Privacy - GDPR - DPO
Siamo professionisti nella protezione dei dati personali. Proteggiamo la tua Azienda o il tuo Ente Pubblico all' adeguamento del GDPR. Saremo il punto di riferimento tra voi e il Garante della Privacy. Se vi serve anche la figura del DPO secondo art. 37 del GDPR sei nel posto giusto
Modulo Richiesta Informazioni Privacy
COS'E' IL GDPR O RGPD Regolamento 2016/679
Il Regolamento Generale sulla Protezione dei Dati RGPD (GDPR, dall’inglese General Data Protection Regulation) è un regolamento dell’Unione Europea che disciplina il modo in cui le aziende e le altre organizzazioni trattano i dati personali. Il RGPD ha influenzato significativamente altre normative sulla privacy dei dati in tutto il mondo e richiede la conformità di qualsiasi organizzazione che acceda ai dati personali delle persone nell’UE.
SANZIONI
Il Garante può prescrivere misure correttive (v. art. 58, paragrafo 2, del Regolamento UE 2016/679) nel caso sia rilevata una violazione delle disposizioni del Regolamento stesso, anche per quanto riguarda l’adeguatezza delle misure di sicurezza tecniche e organizzative applicate ai dati oggetto di violazione. Sono previste sanzioni pecuniarie che possono arrivare fino a 10 milioni di Euro o, nel caso di imprese, fino al 2% del fatturato totale annuo mondiale.
Sanzioni GDPR in dettaglio
Violazione
- Artt. 5, 6, 7 e 9 GDPR
- Artt. Da 12 a 22
- Artt. Da 44 a 49
- inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo (ovvero il Garante Privacy) ai sensi dell’articolo 58, paragrafo 2, o il negato accesso in violazione dell’articolo 58, paragrafo 1 GDPR
Sanzione Amministrativa
Fino a 20 milioni di euro o 4% fatturato annuo mondiale dell’esercizio precedente, se superiore
Violazione
- artt. 8, 11, da 25 a 39, 42 e 43 GDPR
- Violazioni di obblighi imposti agli organismi di certificazione
- Art. 41 GDPR (Codici di condotta)
Sanzione Amministrativa
10.000,000 di euro o, per le imprese, fino al 2% del fatturato Mondiale totale annuo dell’esercizio precedente, se superiore
Violazione
- Art. 167 e 168 cod. Privacy
Sanzione penale
Da 6 mesi a 3 anni
Violazione
- Art. 167-bis e ter cod. Privacy
Sanzione penale
Da 1 a 6 anni
Violazione
- Art. 170 cod. Privacy
Sanzione penale
Da 3 mesi a 2 anni
Violazione
- Art. 171 cod. Privacy
Sanzione penale
pena dell’ammenda da 154 euro a 1.549 euro o l’arresto da 15 giorni a 1 anno. Nei casi più gravi le pene dell’arresto e dell’ammenda sono applicate congiuntamente
LA FIGURA DEL RPD/DPO - QUANDO E' OBBLIGATORIO NOMINARLO
In base all'articolo 37, paragrafo 7, del Regolamento occorre che i soggetti pubblici e privati comunichino al Garante per la protezione dei dati personali il nominativo del Responsabile della Protezione dei dati, se designato.
Questa disposizione mira a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto, come chiarito nelle Linee guida sui Responsabili della Protezione dei Dati (RPD) adottate dal Gruppo Articolo 29 (WP243 rev. 01 - punto 2.6).
Si ricorda, infatti, che in base all'articolo 39, paragrafo 1, lettera e) del Regolamento, il Responsabile della Protezione dei Dati funge da punto di contatto fra il singolo ente o azienda e il Garante.
Una delle principali novità inserita nel Regolamento Europeo sulla protezione dei dati (Regolamento U.E. 2016/679 anche GDPR), è rappresentata dalla figura del Data Protection Officer (DPO). La sua nomina è obbligatoria solo in casi espressamente previsti dal Regolamento:“Il Regolamento europeo prevede tre situazioni in cui il Titolare o il Responsabile sono obbligati a nominare un DPO:
a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali;
b) le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10”.
Sussiste, dunque, l’obbligo di nomina nel settore pubblico, mentre in quello privato, vi è obbligo solo se il Titolare o il Responsabile si trovano a svolgere, su larga scala, quale attività principale, il monitoraggio regolare e sistematico di un interessato oppure tratta dati particolari ex art. 9 del GDPR o relativi a condanne penali ex art. 10 del GDPR. È il caso di:
• Imprese assicurative
• Istituti di credito
• Sistemi di informazione creditizia
• Società finanziarie, di informazione commerciale, di revisione contabile, di recupero crediti
• Istituti di vigilanza
• Partiti e movimenti politici
• CAF e patronati
• Società operanti nel settore delle utilities come telecomunicazione, energia elettrica e gas
• Imprese di somministrazione lavoro e ricerca di personale
• Ospedali privati
• Terme
• Laboratori di analisi mediche e riabilitazione
• Società di call center, di servizi informatici e televisivi a pagamento
• Hosting di posta e società di informatica che monitorano misure di sicurezza informatica.
In molteplici altri casi la nomina tale funzione nella propria organizzazione, seppur non obbligatoria, è altamente raccomandata.
LE DOMANDE FREQUENTI A CURA DEL GARANTE DELLA PRIVACY
1. Chi è il responsabile della protezione dei dati personali (RPD/DPO) e quali sono i suoi compiti?
Il responsabile della protezione dei dati personali (di seguito “RPD”; o anche conosciuto come Data protection officer) è una figura prevista dall’art. 37 del Regolamento (UE) 2016/679 (di seguito “RGPD”). Si tratta di un soggetto designato dal titolare o dal responsabile del trattamento per assolvere a funzioni di supporto e di controllo, consultive, formative e informative relativamente all’applicazione del RGPD. A tal fine, deve essere “tempestivamente e adeguatamente” coinvolto in tutte le questioni riguardanti la protezione dei dati personali anche con riferimento ad attività di interlocuzione con l’Autorità (quali, ad esempio, audizioni, accertamenti ispettivi o riunioni svolte a vario titolo; cfr. art. 38, par. 1 del RGPD). Coopera, inoltre, con l'Autorità e costituisce il punto di contatto rispetto a quest’ultima e agli interessati, in merito alle questioni connesse al trattamento dei dati personali (artt. 38 e 39 del RGPD).
2. Quali requisiti deve possedere il responsabile della protezione dei dati personali?
Il RPD, al quale non sono richieste specifiche attestazioni formali o l’iscrizione in appositi albi, deve possedere un’approfondita conoscenza della normativa e delle prassi in materia di protezione dei dati personali, nonché delle norme e delle procedure amministrative che caratterizzano lo specifico settore di riferimento.
Deve poter offrire, con il grado di professionalità adeguato alla complessità del compito da svolgere, la consulenza necessaria per progettare, verificare e mantenere un sistema di gestione dei dati personali, coadiuvando il titolare o il responsabile del trattamento nell’adozione di un complesso di misure organizzative (anche di sicurezza) e garanzie adeguate al contesto in cui è chiamato a operare. Deve inoltre agire in piena indipendenza (considerando 97 del RGPD) e autonomia, senza ricevere istruzioni in ordine all’esecuzione dei menzionati compiti e riferendo direttamente ai vertici del titolare o del responsabile del trattamento (art. 38, par. 3 del RGPD).
Il responsabile della protezione dei dati personali deve poter disporre, infine, di risorse (personale, locali, attrezzature, ecc.) necessarie per l’espletamento dei propri compiti (art. 38, par. 2 del RGPD).
3. Chi sono i soggetti privati obbligati alla sua designazione?
Sono tenuti alla designazione del RPD il titolare o il responsabile del trattamento che rientrino nei casi previsti dall’art. 37, par. 1, lettere b) e c), del RGPD. Si tratta di soggetti le cui principali attività (in primis, le attività c.d. di core business) consistono in trattamenti che richiedono il monitoraggio regolare e sistematico degli interessati su larga scala o in trattamenti su larga scala di categorie particolari di dati personali o di dati relative a condanne penali e a reati (per quanto attiene alle nozioni di “monitoraggio regolare e sistematico” e di “larga scala”, v. Gruppo ex art. 29, “Linee guida sui responsabili della protezione dei dati” del 5 aprile 2017, WP 243 rev. 01 , paragrafi 2.1.3 e 2.1.4). Il diritto dell’Unione o degli Stati membri può prevedere ulteriori casi di designazione obbligatoria del RPD (art. 37, par. 4 del RGPD; cfr., in tal senso, ad esempio, art. 2-sexiesdecies del D. lgs. 196/2003).
Ricorrendo i suddetti presupposti, sono tenuti alla nomina, a titolo esemplificativo e non esaustivo: concessionari di servizi pubblici (trasporto pubblico locale, raccolta dei rifiuti, gestione dei servizi idrici ecc.), istituti di credito; imprese assicurative; sistemi di informazione creditizia; società finanziarie; società di informazioni commerciali; società di revisione contabile; società di recupero crediti; istituti di vigilanza; partiti e movimenti politici; sindacati; caf e patronati; società operanti nel settore delle utilities (telecomunicazioni, distribuzione di energia elettrica o gas, ecc.); imprese di somministrazione di lavoro e ricerca del personale; società operanti nel settore della cura della salute, della prevenzione/diagnostica sanitaria quali ospedali privati, terme, laboratori di analisi mediche e centri di riabilitazione; società di call center; società che forniscono servizi informatici; società che erogano servizi televisivi a pagamento.
4. Per quali categorie di soggetti la designazione del RPD non è obbligatoria ma comunque opportuna?
Nei casi diversi da quelli previsti dall’art. 37, par. 1, lettere b) e c), del RGPD, la designazione del RPD non è obbligatoria (ad esempio, in relazione a trattamenti effettuati da liberi professionisti operanti in forma individuale o comunque che non effettuano trattamenti su larga scala; amministratori di condominio; agenti, rappresentanti e mediatori non operanti su larga scala; imprese individuali o familiari; piccole e medie imprese, con riferimento ai trattamenti dei dati personali connessi alla gestione corrente dei rapporti con fornitori e dipendenti - a tale ultimo riguardo, cfr. anche considerando 97 del RGPD, in relazione alla definizione di attività “accessoria”).
In ogni caso, resta comunque raccomandata, anche alla luce del principio di accountability che permea il RGPD, la designazione di tale figura (v., in proposito, WP 243, cit., par. 1), i cui criteri di nomina, in tale evenienza, rimangono gli stessi sopra indicati.
5. Il RPD deve essere un soggetto interno o può essere un soggetto esterno? Quali sono le modalità per la sua designazione?
Il ruolo di RPD può essere ricoperto da un dipendente del titolare o del responsabile (non in conflitto di interessi) che conosca la realtà operativa in cui avvengono i trattamenti; l’incarico può essere anche affidato a soggetti esterni. In entrambi i casi, i soggetti designati devono essere in grado di garantire l'effettivo assolvimento dei compiti che il RGPD assegna a tale figura. Il RPD scelto all'interno andrà nominato mediante specifico atto di designazione (ad es. lettera d’incarico), mentre quello scelto all'esterno, che dovrà avere le medesime prerogative e tutele di quello interno, dovrà operare in base a un contratto (cfr. art. 37, par. 6 del RGPD, ove si fa riferimento al “contratto di servizi”). Tali atti, da redigere in forma scritta, dovranno contenere la designazione del RPD e indicare espressamente i compiti ad esso attribuiti, le risorse assegnate per il loro svolgimento, nonché ogni altra utile informazione in rapporto al contesto di riferimento.
Nell'esecuzione dei propri compiti, il RPD (interno o esterno) dovrà ricevere supporto adeguato in termini di risorse finanziarie, infrastrutturali e, ove opportuno, di personale. Il titolare o il responsabile del trattamento mantengono comunque la piena responsabilità in ordine all’osservanza della normativa in materia di protezione dei dati.
6. Il RPD deve essere nominato responsabile del trattamento?
No. Il RPD, in ragione dell’autonomia d’azione specificatamente attribuita al medesimo dalla normativa (artt. 38 e 39 del RGPD), non può essere nominato responsabile del trattamento, figura quest’ultima distinta ed espressamente disciplinata dall’art. 28 del RGPD.
7. Quali sono gli ulteriori adempimenti che il titolare o il responsabile deve porre in occasione della designazione del RPD?
Il titolare o il responsabile del trattamento è tenuto a pubblicare i dati di contatto del RPD designato e a comunicarli al Garante (art. 37, par. 7 del RGPD).
Non è necessario pubblicare il nominativo del RPD, purché i relativi dati di contatto consentano che lo stesso sia direttamente e agevolmente raggiungibile (ad es. per il tramite di un indirizzo e-mail a ciò dedicato).
Il nominativo del responsabile della protezione dei dati e i relativi dati di contatto vanno invece comunicati all’Autorità di controllo tramite una procedura telematica ad hoc (https://servizi.gpdp.it/comunicazionerpd/s/), provvedendo, con le medesime modalità, al loro tempestivo aggiornamento in caso di modifica dei predetti dati o di sostituzione del soggetto designato.
Tale procedura rappresenta l’unico canale di contatto utilizzabile a questo specifico fine; maggiori informazioni in merito sono reperibili alla pagina https://www.gpdp.it/regolamentoue/rpd#PROCEDURA, ove sono riportate le apposite istruzioni e le relative FAQ.
8. Il ruolo di RPD è compatibile con altri incarichi?
Si, a condizione che non sia in conflitto di interessi.
In tale prospettiva, ove il RPD sia individuato in un soggetto interno all’organizzazione, appare incompatibile l’assegnazione del ruolo di RPD a soggetti con incarichi di alta direzione o aventi specifiche funzioni (es. amministratore delegato; membro del consiglio di amministrazione; direttore generale; responsabile IT, responsabile audit e/o gestione del rischio, responsabile del servizio prevenzione e protezione ecc.), ovvero nell’ambito di strutture aventi potere decisionale in ordine alle finalità e alle modalità del trattamento (es. direzione risorse umane, direzione marketing, direzione finanziaria, ecc.). Pertanto, potrebbe essere valutata l’assegnazione di tale incarico ai responsabili delle funzioni di staff (ad esempio, il responsabile della funzione legale), previa verifica, in base al contesto di riferimento, circa l’assenza di conflitto di interessi.
Laddove il RPD sia una figura esterna all’organizzazione, non appare compatibile con i requisiti di indipendenza previsti dall’art. 38 del RGPD, l’assegnazione di tale incarico a soggetti che, nel rendere servizi nell’interesse del titolare, potrebbero trovarsi in una posizione di conflitto di interessi (es. fornitore di servizi IT, software-house, ecc.).
9. Il RPD è una persona fisica o può essere un soggetto diverso?
Il RGPD prevede espressamente che il RPD possa essere un “dipendente” del titolare o del responsabile del trattamento (art. 37, par. 6, del Regolamento) in grado di svolgere le proprie funzioni in autonomia e indipendenza, nonché in collaborazione diretta con il vertice dell’organizzazione.
Il RPD, inoltre, da individuarsi comunque in una persona fisica, potrà essere supportato anche da un apposito ufficio dotato delle competenze necessarie ai fini dell'assolvimento dei propri compiti.
Qualora il RPD sia individuato in un soggetto esterno, quest'ultimo potrà essere anche una persona giuridica (v. WP 243, par. 2.5), purché sia indicata la persona fisica atta a fungere da punto di contatto con gli interessati e con l’Autorità di controllo.
Al fine di agevolare il soggetto esterno che opera come RPD, sarebbe altresì opportuno individuare all’interno dell’organizzazione del titolare o del responsabile, una figura, che funga da referente per il RPD.
10. E' possibile nominare un unico RPD nell' ambito di un gruppo imprenditoriale?
Il RGPD prevede che un gruppo imprenditoriale (v. definizione di cui all'art. 4, n. 19 del RGPD) possa designare un unico RPD, purché tale responsabile sia facilmente raggiungibile da ciascuno stabilimento (sul concetto di "raggiungibilità", v. WP 243, par. 2.3). Inoltre, dovrà essere in grado di comunicare in modo efficace con gli interessati e di collaborare con le Autorità di controllo.
A tal fine, potrebbe essere buona prassi nei gruppi di impresa, quella di prevedere che il RPD di gruppo sia assistito da specifici referenti locali individuati presso ciascuna entità (anche, se del caso, operando quali componenti del suo gruppo di lavoro), in grado di fornire adeguato supporto allo stesso e di fungere da punto di contatto nei confronti dei soggetti interessati e dell’Autorità di controllo competente; ciò, ad esempio, al fine di coadiuvare a livello locale la gestione dei reclami degli interessati e l’attività di formazione del personale; veicolare le principali questioni emerse in materia di protezione dei dati personali nelle singole entità del gruppo, ecc.
Viceversa, ove non si opti per un unico RPD ma, all’interno del gruppo imprenditoriale, vengano nominati singoli RPD per ciascuna entità, al fine di assicurare un efficace coordinamento dei compiti loro assegnati, potrebbe essere valutata l’opportunità di costituire un network dei medesimi, individuando, se del caso, anche una figura di riferimento (ad es. il RPD della società capogruppo) con funzioni volte a garantire un adeguato raccordo tra gli stessi (ad es. per il tramite di riunioni periodiche; scambio di informazioni ecc.).
Resta in tutti i casi fermo, come già evidenziato in termini generali nella faq n. 7, l’obbligo, in capo alle singole entità del gruppo in qualità di titolari o responsabili del trattamento, di pubblicare i dati di contatto del RPD e di comunicarli all’Autorità di controllo competente.
LA NOSTRA AZIENDA E' PRONTA AD AIUTARVI AL REGOLAMENTO EUROPEO AFFIDATI A NOI E ADEGUATI ALLA NORMATIVA VIGENTE
VIDEOSORVEGLIANZA
SEI UN INSTALLATORE O HAI UN IMPIANTO DI VIDEOSORVEGLIANZA?
Attento a non lasciare nulla al caso con le nuove disposizioni di legge!
NON SAI COME FARE PER METTERTI IN REGOLA?
NR Informatica ti permette di adeguarti alle normative sulla videosorveglianza e di rendere legittimo il tuo impianto
LA CARTELLONISTICA È CAMBIATA! NON RISCHIARE SANZIONI
Da Gennaio 2020 sono entrati in vigore i nuovi cartelli. Sostituisci quelli vecchi e non rischiare sanzioni
ADEGUATI
Gennaio 2020 - L'European Board of Data Protection (EDPB), ha ufficializzato le nuove linee guida che sono state recepite da tutti gli stati membri. È quindi necessario adeguare la propria cartellonistica.
I cartelli che segnalano la presenza delle telecamere sono cambiati. Esporre ancora i cartelli vecchi vuol dire essere passibili di multa.
NR Informatica vi creerà l'informativa e la cartellonistica conformi alle linee guida emanate dall'EDPB (European Data Protection Board) ed entrate ufficialmente in vigore il 29 gennaio 2020.
FAQ (Domande frequenti)
Le domande più frequenti poste dai nostri clienti, se non trovi la tua risposta contattaci
Ho un impianto di videosorveglianza o devo installare un impianto. Cosa devo fare?
Tutti coloro che nel luogo di lavoro hanno già (o hanno intenzione di installare) un impianto di videosorveglianza che riprende dipendenti, ha l'obbligo di richiedere l'autorizzazione all'ispettorato del lavoro. Sono esenti da quest'obbligo le aziende che hanno raggiunto un accordo con la rappresentanza sindacale all'interno dell'azienda (nel caso non ci fosse o non fosse raggiunto l'accordo, vale l'obbligo citato precedentemente).
È sufficiente far firmare un consenso ai dipendenti per essere in regola?
No, far firmare un consenso ai dipendenti che acconsentono all'installazione dell'impianto non esenta il Titolare da tutti gli obblighi previsti dalle normative e, pertanto, è necessario sottoporsi all'iter burocratico per rendere legittimo l'impianto.
Chi è soggetto a quest'obbligo?
Tutte le attività che hanno almeno una telecamera che riprende i propri dipendenti sono soggette a quest'obbligo.
Quali sono le sanzioni se non sono in regola?
L'inosservanza delle disposizioni può portare a subire sanzioni amministrative di notevole rilievo e, in certi casi, anche a conseguenze civile e penali.
Se ho già un impianto di videosorveglianza, posso richiedere l'autorizzazione e tenere spento l'impianto fino a che non ottengo l'autorizzazione?
La normativa obbliga a rendere legittimo l'impianto prima dell'installazione. Pertanto, in caso di controllo, c'è la possibilità di essere multati anche se l'impianto è disattivato (lo stesso discorso vale in caso di impianto finto o con le telecamere coperte/oscurate).
In che cosa consiste il servizio Cartelli Europei?
Il servizio Cartelli Europei permette di generare l'informativa e la cartellonistica conformi alle linee guida emanate dall'EDPB (European Data Protection Board) ed entrate ufficialmente in vigore il 29 gennaio 2020.
FAQ (Domande frequenti) a cura del Garante
LA NOSTRA AZIENDA E' PRONTA AD AIUTARVI AL REGOLAMENTO EUROPEO AFFIDATI A NOI E ADEGUATI ALLA NORMATIVA VIGENTE
L’Informativa Privacy e la Cookie Policy alla portata di tutti
Cerchi un’informativa privacy e una cookie policy per il tuo sito, semplice da costruire e che si adatti alla tua tipologia di azienda e ai tuoi trattamenti? Sei nel posto giusto!
Il tuo sito subito conforme a partire da € 50
Grazie ad NR Informatica e ai nostri partner il tuo sito web apparirà una gradevolissima e innovativa interfaccia a sezioni che spiegherà a tutti gli utenti le informazioni necessarie sui loro dati che verranno trattenuti durante la loro navigazione.
Cerchi un prodotto italiano fatto a regola d’arte, gradevole, e che metta al sicuro il tuo sito web da pesanti sanzioni? Sei nel posto giusto!
Con NR Informatica avrai la soluzione al prezzo più basso del web
Grazie ad NR Informatica avrete sul vostro sito tutti i trattamenti e i dati necessari secondo le indicazioni del Regolamento Generale sulla Protezione dei Dati (GDPR).
FAQ (DOMANDE FREQUENTI)
Cosa sono i cookie?
I cookie sono informazioni immesse sul tuo browser quando visiti un sito web o utilizzi un social network con il tuo pc, smartphone o tablet. Ogni cookie contiene diversi dati come, ad esempio, il nome del server da cui proviene, un identificatore numerico, ecc… I cookie possono rimanere nel sistema per la durata di una sessione (cioè fino a che non si chiude il browser utilizzato per la navigazione sul web) o per lunghi periodi e possono contenere un codice identificativo unico.
A cosa servono i cookie?
Alcuni cookie sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche sugli utenti che accedono ad una pagina web. Questi cookie, cosiddetti tecnici, sono spesso utili, perché possono rendere più veloce e rapida la navigazione e la fruizione del web, perché ad esempio intervengono a facilitare alcune procedure quando fai acquisti online, quando ti autentichi ad aree ad accesso riservato o quando un sito web riconosce in automatico la lingua che utilizzi di solito. Una particolare tipologia di cookie, detti analytics, sono poi utilizzati dai gestori dei siti web per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso, e quindi elaborare statistiche generali sul servizio e sul suo utilizzo. Altri cookie possono invece essere utilizzati per monitorare e profilare gli utenti durante la navigazione, studiare i loro movimenti e abitudini di consultazione del web o di consumo (cosa comprano, cosa leggono, ecc.), anche allo scopo di inviare pubblicità di servizi mirati e personalizzati (c.d. Behavioural Advertising). Parliamo in questo caso di cookie di profilazione. Ad esempio: ti è mai capitato di visitare un sito di servizi, di usare la tua webmail o di accedere alla tua pagina su un social network e di trovare dei banner pubblicitari legati alle tue ultime ricerche sul web o all’ultimo acquisto fatto su Internet? Ciò accade perché quegli spazi web sono progettati per riconoscere il tuo pc o un altro terminale che usi per collegarti al web (smartphone, tablet), ed eventualmente indirizzarti messaggi promozionali “profilati” in base alle tue ricerche e al tuo utilizzo di Internet. Può accadere anche che una pagina web contenga cookie provenienti da altri siti e contenuti in vari elementi ospitati sulla pagina stessa, come ad esempio banner pubblicitari, immagini, video, ecc.. Parliamo, in questi casi, dei cosiddetti cookie di terze parti, che di solito sono utilizzati a fini di profilazione. Così i cookie che scarichi su pc, smartphone e tablet possono essere letti anche da altri soggetti, diversi da quelli che gestiscono le pagine web che visiti.
Cosa sono i cookie tecnici?
Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili.
Cosa sono i cookie di profilazione?
Sono i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini e scelte. Con questi cookie possono essere trasmessi al dispositivo dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso durante la navigazione.
E' necessario il consenso per tutti i cookie?
Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa. L’utilizzo di tutte le altre tipologie di cookie, invece, può essere fatto soltanto dopo aver ricevuto il consenso tramite informativa.
In che modo va richiesto il consenso?
Nel momento in cui l’utente accede a un sito web deve comparire un banner contenente l’informativa e la richiesta di consenso all’uso dei cookie.
Che cos'è la Privacy Policy?
La Privacy Policy di un Sito Web (o Informativa Privacy) è il documento con il quale gli utenti vengono informati sulle finalità e modalità di trattamento dei loro dati personali. Questo documento rappresenta pertanto la comunicazione agli utenti di ogni informazione necessaria per garantire un trattamento dei dati corretto e trasparente ai sensi di legge (ad esempio, le finalità di trattamento, il periodo di conservazione dei dati, il diritto alla revoca del consenso al trattamento, le informazioni sul titolare del trattamento, etc.). La privacy policy online è obbligatoria ogni qualvolta viene effettuato un trattamento dei dati personali su un sito. Secondo il Regolamento europeo privacy (GDPR in inglese), si definisce trattamento qualsiasi operazione compiuta sui dati personali dell’utente in modo automatizzato o meno (archiviazione, uso, lettura, comunicazione dei dati, etc…).
Che cosa contiene una Privacy Policy conforme?
La privacy policy per essere conforme deve soddisfare tutti i requisiti legali e contenere tutte le informazioni richieste dalla legislazione vigente in materia di privacy e dai regolamenti europei (GDPR):
- Tipologie di dati personali raccolti: è possibile scegliere tra dati volontariamente forniti dall’utente (dati di contatto, informazioni, contenuti, dati sensibili, dati raccolti da social media, etc.) e dati acquisiti automaticamente (dati di utilizzo, dati di geolocalizzazione, dati raccolti tramite cookie etc.)
- Finalità del trattamento: devono essere elencati gli scopi per cui si raccolgono i dati personali (fini statistici, profilazione dell’utente, gestione dei pagamenti, etc.). In Acconsento.click abbiamo predisposto l’intervista permettendo di scegliere tra finalità pre impostate e/o personalizzabili
- Modalità del trattamento: devono essere indicati gli strumenti elettronici o manuali con i quali si raccolgono i dati, le modalità di organizzazione dei dati, le misure di sicurezza per impedire l’accesso, la divulgazione, la modifica o la distruzione non autorizzate dei dati
- Destinatari dei dati: devono essere indicati i nomi dei soggetti terzi destinatari dei dati o le categorie economiche o merceologiche di appartenenza (consulenti di marketing, spedizionieri, etc.)
- Base giuridica del trattamento: il fondamento su cui si fonda il trattamento (consenso, obbligo di legge, obbligo contrattuale, etc.)
- Luogo: dove vengono conservati i dati e se vengono trasferiti in un paese extra UE
- Processi decisionali automatizzati: se vengono utilizzate procedure come la profilazione e la logica con cui vengono usate
- Periodo di conservazione dei dati: per quanto tempo i dati personali dell’utente i dati vengono conservati
- Diritti esercitabili dagli utenti: la normativa richiede espressamente di inserire l’elenco di cosa può fare un utente (chiedere la rimozione dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati etc.)
- Dati identificativi del titolare del trattamento e/o del responsabile della protezione dei dati (DPO): devono essere inseriti tutti i dati per identificare e contattare chi determina le finalità e i mezzi del trattamento di dati personali. Se nominato, va indicato anche il responsabile della protezione dei dati
Ho bisogno della privacy Policy per il mio sito web?
Quasi sicuramente sì. Se il tuo sito traccia dati personali, serve una dichiarazione che ne informi gli utenti. La maggioranza dei siti web tracciano dati degli utenti. Spesso anche senza la consapevolezza del proprietario del sito, tramite i cookie. Se il tuo sito raccoglie informazioni personali degli interessati dovrai sempre avere un’informativa e chiedere anche il consenso se farai trattamenti di marketing o profilazione o raccoglierai dati particolari. Con l’entrata in vigore del GDPR e la direttiva relativa alla vita privata e alle comunicazioni elettroniche (e-Privacy), una policy sulla privacy corretta è fondamentale per siti dell’UE e per siti che hanno utenti provenienti dall’UE.
LA NOSTRA AZIENDA E' PRONTA AD AIUTARVI AL REGOLAMENTO EUROPEO AFFIDATI A NOI E ADEGUATI ALLA NORMATIVA VIGENTE