT per elaborare e archiviare in sicurezza i dati e fornire al personale formazione su qualsiasi nuovo sistema adottato.
Valutare l’utilizzo di dati anonimi o pseudonimizzati come parte del progetto per ridurre i rischi di identificazione.
Garantire che le persone siano informate su come verranno utilizzate le loro informazioni.
Fornire un punto di contatto per gli interessati.
Se stai utilizzando processori di dati esterni, selezionando processori di dati adeguatamente esperti e mettendo in atto disposizioni legali per garantire la conformità con la legislazione sulla protezione dei dati.
Decidere di non procedere con un particolare elemento di un trattamento se i rischi per la privacy dei dati ad esso associati sono inevitabili e i benefici attesi da questa parte del progetto non possono giustificare tali rischi.
Nella maggior parte dei casi, esistono alcuni rischi per la protezione dei dati che non possono essere eliminati o ridotti. Questi rischi possono essere accettati se sono proporzionati ai risultati che si otterranno proseguendo il progetto nonostante il rischio. Qualsiasi decisione di accettare rischi per la protezione dei dati dovrebbe essere registrata nel registro dei rischi per la protezione dei dati.
In questa fase, dovresti anche assicurarti che il trattamento sia conforme alle leggi sulla protezione dei dati. In particolare, dovresti considerare se il progetto è conforme ai principi di protezione dei dati e assicurarti di avere una buona base giuridica per il trattamento dei dati personali.
5. Firma e registrazione degli esiti DPIA
L’obiettivo principale di condurre una DPIA è identificare e ridurre al minimo i rischi per la protezione dei dati coinvolti in un trattamento di dati personali. Tuttavia, come è stato sottolineato in precedenza, tenere un registro di tutti i passaggi effettuati nell’ambito della DPIA aiuterà a garantire che il processo sia completato in modo completo e a rassicurare le parti interessate che tutti i rischi per la protezione dei dati sono stati presi in considerazione. Questa registrazione scritta dovrebbe anche costituire la base per l’attuazione delle soluzioni di protezione dei dati che sono state identificate e può essere utilizzata per verificare l’attuazione di ciascuna soluzione.
È buona prassi redigere un report finale della DPIA. Questo rapporto dovrebbe riunire, in forma sintetica, la registrazione di ogni fase del processo DPIA e annotare le conclusioni di ogni fase del processo. Dovrebbe anche includere una panoramica del trattamento, spiegando perché è stato intrapreso e il processo adottato nello svolgimento della DPIA per definire i rischi e le soluzioni per la protezione dei dati che sono stati identificati come parte del processo. La tua organizzazione può decidere di pubblicare una parte del report della DPIA o una sua sintesi per il pubblico. La decisione se pubblicare o meno il rapporto avrà probabilmente un impatto su quante informazioni dettagliate vengono inserite nel report.
Una DPIA non richiede necessariamente un processo formale di approvazione, ma ciò potrebbe essere necessario se vengono raccomandate modifiche significative alla natura di un trattamento o se viene previsto di accettare rischi con impatti rilevanti.
Se i rischi per la privacy non sono in grado di essere mitigati in modo coerente con gli obiettivi di un progetto e non sarebbe proporzionato accettarli, questa fase dovrebbe essere utilizzata per rivalutare la fattibilità del trattamento che si intende avviare. In tali circostanze, un’organizzazione può decidere di modificare gli obiettivi di un progetto per consentire la mitigazione dei rischi per la protezione dei dati o abbandonare del tutto l’idea di trattamento iniziale.
6. Integrare i risultati della DPIA nel piano del progetto
Una volta sottoscritta la DPIA, è necessario mettere in atto quanto stabilito integrando le modifiche necessarie nei piani del progetto e quindi al trattamento.
Come parte dell’implementazione della DPIA dovresti valutare se le soluzioni per la protezione dei dati implementate stanno avendo l’effetto previsto di mitigare i rischi identificati. Inoltre, se il progetto mira a cambiare o espandersi nel corso della sua vita, potrebbe essere necessario valutare se sia necessaria un’ulteriore DPIA per valutare l’effetto delle modifiche sui rischi identificati per la protezione dei dati. Tale revisione può essere integrata nelle procedure esistenti della tua organizzazione.
Consultazione con il Garante per la protezione dei dati e pubblicazione della DPIA
Il Garante per la protezione dei dati deve essere consultato al termine della DPIA?
Se, durante il processo di DPIA, il Titolare ha individuato e adottato misure per mitigare eventuali rischi per i dati personali, non è necessario consultare il Garante prima di procedere con il progetto.
Se la DPIA suggerisce che i rischi identificati non possono essere gestiti e il rischio residuo rimane elevato, è necessario consultare il Garante per la protezione dei dati prima di procedere con il progetto.
Indipendentemente dal fatto che sia richiesta o meno la consultazione con il Garante, i tuoi obblighi di conservare un registro della DPIA e di aggiornarla a tempo debito rimangono.
Anche se la consultazione non è richiesta, la DPIA può essere riesaminata dal Garante in un secondo momento in caso di audit o indagine derivanti dai trattamenti che effettui.
La DPIA deve essere pubblicata?
Non è legalmente obbligatorio pubblicare la DPIA. Tuttavia, ci sono una serie di vantaggi nel farlo. La pubblicazione della DPIA può aiutare a promuovere la fiducia nel trattamento dei dati personali e dimostrare responsabilità e trasparenza, in particolare quando sono interessate le P.A..
Non è necessario che la DPIA pubblicata contenga l’intera valutazione, soprattutto quando la DPIA potrebbe presentare informazioni relative a rischi per la sicurezza o informazioni commercialmente sensibili. Potrebbe anche consistere solo in una sintesi dei principali risultati della DPIA.
Green pass Campania: il Garante pubblica il suo “avvertimento” nei confronti della Regione e degli altri enti che stavano attivando iniziative analoghe
L’Art. 37, par. 5 recita: “Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39”. Riferimento nelle Linee guida del WP29: par. 2.5, pp. 14-16.
Precedenti decisioni del Garante
Nota del 28 luglio 2017, “Quesiti in materia di certificazione delle competenze ai fini della prestazione di consulenza in materia di protezione dei dati personali” (doc. web n. 7057222); “Faq sul Responsabile della Protezione dei dati (RPD) in ambito pubblico”, 15 dicembre 2017 (doc. web n. 7322110).
Decisioni di altri organismi: sentenza del Tar Friuli-Venezia Giulia, sez. I, del 13 settembre 2018, n. 287; atto di segnalazione dell’Autorità garante della concorrenza e del mercato AS1636 del 2 gennaio 2020.
Questione emersa dalle verifiche effettuate dall’Autorità.
In alcuni casi, è stato riscontrato che, in ambito pubblico, il titolare del trattamento, per selezionare una figura dotata delle competenze necessarie, ha richiesto che il candidato fosse in possesso di titoli specifici, come ad esempio uno specifico titolo di studio (perlopiù la laurea in giurisprudenza), l’iscrizione ad un determinato albo professionale (spesso quello di avvocato) o particolari tipologie di certificazione (come le cc.dd. certificazioni volontarie).
I requisiti in tal modo richiesti non sono stabiliti dal Regolamento o da altre disposizioni normative, e il loro eventuale possesso non equivale, di per sé, a un’abilitazione allo svolgimento del ruolo del RPD, né può sostituire in toto la valutazione del soggetto pubblico nell’analisi del possesso dei requisiti del RPD necessari per lo svolgimento dei suoi compiti. Pertanto, escludere alcuni candidati solo perché privi di determinati titoli potrebbe apparire sproporzionato e discriminatorio, tenuto conto che tali requisiti, di per sé, non sono necessariamente in grado di dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato della funzione di RPD (ad esempio, l’avvocato che non si è mai occupato di protezione dei dati personali), potendo, invece, escludere in modo ingiustificato dalla competizione soggetti ugualmente esperti della materia, come potrebbero esserlo soggetti non iscritti all’albo degli avvocati che dimostrino di aver completato la propria preparazione anche sul versante giuridico o di avere una comprovata esperienza in materia di protezione dei dati personali.
Misure indicate
Preliminarmente, si rende necessario che l’ente pubblico valuti le qualità professionali, le conoscenze specialistiche e l’esperienza in materia di protezione dei dati personali in capo alla figura da incaricare quale RPD, tenendo conto dei trattamenti che effettua, prestando particolare cura, ad esempio, alla complessità dei trattamenti stessi, alla qualità e quantità di dati personali trattati, all’esistenza di trasferimenti sistematici ovvero occasionali di dati personali al di fuori dell’Unione europea. Ciò comporta che, in ambito pubblico, il RPD debba certamente conoscere la normativa e le prassi nazionali ed europee in materia di protezione dei dati (a partire da un’approfondita conoscenza del Regolamento), nonché possedere un’adeguata conoscenza anche delle norme e procedure amministrative che caratterizzano lo specifico settore, in quanto la liceità del trattamento dei dati personali in questo ambito dipende dalla corretta applicazione delle regole di volta in volta previste dalla disciplina di settore.
Conoscenza di norme e prassi
Per quanto concerne la conoscenza di norme e prassi in materia di protezione dei dati personali, essa può essere dimostrata, in primo luogo, attraverso una documentata esperienza professionale e/o anche attraverso la partecipazione ad attività formative specialistiche (ad esempio, master, corsi di studio e professionali, specie se risulta documentato il livello di acquisizione delle conoscenze). Rientra in questo contesto anche la certificazione volontaria acquisita sulla base della norma tecnica italiana UNI 11697 “Attività professionali non regolamentate – Profili professionali relativi al trattamento e alla protezione dei dati personali – Requisiti di conoscenza, abilità e competenza”, che può rappresentare un elemento utile di valutazione della preparazione del candidato, ma non un’abilitazione di per sé aprioristica.
Analogamente, la conoscenza specialistica sarà dimostrata dalle attività, dalle esperienze lavorative e professionali svolte, risultanti, ad esempio, dal curriculum e dalle autocertificazioni presentate. Particolare valore potrà assumere l’eventuale esperienza del candidato in organizzazioni simili a quella del titolare.
Competenze per ricoprire il ruolo di DPO
In tale contesto, preme in ogni caso evidenziare che la competenza a ricoprire il ruolo di RPD non può essere astrattamente riconosciuta in capo ad una qualsiasi figura per effetto del semplice possesso di specifici titoli (laurea, iscrizione ad un albo professionale, certificazione). Il titolare del trattamento è infatti tenuto a valutare nel complesso gli elementi previsti dall’art. 37, par. 5, del Regolamento e, qualora intenda richiedere un titolo di studio specifico, è chiamato a tenere in dovuta considerazione la proporzionalità tra quanto richiesto e la complessità del compito da svolgere nel caso concreto, comprovando le proprie scelte ai sensi degli artt. 5, par. 2, e 24 del Regolamento, a partire da un’adeguata motivazione nel provvedimento di assegnazione formale dell’incarico.
Pertanto, ne discende che, al momento della definizione dei requisiti in base ai quali individuare il soggetto da incaricare quale RPD, l’ente pubblico deve evitare restrizioni all’accesso alle selezioni che possano risultare sproporzionate e ingiustificate rispetto alla figura ritenuta necessaria, ma tenere in debita considerazione l’attinenza e la proporzionalità tra quanto richiesto (le qualità professionali di cui all’art. 37, par. 5, del Regolamento) e la complessità del compito da svolgere nel caso concreto (come il contesto in cui il RPD sarà chiamato ad operare o le caratteristiche dei trattamenti effettuati dall’ente designante).
Se sei un medico o lavori nel settore della cura alla persona, questo segue è un articolo che ti permetterà di capire se stai trattando i dati dei tuoi pazienti nella maniera corretta.
Stiamo vivendo una rivoluzione dei cookie e della privacy per i siti web, è importante capire cosa succede e come affrontare la situazione.
Se il tuo sito web, che sia di tipo “vetrina”, “blog”, “e-commerce” o altro, riceve visitatori dai paesi dell’Unione Europea (UE), il Regolamento generale sulla protezione dei dati (GDPR) influisce sul modo in cui utilizzi i cookie per raccogliere le loro informazioni e su cosa puoi fare con queste informazioni.
Soprattutto, devi predisporre il necessario per informare i tuoi visitatori/clienti e raccogliere eventuali consensi sull’utilizzo di cookie o attività di Fingerprinting.
Come oramai quasi tutti sanno, il GDPR è un regolamento sulla protezione dei dati personali dell’UE entrato in vigore il 25 maggio 2018. Le regole europee si sono, senza alcun dubbio, poste a riferimento degli standard di protezione dei dati in tutto il mondo.
Il GDPR impone per le imprese:
Quali dati possono raccogliere sui visitatori del loro sito
Come conservare queste informazioni
Come utilizzare le informazioni
Quali politiche sulla privacy si devono implementare
Quali consensi occorre ottenere e conservare dai visitatori del sito per trattarne i dati.
Perché servono norme di conformità sul trattamento dei dati personali
L’evoluzione comportamentale degli utenti internet, sempre più disponibili a creare identità digitali come risultanti dall’accesso a molteplici servizi e funzioni disponibili (in particolare i social network), rende necessario fissare alcuni punti normativi.
Tale proliferazione di dati comporta infatti il rischio che le informazioni personali oggetto di trattamento siano raccolte incrociando altre informazioni per creare profili sempre più specifici e dettagliati.
Per questo motivo le Autorità Garanti si stanno muovendo, con diverse iniziative, per rafforzare le tutele volte a favorire e a rendere effettivo il controllo sulle informazioni personali oggetto di trattamento e, in definitiva, la capacità di autodeterminazione del singolo.
Il Regolamento UE 679/2016 prevede infatti che i consumatori siano in grado di controllare:
Chi raccoglie informazioni su di loro
Quali informazioni vengono raccolte
Come vengono utilizzate queste informazioni
Se terze parti hanno accesso a queste informazioni
Inoltre, una persona ha il diritto di revocare il consenso in qualsiasi momento. Se qualcuno decide che non vuole più che tu gestisca o memorizzi i suoi dati, devi adeguarti e agire di conseguenza. Ciò è in linea con i principi generali dell’UE in merito a trasparenza, equità, controllo individuale e processo decisionale basato sulla piena conoscenza dei fatti.
Cookie e GDPR
Poiché i cookie sono molto utilizzati, vale la pena definire cosa sono, in maniera semplice e sintetica.
Quando si visita un sito web, viene chiesto al computer o dispositivo mobile del visitatore di accettare dei cookie. I cookie sono una piccola porzione di dati che consente al sito web che visiti di ricordare te e le azioni che fai. Questo aiuta a identificare tendenze e modelli di navigazione offrendo, tra le altre cose, l’opportunità di creare dei “profili”.
Grazie ai Cookie, quindi:
Le aziende sono in grado di mostrare ai visitatori annunci pertinenti e coerenti ai loro profili di interesse;
I siti web possono memorizzare le preferenze uniche di qualcuno, il che migliora l’esperienza del visitatore;
Identifica un utente.
I cookie sono un potente strumento di marketing e le aziende online utilizzano frequentemente per il loro sviluppo. Il GDPR rende obbligatorio per le aziende essere oneste riguardo ai cookie che installano e ai dati che tracciano.
Tale onestà di intenti si materializza con una buona Cookie Policy da esporre ai propri visitatori nonché la possibilità per questi ultimi di decidere quali cookie accettare oppure no.
Adempimenti di chi ha un sito web
Al momento in cui scriviamo questo articolo, le Autorità Garanti per la protezione dei dati personali in Europa si stanno muovendo per fissare alcune linee guida, sottoponendole, in parte, anche a pubbliche consultazioni per accogliere suggerimenti e osservazioni degli addetti ai lavori. Qui trovate l’iniziativa del Garante Italiano. Qui quella del EDPB.
Andando quindi al sodo, è obbligatorio per tutti i siti web notificare ai propri utenti l’utilizzo dei cookie utilizzati sulle proprie pagine web. Non solo. Occorre anche dare la possibilità ai visitatori di acconsentire o meno alle attività di raccolta dei dati attraversi tali cookie.
Questo significa che se un sito utilizza i cookie di un certo tipo, è necessario ottenere un consenso valido prima della loro installazione. Come? Con il famoso “cookie wall”.
Occorre eseguire una serie di attività, quali, ad esempio:
mostrare un banner alla prima visita dell’utente
predisporre una cookie policy che contenga tutte le informazioni relative
dare agli utenti la possibilità di rifiutare parte dei trattamenti e, nel caso, revocare eventuali consensi già forniti.
Senza il consenso volontario ed esplicito non è possibile installare cookie, a eccezione dei cookie cosiddetti “esenti”, che sono cookie:
tecnici essenziali per l’erogazione del servizio, ovvero necessari al funzionamento del vostro sito web e che senza i quali non sarebbe possibile effettuare la navigazione delle pagine e l’utilizzo del sito stesso.
statistici gestiti direttamente dal proprietario del sito, purché i dati non vengano utilizzati per fare profilazione.
statistici di terze parte anonimi.
Per tutti gli altri tipi di cookie occorre il consenso dell’Interessato, ovvero il visitatore del sito.
Il consenso dei cookie deve soddisfare i requisiti stabiliti all’art.7 del GDPR. E’ importante che il consenso, da parte dell’interessato, venga fornito in maniera libera, specifica, informata e inequivocabile attraverso una “dichiarazione” o con una chiara azione affermativa circa quanto proposto dal titolare.
Rifiutare i cookie deve essere facile per l’utente del sito Web quanto dare il consenso ai cookie.
Il silenzio assenso, le caselle preselezionate, il procedere con la navigazione o l’inattività, non possono costituire un consenso valido per l’uso dei cookie.
Non è sufficiente informare gli utenti del sito Web come modificare le impostazioni del proprio browser per rifiutare l’utilizzo dei cookie.
Il Banner Cookie
Lo scopo del Banner Cookie serve a spiegare le finalità di installazione dei cookie utilizzati dal sito. Deve essere ben evidente e contenere il link alla “cookie policy” che può anche essere integrata alla “Privacy Policy”.
Nel banner vengono inoltre indicate chiaramente quali sono le azioni che definiscono il consenso richiesto al visitatore.
Infine, il banner e quindi la funzione che vi è dietro, assurge anche a blocco preventivo dei cookie, ovvero consentire la loro installazione solo dopo aver ottenuto il consenso dell’utente, requisito che viene meno in presenza delle tipologie di cookie già citate in precedenza (cookie “esenti”).
In che direzione vanno i grandi player
Prospetticamente, almeno da un punto di vista formale, a fronte delle azioni che gli Enti Regolatori stanno mettendo in campo per incrementare la trasparenza nei confronti degli utenti finali. I principali utilizzatori di cookie affermano di indirizzare i loro sforzi verso un mondo “cookieless”. Ad esempio, Google ha annunciato l’eliminazione dei cookie di terze parti nel suo browser Chrome entro il 2022.
In poche parole, i cookie di terze parti, che permettono di conoscere i comportamenti online degli utenti come i siti web che visitano di frequente, gli acquisti fatti, i propri interessi non saranno più supportati e quindi utilizzabili dagli editori e i proprietari di siti web, hanno vita breve.
Questo cambiamento avrà un impatto principalmente sull’open web, mentre se un sito utilizza pagine “sotto login” non dovrebbe essere alcun cambiamento drastico.
Occorre però dire che le tecnologie esistenti e utilizzate per tracciare gli utenti, proprio come i cookie di terze parti, sono diverse, tra cui:
Local Storage,
IndexedDB,
Web SQL,
qualsiasi altra tecnologia che permetta di salvare i dati sul dispositivo di un utente dai browser (come i cookie).
In più, c’è da aggiungere che da anni che altri browser (come Safari) bloccano i cookie di terze parti, ma abbiamo visto più volte che i tracker ricorrono semplicemente ad espedienti, cioè altri metodi e nuove tecnologie che rendono possibile tracciare gli utenti in modo analogo.
Ciò significa, in soldoni, che i cookie di prima parte continueranno a funzionare di default anche nei browser che bloccano i cookie di terze parti (incluso Google Chrome), e continueranno a richiedere il consenso nella maggior parte dei casi, a meno che lo scopo di un cookie non sia “strettamente necessario” per il funzionamento di base di un sito web e quindi mappato come un “cookie esente”.
I Big Player stanno ragionando ben oltre il concetto di cookie terze parti. Probabilmente mirano a creare piattaforme con standard trasparenti per il tracciamento degli utenti, tutelandone la privacy e offrendo dei trust per fornire consapevolezza e libertà di gestione dei dati agli interessati.
Il consenso è e sarà alla base del tracciamento
Il consenso, e quindi la sua raccolta e conservazione, non solo resta fondamentale nella maggior parte delle attività che riguardano i trattamenti di dati personali, ma assumerà sempre maggiore rilevanza per l’industria dell’online-advertising, tendenza tra l’altro confermata dal lancio di Google Consent Mode da parte di Google nel settembre 2020.
Il tool Google Consent Mode permette ai siti web di eseguire tutti i servizi Google sulla base del consenso degli utenti finali e offrendo quindi un primo equilibrio tra la conformità e il tracciamento informato e approvato dagli interessati.
Ultimi suggerimenti circa Cookie e Privacy per i siti web
Quando mantieni separate la tua Cookie Policy e la tua Privacy Policy, rendi più facile per gli utenti trovare le informazioni che stanno cercando.
Una Cookie Policy separata consente agli utenti di fare clic direttamente sulle informazioni sui cookie senza dover scorrere il documento sulla Privacy Policy;
I cookie sono molto importanti per l’elaborazione dei dati e dedicare una politica separata ai cookie mostra agli utenti che prendi sul serio la privacy;
È fondamentale che una politica sui cookie sia facilmente comprensibile, soprattutto da chi non ha conoscenze legali.
Per creare una Cookie Policy legalmente efficace, il documento deve includere alcune cose del tipo:
Come si utilizzano i cookie, ad esempio per mantenere un utente connesso senza reinserire la password ogni volta che visita il sito;
I tipi di cookie utilizzati nel sito, siano essi per pubblicità, analisi o comodità del cliente;
Se le informazioni vengono trasferite o utilizzate da terzi;
Come gli utenti possono rifiutare i cookie e come disattivarli;
Il consenso, che viene prestato liberamente nella piena consapevolezza di come vengono utilizzati i cookie, è alla base della normativa GDPR sui cookie. Ricorda di implementare un sistema per conservare i consensi raccolti e permettere ai visitatori del tuo sito di cambiarli.
Cookie a norma di legge
Il GDPR bilancia le esigenze del mondo degli affari con i diritti delle persone. Parte di questo equilibrio include la divulgazione di alcune informazioni sull’utilizzo dei cookie agli utenti dell’UE.
Assicurati che la tua politica sui cookie GDPR:
Sia scritta chiaramente
Rileva quali cookie raccogli, per cosa li usi e se condividi i loro dati con terze parti
Che ci sia un banner o pop-up di consenso ai cookie (se necessario)
Se non disponi di una Politica sui cookie separata, assicurati di includere una clausola sui cookie nella tua Informativa sulla privacy in cui copri le stesse. FinData è distributore autorizzato Cookiebot la soluzione di Cookie Consent Management più venduta al mondo.
Non sai se sei conforme? Verificalo velocemente utilizzando il tool gratuito di 2GDPR.
Il GDPR richiede ad alcune aziende di nominare un DPO per garantire l’elaborazione sicura dei dati e la conformità ai requisiti di protezione dei dati. Invece di assumere un dipendente, un’azienda può nominare un DPO esterno.
