Intervento sulla normativa privacy, sul trattamento dei dati in ambito aziendale e sul controllo dei lavoratori prima e dopo il “Jobs-Act”, oltre che con riferimento agli amministratori di sistema.
Le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati
Il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro. I dati possono essere trattati solo dal personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite.
Sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone garantendo la sfera della riservatezza nelle relazioni personali e professionali.
Le informazioni personali trattate possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata dei lavoratori (ad esempio i dati sulla residenza e i recapiti telefonici) e dei terzi (ad esempio dati relativi al nucleo familiare per garantire determinate provvidenze).
I trattamenti di dati personali devono rispettare il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative.
Si deve inoltre rispettare il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori.
I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza.
Il trattamento di dati personali anche sensibili riferibili a singoli lavoratori è lecito, se finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione).
Ogni attività di recupero crediti deve avvenire nel rispetto della
dignità personale del debitore, evitando comportamenti che ne
possano ledere la riservatezza a causa di un momento di
difficoltà economica o di una dimenticanza.
Gli accertamenti del Garante hanno messo in luce l'esistenza di
prassi in alcuni casi decisamente invasive (visite a domicilio o
sul posto di lavoro; reiterate sollecitazioni al telefono fisso o sul
cellulare; telefonate preregistrate; invio di posta con l'indicazione
all'esterno della scritta "recupero crediti" o "preavviso esecuzione
notifica", fino all'affissione di avvisi di mora sulla porta di casa.
Spesso anche dati personali di intere famiglie risultavano inseriti
nei data base del soggetto creditore o delle società di recupero
crediti).
È per questo motivo che l'Autorità ha deciso di intervenire con un
provvedimento generale e prescrivere a quanti svolgono
l'attività di recupero crediti (le società specializzate e quanti -
finanziarie, banche, concessionari di pubblici servizi, compagnie
telefoniche - svolgono tale attività direttamente) le misure
necessarie perché tutto si svolga nel rispetto dei principi di liceità,
correttezza e pertinenza.
Intervento sulla normativa privacy, sul trattamento dei dati in ambito aziendale e sul controllo dei lavoratori prima e dopo il “Jobs-Act”, oltre che con riferimento agli amministratori di sistema.
Le regole per il corretto trattamento dei dati personali dei lavoratori da parte di soggetti pubblici e privati
Il datore di lavoro può trattare informazioni personali solo se strettamente indispensabili all’esecuzione del rapporto di lavoro. I dati possono essere trattati solo dal personale incaricato assicurando idonee misure di sicurezza per proteggerli da intrusioni o divulgazioni illecite.
Sul luogo di lavoro va assicurata la tutela dei diritti, delle libertà fondamentali e della dignità delle persone garantendo la sfera della riservatezza nelle relazioni personali e professionali.
Le informazioni personali trattate possono riguardare, oltre all’attività lavorativa, la sfera personale e la vita privata dei lavoratori (ad esempio i dati sulla residenza e i recapiti telefonici) e dei terzi (ad esempio dati relativi al nucleo familiare per garantire determinate provvidenze).
I trattamenti di dati personali devono rispettare il principio di necessità, secondo cui i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l’utilizzo di informazioni personali e identificative.
Si deve inoltre rispettare il principio di correttezza, secondo cui le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori.
I trattamenti devono essere effettuati per finalità determinate, esplicite e legittime in base ai principi di pertinenza e non eccedenza.
Il trattamento di dati personali anche sensibili riferibili a singoli lavoratori è lecito, se finalizzato ad assolvere obblighi derivanti dalla legge, dal regolamento o dal contratto individuale (ad esempio, per verificare l'esatto adempimento della prestazione o commisurare l'importo della retribuzione).
Ogni attività di recupero crediti deve avvenire nel rispetto della
dignità personale del debitore, evitando comportamenti che ne
possano ledere la riservatezza a causa di un momento di
difficoltà economica o di una dimenticanza.
Gli accertamenti del Garante hanno messo in luce l'esistenza di
prassi in alcuni casi decisamente invasive (visite a domicilio o
sul posto di lavoro; reiterate sollecitazioni al telefono fisso o sul
cellulare; telefonate preregistrate; invio di posta con l'indicazione
all'esterno della scritta "recupero crediti" o "preavviso esecuzione
notifica", fino all'affissione di avvisi di mora sulla porta di casa.
Spesso anche dati personali di intere famiglie risultavano inseriti
nei data base del soggetto creditore o delle società di recupero
crediti).
È per questo motivo che l'Autorità ha deciso di intervenire con un
provvedimento generale e prescrivere a quanti svolgono
l'attività di recupero crediti (le società specializzate e quanti -
finanziarie, banche, concessionari di pubblici servizi, compagnie
telefoniche - svolgono tale attività direttamente) le misure
necessarie perché tutto si svolga nel rispetto dei principi di liceità,
correttezza e pertinenza.
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiSilviaDiNapoli1
“Regole deontologiche relative ai trattamenti dei dati personali ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 (Informativa e consenso)”. Slide della relazione presentata dall'Avv. Silvia Di Napoli in occasione del convegno “La Privacy negli Studi Legali alla luce delle Regole Deontologiche approvate dal Garante per la Protezione dei Dati” tenutosi il 3 maggio 2019 alle ore 14.30 presso il Seminario Vescovile in Sala Longhin a Treviso. L'evento è stato organizzato dalla Camera Civile Degli Avvocati Di Treviso con il patrocinio dell’Ordine degli Avvocati di Treviso.
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela delle persone nel GDPR (regolamento UE 2016/679), ruolo e competenze del Garante per la privacy, i trattamenti della polizia locale e focus sulla videosorveglianza
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
Il Vol. 1 del vademecum in tema di privacy e GDPR a cura dei colleghi del Movimento Forense Triveneto.
"Regole di base e applicazioni pratiche"
(Co-autori: Avv. Maela Coccato, Avv. Antonio Zago, Avv. Daniele A. M. Trento)
Intervento dell'Avv. Sarah Ungaro al convegno organizzato dall'Associazione Forense di Lecce il 1 dicembre 2016 sul tema:
Il commercio elettronico nella società dell'informazione
Il Commercio on-line e i rischi per gli operatori: La Comunicazione, il Trattamento Dati, il Diritto d'Autore, la Proprietà intellettuale. Avvocato Giorgio Carozzi
Gli Adempimenti Privacy e le Regole Deontologiche degli AvvocatiSilviaDiNapoli1
“Regole deontologiche relative ai trattamenti dei dati personali ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 (Informativa e consenso)”. Slide della relazione presentata dall'Avv. Silvia Di Napoli in occasione del convegno “La Privacy negli Studi Legali alla luce delle Regole Deontologiche approvate dal Garante per la Protezione dei Dati” tenutosi il 3 maggio 2019 alle ore 14.30 presso il Seminario Vescovile in Sala Longhin a Treviso. L'evento è stato organizzato dalla Camera Civile Degli Avvocati Di Treviso con il patrocinio dell’Ordine degli Avvocati di Treviso.
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela dell...Simone Chiarelli
Lezione n. 11 - Videosorveglianza e tutela dei dati personali: La tutela delle persone nel GDPR (regolamento UE 2016/679), ruolo e competenze del Garante per la privacy, i trattamenti della polizia locale e focus sulla videosorveglianza
Vademecum GDPR e Privacy negli studi legali - MF TrivenetoEdoardo Ferraro
Il Vol. 1 del vademecum in tema di privacy e GDPR a cura dei colleghi del Movimento Forense Triveneto.
"Regole di base e applicazioni pratiche"
(Co-autori: Avv. Maela Coccato, Avv. Antonio Zago, Avv. Daniele A. M. Trento)
Intervento dell'Avv. Sarah Ungaro al convegno organizzato dall'Associazione Forense di Lecce il 1 dicembre 2016 sul tema:
Il commercio elettronico nella società dell'informazione
Il Commercio on-line e i rischi per gli operatori: La Comunicazione, il Trattamento Dati, il Diritto d'Autore, la Proprietà intellettuale. Avvocato Giorgio Carozzi
Intervento presentato nel corso del DIGEat2018 - Consilum "I soggetti del trattamento: la nuova geometria di ruoli, responsabilità e rapporti alla luce del GDPR", a cura del D&L NET
Nella presentazione vengono illustrati brevemente gli adempimenti introdotti dal GDPR. Inoltre viene indicato una possibile modalità di creazione ed attuazione del un modello organizzativo privacy.
Vademecum GDPR e Privacy negli studi legali - Edizione NazionaleEdoardo Ferraro
I Vol. 1 e 2 del vademecum in tema di privacy e GDPR a cura dei colleghi del Movimento Forense Triveneto.
(Co-autori: Avv. Maela Coccato, Avv. Giovanni Calabrese, Avv. Antonio Zago, Avv. Daniele A. M. Trento)
Marketing e GDPR: Esercitazioni. Workshop a SMAU Bologna 2019ITER srl
Dopo il primo anno di servizio del GDPR, come procedono le attività di marketing? Abbiamo fatto il punto della situazione a partire dai più tipici dilemmi del marketing digitale e non solo. Guarda le slide
SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazio...SMAU
SMAU MILANO 2023 | SMAU MILANO 2023 | 𝐃𝐢𝐠𝐢𝐭𝐚𝐥 𝐓𝐫𝐚𝐢𝐧𝐢𝐧𝐠 𝐉𝐨𝐮𝐫𝐧𝐞𝐲 La nuova frontiera della formazione professionale: gamification e apprendimento continuo
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbotsSMAU
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots: nemici o alleati dei business game? 5 requisiti di un “buon” business game di marketing strategico, potenzialmente integrabile proprio con strumenti di IA, come antidoto alla crescente disabitudine al problem solving e al pensiero critico, al lavoro di gruppo e all'orientamento strategico
SMAU MILANO 2023 | SMAU MILANO 2023 | Intelligenza Artificiale e chatbots
Smau Napoli 2014 Aicel
1. Sito E commerce:
Privacy & Cookies
Relatore: Dott.ssa Patrizia Meo
Associazione Italiana Commercio Elettronico
2. Privacy
Il concetto di privacy, prevalentemente non giuridico, è di origine
anglosassone.
E’ partito come “diritto ad essere lasciati soli” (right to be alone)
per poi essere definito quale potere di controllo sulla
circolazione delle proprie informazioni personali
1890 Samuel Warren
The right to Privacy
2
6. Codice Privacy
Creare e gestire un sito
ecommerce comporta
necessariamente il trattamento
dei dati personali
Il sito web deve rispettare il
Codice Privacy D. Lgs.196/03
6
7. D.Lgs. 196/03:
Terminologia
qualunque operazione o
complesso di operazioni, effettuati
anche senza l'ausilio di strumenti
elettronici, concernenti la raccolta,
la registrazione, l'organizzazione,
la conservazione, la consultazione,
l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto,
l'utilizzo, l'interconnessione, il
blocco, la comunicazione, la
diffusione, la cancellazione e la
distruzione di dati, anche se non
registrati in una banca di dati;
il dare conoscenza dei dati
personali a uno o più
soggetti determinati
diversi dall'interessato, dal
rappresentante del titolare
nel territorio dello Stato,
dal responsabile e dagli
incaricati, in qualunque
forma, anche mediante la
loro messa a disposizione
o consultazione;
il dare conoscenza dei
dati personali a soggetti
indeterminati, in
qualunque forma, anche
mediante la loro messa
a disposizione o
consultazione;
Trattamento
Comunicazion
e
Diffusione
7
9. Informativa Privacy
L’informativa costituisce un adempimento generale cui sono sottoposti tutti i titolari di trattamento.
Qualunque soggetto, pubblico o privato, è tenuto a fornire all’interessato l’informativa.
L’interessato attraverso l’informativa apprende le informazioni essenziali per l’esercizio dei suoi diritti.
diritto alla protezione dei dati diritto a controllare i propri dati
L’informativa all’interessato ed il consenso dello stesso (quando previsto) sono due
requisiti fondamentali di legittimità del trattamento dei dati personali.
9
10. Informativa Privacy
1. L'interessato o la persona presso la quale sono raccolti i dati personali sono
previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di responsabili o
incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio
dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato
più responsabili è indicato almeno uno di essi, indicando il sito della rete di
comunicazione o le modalità attraverso le quali è conoscibile in modo agevole
l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il
riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato
tale responsabile.
Art. 13 D.Lgs. 196/03
10
11. Informativa Privacy
Finalità
Natura
obbligatoria o
facoltativa del
conferimento dati
Titolare del
trattament
o
Modalit
à
Art. 7
Conseguenze di
un eventuale
rifiuto a
rispondere
Soggetti ai
quali possono
essere
comunicati i
dati
Informativa
privacy
11
12. Informativa Privacy
L’ordine del processo di legittimità del trattamento è il
seguente:
INFORMATIVA
CONSENSO
RACCOLTA DATI
Non è sufficiente un’informazione generica che metta
l’interessato a conoscenza dell’esistenza di un generico
trattamento di dati personali che lo riguardano. Occorre
che tale avviso contenga gli elementi tassativamente
indicati dall’art. 13 Codice Privacy.
12
13. Privacy Policy
13
Dati di navigazione
I sistemi informatici e le procedure software preposte al funzionamento di questo sito web
acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è
implicita nell'uso dei protocolli di comunicazione di Internet.
Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma
che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da
terzi, permettere di identificare gli utenti.
In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli
utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle
risorse richieste, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la
dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal
server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all'ambiente
informatico dell'utente.
Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso del
sito e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo
l'elaborazione. I dati potrebbero essere utilizzati per l'accertamento di responsabilità in caso di
ipotetici reati informatici ai danni del sito: salva questa eventualità, allo stato i dati sui contatti
web non persistono per più di sette giorni.
14. Privacy Policy
14
Se il sito prevede che l’utente possa fornire dati volontariamente per
accedere ad alcuni servizi:
• Iscrizione al sito
• Lista dei desideri
• Newsletter
In queste ipotesi il Titolare effettua operazioni di trattamento ulteriori
rispetto a quelle relative alla semplice navigazione nelle pagine del sito,
quindi è necessario che l’interessato venga previamente informato circa le
operazioni cui verranno sottoposte le informazioni che vengono da lui
fornite.
15. Privacy Policy
15
MODALITA' DEL TRATTAMENTO
I dati personali sono trattati con strumenti automatizzati per il tempo strettamente necessario a
conseguire gli scopi per cui sono stati raccolti.
Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non
corretti ed accessi non autorizzati.
IL "TITOLARE" DEL TRATTAMENTO
A seguito della consultazione di questo sito possono essere trattati dati relativi a persone
identificate o identificabili.
Il "titolare" del loro trattamento è: nnnnnnn
DIRITTI DEGLI INTERESSATI
I soggetti cui si riferiscono i dati personali hanno il diritto in qualunque momento di ottenere la
conferma dell'esistenza o meno dei medesimi dati e di conoscerne il contenuto e
l'origine, verificarne l'esattezza o chiederne l'integrazione o l'aggiornamento, oppure la rettificazione
(articolo 7 del Codice in materia di protezione dei dati personali).
16. Informativa Privacy:
sanzione amministrativa
16
Art. 161
Omessa o
Inidonea informativa
Sanzione amministrativa da € 6.000 ad € 36.000.
Nel caso di ipotesi di minore gravità conseguenti alla natura economica e sociale dell’attività
svolta, i limiti minimi e massimi di cui sopra si applicano in misura pari a due quinti.
Nelle ipotesi di maggiore gravità, ad esempio quando ricorrono più violazioni della stessa
norma o contemporanee violazioni di più norme commesse anche in tempi diversi in
relazione a banche dati di particolare rilevanza o dimensioni, le sanzioni amministrative si
applicano in misura da € 50.000 ad € 300.000. Non è ammesso il pagamento in misura
ridotta.
In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio
per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti
minimo e massimo delle sanzioni sono applicati in misura pari al doppio.
Le sanzioni possono, poi, essere aumentate fino al quadruplo quando possono risultare
inefficaci in ragione delle condizioni economiche del contravventore.
Può, infine, essere applicata la sanzione amministrativa accessoria della pubblicazione
dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel
provvedimento che la applica. La pubblicazione ha luogo a cura e spese del
contravventore.
17. Consenso
15/11/2014Rev 1.9
Art. 23. Consenso
1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è
ammesso solo con il consenso espresso dell’interessato.
2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello
stesso.
3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente
in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto,
e se sono state rese all'interessato le informazioni di cui all'articolo 13.
4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati
sensibili.
17
18. Consenso
Il consenso deve essere:
• Libero
• Specifico per un trattamento
individuato
• Documentato per iscritto
• Manifestato in forma scritta per dati
sensibili
• Informato (occorre informativa
completa e corretta)
18
Espresso
Libero
Specifico
Informato
19. 19
Esempio
Non è libero il consenso
prestato quando la società
condiziona la registrazione
al suo sito web da parte
degli utenti e,
conseguentemente, anche
la fruizione dei suoi servizi.
E’ Specifico per ciascuna
finalità perseguita:
marketing, profilazione,
comunicazione di dati a
terzi.
20. Esclusione Consenso
15/11/2014Rev 1.9
Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso
1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il
trattamento:
a) è necessario per adempiere ad un obbligo previsto dalla legge, da un
regolamento o dalla normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte
l'interessato o per adempiere, prima della conclusione del contratto, a specifiche
richieste dell'interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti
conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i
regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e
pubblicità dei dati;
……….
20
21. Esempio:
Mail Marketing
• Invio di e-mail con l'intento di portare a livello più avanzato il
rapporto tra un'azienda e i suoi clienti precedenti o attuali e
per incoraggiarne la fidelizzazione.
• Invio di e-mail con l'intento di acquisire nuovi clienti o
convincere quelli precedenti ad acquistare subito qualcosa.
• Aggiunta di elementi pubblicitari nei messaggi e-mail inviati
da altre aziende ai propri clienti.……….
21
22. Marketing
L’uso di sistemi automatizzati di chiamata senza l’intervento di
un operatore per l’invio di materiale pubblicitario o di vendita
diretta o per il compimento di ricerche di mercato o di
comunicazione commerciale è consentito con il consenso
dell’interessato. Invio di e-mail con l'intento di acquisire nuovi
clienti o convincere quelli precedenti ad acquistare subito
qualcosa.
Tale principio si applica anche a e-mail, fax, mms, sms. Il
Codice Privacy ha pertanto accolto il sistema dell’opt-in, che
ammette l’invio solo in presenza di consenso preventivo.
22
Linee guida in materia promozionale e
contrasto alla spam (4 luglio 2013)
23. Consenso
23
il form di raccolta dei dati prevede
l'acquisizione di un unico e indistinto
consenso, peraltro con il relativo flag già
inserito, degli utenti a fronte delle più
eterogenee finalità dichiarate
nell'informativa
Raccolta di dati personali da parte di un sito specializzato per
richieste di preventivi (prestiti personali) - 9 ottobre 2014
24. Garante Privacy
a) dichiara illecito il trattamento di dati personali posto in essere dalla società
xxxxx , con sede legale in TTTT, via xxxxxx, tramite il sito Internet www.xxxxx.it
per le finalità di profilazione dei clienti, di invio di comunicazioni
promozionali, di comunicazione e di cessione di dati a terzi, effettuato dalla
medesima senza aver ottenuto un consenso specifico e libero, e documentato
per iscritto per ciascuna delle predette finalità;
Garante Privacy: Raccolta di dati via Internet per finalità promozionali: sempre
necessario il consenso degli interessati - 15 luglio 2010
24
26. Garante Privacy
Individuazione delle modalità semplificate per l'informativa e l'acquisizione
del consenso per l'uso dei cookie - 8 maggio 2014
La nuova normativa per la gestione dei cookie sui siti italiani, entrata in vigore in
Gazzetta Ufficiale il 3 Giugno 2014, prevede che sia necessario informare
l'utente della presenza di cookie all'interno del proprio sito in modo che il
visitatore possa scegliere liberamente se continuare o meno la navigazione.
Direttiva Europea cosidetta E-Privacy (2002/58/CE) modificata con la direttiva
2009/136, regolamenta l’uso delle informazioni memorizzate sul terminale
(computer, tablet, telefono,ecc) dell’utente e dunque anche i cookies.
26
27. Cookies
27
Tempi
Entro il 2 giugno 2015 tutti i siti web
dovranno aver recepito la nuova
normativa aggiornando i propri siti con
un meccanismo che permetta la
notifica all’utente, la gestione della
scelta e la presentazione della nuova
cookie policy
29. Cookies
29
La normativa riguarda in pratica
chiunque abbia un sito Internet.
Avrà quindi un fortissimo impatto
su un numero enorme di soggetti,
che presentano natura e
caratteristiche profondamente
diverse tra loro.
30. Cookies?
30
I COOKIE non sono altro che dei piccoli file di
testo che contengono delle informazioni, in
particolare un identificativo (Id) univoco, in
modo da distinguere gli utenti collegati, una
data di scadenza e un pattern che individua il
dominio di riferimento (il sito che rilascia il
cookie). Non essendo dei programmi di per sé
i cookie sono incapaci di porre in essere una
qualsiasi azione, possono solo essere letti
dagli script dei siti web.
31. Tipi di Cookies
31
I cookie essenziali
(strictly necessary)
sono importanti per il
corretto
funzionamento dei
siti, consentono alle
persone di navigare
sui siti internet e di
sfruttarne le
caratteristiche. Veng
ono utilizzati per
registrare
temporaneamente i
dati dei carrelli
elettronici.
I cookie Performance
aiutano a capire come
gli utenti interagiscono
con i siti internet
fornendo informazioni
relative alle sezioni
visitate, il tempo
trascorso sul sito, e
qualsiasi questione che
sia emersa, per
esempio un messaggio
di errore.
Esempio i cookie di
GOOGLE ANALYTICS
o di altri motori di
statistiche WEB.
I cookie di tipi
funzionale alla
navigazione
(Functionality
cookie) sono quei
cookie che registrano
le scelte dell’utente
per permettergli ad es.
di ricordarsi il login, di
registrare i prodotti nel
carrello e ritrovarseli la
prossima sessione,
per salvare la lingua
selezionata
dall’utente.
I cookie di
profilazione
(Advertising
cookie) sono volti a
creare profili relativi
all'utente e vengono
utilizzati al fine di
inviare messaggi
pubblicitari in linea
con le preferenze
manifestate dallo
stesso nell'ambito
della navigazione in
rete.
32. Cookies
32
Nel momento in cui l'utente accede a un sito web, deve essergli
presentata una prima informativa "breve", contenuta in un banner
a comparsa immediata sulla home page (o altra pagina tramite la
quale l'utente può accedere al sito), integrata da un'informativa
"estesa", alla quale si accede attraverso un link cliccabile
dall'utente.
33. Individuazione delle modalità semplificate
per l'informativa e l'acquisizione del
consenso per l'uso dei cookie
33
Informativa Semplificata
…..
Deve essere indicato chiaramente:
1) che il sito utilizza cookie di profilazione per inviare messaggi
pubblicitari mirati;
2) che il sito consente anche l'invio di cookie di "terze parti", ossia di
cookie installati da un sito diverso tramite il sito che si sta visitando;
3) un link a una informativa più ampia, con le indicazioni sull'uso dei
cookie inviati dal sito, dove è possibile negare il consenso alla loro
installazione direttamente o collegandosi ai vari siti nel caso dei cookie
di "terze parti";
4) l'indicazione che proseguendo nella navigazione (ad es., accedendo
ad un'altra area del sito o selezionando un'immagine o un link) si presta
il consenso all'uso dei cookie.
34. Informativa estesa
34
L'informativa estesa deve contenere tutti gli elementi previsti
dall'art. 13 del Codice, descrivere in maniera specifica e analitica
le caratteristiche e le finalità dei cookie installati dal sito e
consentire all'utente di selezionare/deselezionare i singoli cookie.
Deve essere raggiungibile mediante un link inserito
nell'informativa breve, come pure attraverso un riferimento su
ogni pagina del sito, collocato in calce alla medesima.
35. Informativa estesa: consenso
35
Nel medesimo spazio dell'informativa estesa deve essere
richiamata la possibilità per l'utente (alla quale fa riferimento
anche l'art. 122, comma 2, del Codice) di manifestare le proprie
opzioni in merito all'uso dei cookie da parte del sito anche
attraverso le impostazioni del browser, indicando almeno la
procedura da eseguire per configurare tali impostazioni.
Possibilità per l’utente di deselezionare l’utilizzo delle differenti
tipologie di cookies (Analytics, Profilazione). Con riferimento
all’utilizzo dei cookie occorre inserire nell’informativa estesa anche
link che rinviino ai siti di terze parti.
36. FAQ in materia di Cookies
36
sono cookie per i quali non è necessario acquisire il consenso preventivo e informato
dell’utente:
• i cookie impiantati nel terminale dell'utente/contraente direttamente dal titolare del singolo
sito web, se non sono utilizzati per scopi ulteriori: è il caso dei cookie di sessione
utilizzati per "riempire il carrello" negli acquisti online, di quelli di autenticazione,
dei cookie per contenuti multimediali tipo flash player se non superano la durata della
sessione, dei cookie di personalizzazione (ad esempio, per la scelta della lingua di
navigazione), ecc.;
• i cookie utilizzati per analizzare statisticamente gli accessi/le visite al sito (cookie cosiddetti
"analytics") se perseguono esclusivamente scopi statistici e raccolgono informazioni in
forma aggregata; occorre però che l'informativa fornita dal sito web sia chiara e
adeguata e si offrano agli utenti modalità semplici per opporsi (opt-out) al loro impianto
(compresi eventuali meccanismi di anonimizzazione dei cookie stessi).
37. 37
In conformità con i principi generali, è necessario in ogni caso
che dell'avvenuta prestazione del consenso dell'utente sia
tenuta traccia da parte dell'editore, il quale potrebbe a tal fine
avvalersi di un apposito cookie tecnico, sistema che non sembra
particolarmente invasivo.
Il Garante stesso suggerisce di farlo… con un cookie tecnico
Consenso
38. 38
Si ricorda che l'uso dei cookie rientra tra i trattamenti soggetti
all'obbligo di notificazione al Garante ai sensi dell'art. 37,
comma 1, lett. d), del Codice, laddove lo stesso sia finalizzato a
"definire il profilo o la personalità dell'interessato, o ad
analizzare abitudini o scelte di consumo, ovvero
a monitorare l'utilizzo di servizi di comunicazione
elettronica con esclusione dei trattamenti tecnicamente
indispensabili per fornire i servizi medesimi agli utenti".
Profilazione
39. 39
Si ricorda che per il caso di omessa
informativa o di informativa inidonea,
ossia che non presenti gli elementi
indicati, oltre che nelle previsioni di cui
all'art. 13 del Codice, nel presente
provvedimento, è prevista la sanzione
amministrativa del pagamento di una
somma da seimila a trentaseimila euro
(art. 161 del Codice).
L'installazione di cookie sui terminali degli
utenti in assenza del preventivo consenso
degli stessi comporta, invece, la sanzione
del pagamento di una somma da
diecimila a centoventimila euro (art.
162, comma 2-bis, del Codice).
L'omessa o incompleta notificazione al
Garante, infine, ai sensi di quanto previsto
dall'art. 37, comma 1, lett. d), del Codice,
è sanzionata con il pagamento di una
somma da ventimila a centoventimila
euro (art. 163 del Codice).
Sanzioni
Notifica
consenso
informativa