Normativa privacy cookie e il nuovo GDPR UE 2016/679

Dal 25 Maggio 2018 è entrato in vigore un nuovo regolamento UE per la sicurezza dei dati e della privacy.

Vediamo insieme cosa cambia e dove reperire informazioni che possono aiutare i piccoli amministratori di blog e siti internet aziendali di piccole attività.

La fonte di riferimento dove trovare le informazioni più sicure è il sito internet del

garante per la protezione dei dati personali

Cercherò di creare un piccolo riassunto delle cose fondamentali da implementare per essere in regola con la nuova normativa. E’ servito a me e spero che possa tornare utile anche a te che stai leggendo. Essendo un sunto non prendere decisioni solo basate sulle mie informazioni, ma fai sempre riferimento e verifica ciò che è indicato nel regolamento generale sulla protezione dei dati. Le frasi “racchiuse tra virgolette” sono un estratto parziale o integrale del testo normativo. I riferimenti definiti dalla lettera C seguiti da un numero sono i paragrafi trattati all’inizio della normativa e definiti “considerando”.

Al link che segue trovi la guida ufficiale del garante. Invece qui il link a il regolamento generale sulla protezione dei dati formato da 190 pagine in Italiano.

Qui la “Guida all’applicazione del regolamento Europeo” dove trovi tutte le informazioni in forma semplificata e con aiuti pratici.

Qui trovi la “FAQ all’uso dei cookie“.

Quando si applica il nuovo regolamento

“Il presente regolamento si applica al trattamento interamente o parzialmente automatizzato di dati personali e al trattamento non automatizzato di dati personali contenuti in un archivio o destinati a figurarvi.

Non si applica ai trattamenti di dati personali quando:

effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico
effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse
Per il trattamento dei dati personali da parte di istituzioni, organi, uffici e agenzie dell’Unione, si applica il regolamento (CE) n. 45/2001″

Il trattamento dei dati personali deve essere fatto anche da aziende che operano dall’estero, se l’interessato è residente nell’Unione Europea:

“Il presente regolamento si applica al trattamento dei dati personali effettuato nell’ambito delle attività di uno stabilimento da parte di un titolare del trattamento o di un responsabile del trattamento nell’Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell’Unione”.

Cosa si intende per dato personale

“qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; (C26, C27, C30)”.

Cosa si intende per trattamento dei dati

“qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Cosa si intende per profilazione dei dati

“qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica; (C24, C30, C71-C72)”. [cookies, analytics like, ADSense like, ADWords like]

Cosa si intende per titolare del trattamento

“la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”. [proprietario del blog o azienda]

Cosa si intende per responsabile del trattamento

“la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”. [commercialista, vari servizi internet come google analytics]

Cosa si intende per violazione dei dati personali

“la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati; (C85)”

art 6 “Liceità del trattamento”

“Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: (C40)

a) l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità; (C42, C43) [consenso privacy, consenso cookies, consenso news letter, etc…]

b) il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso; (C44) [fattura, preventivo di offerta, etc…]

c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento; (C45)” [dichiarazione dei redditi, IVA, commercialista, etc…]

Differenze nel trattamento dei dati

I dati personali detti “sensibili”, essendo molto importanti, vanno protetti in modo specifico rispetto agli altri dati.

I dati che vengono scambiati tra persone sono definiti dati sensibili, vedi art. 9, quando: “rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. (C51)”.

Per la raccolta di questi dati si deve firmare, normalmente, un consenso scritto.

Informazioni da fornire nel momento della raccolta dei dati via internet

L’articolo 14 definisce quali informazioni rendere note a chi ti sta fornendo i dati personali in modo indiretto, tramite form o richiesta mail, o altri mezzi telematici.

“Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni:

1-a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

1-b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

1-c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

1-d) le categorie di dati personali in questione;

1-e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

1-f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.”

“2-a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

2-b) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

2-c) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

2-d) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;

2-e) il diritto di proporre reclamo a un’autorità di controllo;

2-f) la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;

2-g) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.”

Quali accortezze deve avere il sito internet per adempiere alla normativa ?

un banner (di dimensioni abbastanza grandi da oscurare in parte la funzionalità della pagina) deve apparire su ogni pagina del vostro sito internet che dichiara che state raccogliendo informazioni con l’utilizzo di cookies, come l’interessato può bloccare l’installazione del cookie sul suo computer (con un pulsante apposito) e un link ad una apposita pagina dove viene spiegato come il vostro sito utilizza le informazioni raccolte. Questo banner ha anche la funzione di raccogliere il consenso informato. Tanti siti che ho analizzato non bloccano l’utilizzo delle pagine, ma si limitano a dichiarare che se fai scroll della pagina accetti le condizioni di utilizzo, e procedono all’installazione sul tuo computer dei cookies. La normativa recita “Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa (art. 13 del Codice privacy). I cookie di profilazione, invece, possono essere installati sul terminale dell’utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.” Mentre la FAQ del garante recita “Il banner deve specificare che il sito utilizza cookie di profilazione, eventualmente anche di “terze parti”, che consentono di inviare messaggi pubblicitari in linea con le preferenze dell’utente. Deve contenere il link all’informativa estesa e l’indicazione che, tramite quel link, è possibile negare il consenso all’installazione di qualunque cookie. Deve precisare che se l’utente sceglie di proseguire “saltando” il banner, acconsente all’uso dei cookie.”
una pagina con le “cookie policy”, inserita alla fine di ogni pagina del sito internet (footer). In questa pagina (collegata al pulsante del banner) deve essere possibile disabilitare i cookies (in alternativa indicare che ogni browser può essere impostato per non accettare cookies dagli sconosciuti).
una pagina con la “privacy policy”, inserita alla fine di ogni pagina del sito internet (footer).

Esempi di banner per il consenso all’installazione dei cookies

Questo banner non chiede esplicitamente un consenso tramite pulsante e si avvale della interpretazione meno stringente della normativa (come da FAQ sull’uso dei cookies del garante per la privacy).

privacy cookie iubenda ITA — Banner blocco cookies e consenso generato con il servizio Iubenda

Questo banner si attiene in modo stringente alla normativa, esplicitando i pulsanti per l’accettazione di tutti i cookies (compresi quelli di terze parti), la possibilità di disabilitare a piacere i cookies che verranno installati, e il link all’informativa “Cookie policy”.

Banner cookie blocco e consenso generato con il servizio OneTrust

Come comporre la pagina privacy policy

Ogni sito internet è a se, ma una traccia generale delle informazioni da inserire può essere quella che segue:

come vengono richieste e memorizzate le vostre informazioni personali
come vengono usate, e a che scopo, le vostre informazioni personali
come accedere e correggere le vostre informazioni personali
come dis-iscriversi e revocare il consenso
se e come condividete le informazioni raccolte
come assicurate la non violazione delle informazioni personali
la vostra cookie policy
per quanto tempo terrete i dati personali acquisiti
collegamenti ad altri siti internet terzi
come tratterete i dati ricevuti sul vostro news group/forum/blog
privacy dei minorenni
trasferimento delle informazioni personali
a che recapito inviare domande e commenti
aggiornamenti sulla vostra linea di condotta/policy

La norma chiede un lista analitica di chi verrà a contatto con le informazioni personali acquisite dal tuo sito. Dovrai valutare tu chi necessita di informazioni per il funzionamento del tuo sito e inserirlo nella pagina sulla privacy (insieme al link privacy del tuo fornitore di servizi terzo).

Come conoscere i cookies installati sul tuo computer

In ogni browser dovrebbe esserci la possibilità di vedere quali cookies sono stati installati dal tuo sito.

Per “vedere” quali cookies utilizza il tuo sito internet devi cancellare tutti i cookies e poi entrare nel tuo sito internet. Dopo che è avvenuta l’installazione dei cookies guarda nuovamente la lista dei cookies presenti e registrati dal tuo browser (per intenderci il browser è Chrome, Explorer, Firefox, Safari, etc…). In questo modo dovresti essere in grado di fare una lista dei fornitori di servizi terzi (per esempio google analytics per il tracciamento delle presenze sul tuo sito).

Nel browser Chrome devi entrare nel menù “cancella dati di navigazione” -> impostazioni -> privacy -> impostazione contenuti -> Cookie -> tutti i cookie e dati dei siti, e alla fine trovi la lista dei siti che hanno installato cookies sul tuo computer.

Puoi cancellare i singoli cookie e vedere quanti e quali cookies sono stati installati dal tuo, o altri, siti internet. L’immagine sotto è tratta dal mio computer e mostra i cookies installati dal mio sito internet personale.