Codice della Privacy (D.lgs. 196/2003) e Regolamento Europeo della Privacy (GDPR 2016/679)

Le differenze tra il Codice della Privacy  (D.lgs. 196/2003) e Regolamento Europeo della Privacy (GDPR 2016/679)

Privacy

GDPR


[su_table responsive=”yes” fixed=”yes”]

Codice della Privacy Regolamento UE 2016/679
Normative frammentate, non uniformi fra i vari paesi membri dell’Unione Europea. Regole comuni per tutti i paesi così da eliminare disparità di trattamento per i soggetti interessati del trattamento.
La privacy era intesa come elemento finale delle attività di trattamento, in quanto gli eventuali vizi nella raccolta dei dati potevano essere “sanati” anche dopo che i trattamenti erano già stati effettuati. Introdotti i principi di “Privacy by Design” e “Privacy by Default”, i quali implicano che i trattamenti debbano essere concepiti sin dal momento della loro ideazione nel rispetto delle regole fissate dal legislatore.
Per definire la legge applicabile si considerava la sede del Titolare del trattamento. La legge applicabile è quella del soggetto interessato del trattamento. I Titolari (tra i quali anche social network, piattaforme web e motori di ricerca) saranno quindi soggetti alla normativa europea anche se aventi sede al di fuori dell’UE. Pertanto è prevista l’applicazione del diritto UE anche ai trattamenti di dati personali non svolti nell’UE, purché relativi a beni e servizi offerti ai cittadini UE o tali da permetterne il monitoraggio dei comportamenti.
Non vi erano particolari requisiti per l’informativa, che pertanto era spesso lunga, incomprensibile e con richiami normativi complessi. L’informativa deve essere accessibile, concisa e scritta con linguaggio chiaro e semplice con un numero limitato di riferimenti normativi. Deve essere fornita per iscritto.
Il consenso doveva essere libero, specifico e informato, reso mediante un atto formale per l’accettazione del trattamento dei dati. Il consenso oltre che libero, specifico e informato, deve essere inequivocabile. E’ valido solo se la volontà è espressa in modo NON equivoco per ogni singolo trattamento.
Non vi erano particolari obblighi di tenuta della documentazione comprovante il regolare espletamento dei trattamenti dati. Introdotto il principio di “Accountability”, ovvero della responsabilità “verificabile”. E’ obbligatorio documentare tutti i trattamenti effettuati, poiché è sufficiente non avere i documenti per essere passibili delle sanzioni stabilite dal Regolamento.
Le figure implicate nel trattamento dei dati erano il Titolare del Trattamento, il Responsabile e l’Incaricato del trattamento. Introduzione della Contitolarità nel trattamento dei dati. Eliminata a livello terminologico la figura dell’Incaricato, però mantenuta a livello formale in quanto sia il Titolare che il Responsabile del trattamento possono incaricare dei soggetti per lo svolgimento di determinati compiti.
Inizialmente era stato previsto che il solo Titolare del trattamento si dotasse del DPS (Documento Programmatico sulla Sicurezza), relativo al controllo del trattamento dei dati e la loro sicurezza, prevenendo ogni possibile sanzione da parte dell’Autorità Garante. Poi abrogato in un’ottica di un alleggerimento normativo e documentale. Istituito il l Registro delle Attività di Trattamento, un documento ove non solo il Titolare ma anche il Responsabile del trattamento possaIno rendicontare tutte le attività in materia di protezione e circolazione dei dati personali che li riguardano. La ratio è quella di dimostrare la conformità del del trattamento alle disposizioni del Regolamento
Era previsto che prima dell’inizio di talune attività di trattamento fosse necessario effettuare la notificazione all’Autorità Garante della Privacy. Con il nuovo Regolamento non si dovrà più effettuare la notificazione all’Autorità Garante, ma per il Titolare (e i suoi rappresentanti) sarà necessario tenere i registri delle attività di trattamento, che ricalcano il vecchio DPS, poiché ove possibile bisognerà fornire la descrizione delle misure di sicurezza adottate.
Non era stabilito alcun obbligo di notifica delle eventuali violazioni dei dati personali. E’ stato sancito l’obbligo, per il Titolare, di comunicare le violazioni (data breach) all’Autorità Garante, senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, nonché al soggetto interessato, qualora la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà.
La vecchia normativa riconosceva al soggetto interessato diversi diritti, sebbene molti fossero di origine giurisprudenziale. Codificati i diritti di elaborazione giurisprudenziale, affiancati dall’introduzione di nuovi diritti quali: diritto alla portabilità dei dati, diritto all’oblio.
Non era prevista alcuna figura di raccordo tra i soggetti del trattamento e l’Autorità Garante. Introduzione della figura del Data Protection Officer (DPO), figura professionale obbligatoria per alcune categorie di soggetti Titolari del trattamento, che dovrà fungere da referente con il Garante e dovrà avere requisiti e competenze elevate. Il DPO potrà essere sia un dipendente che un collaboratore con regolare contratto.

[/su_table]

Privacy and Security in Personal Data Clouds

Executive Summary

For the purposes of this study, Personal Data Clouds (“PDCs”) are defined as technological solutions aiming to provide to end-users the typical data collection and storage capabilities of data management systems but also, to help end-users regain control over their data. Accordingly, PDCs are ideally embedded by privacy-enhancing elements allowing individuals to determine on their own how they want their data to be managed in and outside of the solution and with whom they should be shared.
The main objective of the study is to identify the different architectures and components of PDCs and discuss their privacy and security challenges. Based on an empirical analysis of various applications that fall under, or are close to, the definition of PDCs, the study presents a “state of the art” analysis of the security and privacy features of PDCs. It assesses to what extent current PDC solutions, either available on the market or in a research and development phase, are supported by functionalities that enhance the level of security and privacy they offer to their users by enabling the latter to take decisions over their data and, ideally, enforce them (user centric model). Given that mobile health applications have been gaining considerable attention nowadays, especially through the data storage and communication capabilities of wearables, the study identifies in particular privacy-enhancing features already adopted by certain PDCs in the health sector.
Although PDCs represent a relatively new concept with which system designers and end-users are not fully familiar, the study has identified two key characteristics to distinguish PDCs from other system categories: user-centricity, meaning the ability of the tool to place the user in the centre of data management, and privacy enhancing technologies, setting up PDCs in a way that users’ privacy will prevail over default functions that may put the protection of users’ personal data at risk. These key attributes can be concretely expressed through specific features of the PDCs architecture such as:

  • Data Management (the ability of users to store, access, and share data within the PDC);
  • Privacy by design (incorporation of privacy protections into the design and development of the system);
  • Definition of user-centric preference (the ability of users to define their own privacy preferences);
  • Privilege and access management (the ability of users to define which parties can access their data);
  • Privacy by default (the design of the tool builds from the outset upon security and privacy settings);
  • Data deletion (the ability of users to determine the erasure of their data and the conditions of deletion);
  • Data Portability (the possibility of retrieving data stored in the PDC and transferring data between PDCs);
  • Security (technical measures and controls to ensure the confidentiality, integrity and availability of personal data stored and managed on the PDC – with particular focus on data encryption mechanisms);
  • Traceability (having detailed logs of actions performed by users or any third parties)

The state of the art analysis of the present study revealed that, although some of the above features are considered by certain PDCs, there is still room for improvement. Some of the key findings were the following:

  • Privacy by design: overall, privacy cannot yet be said to be taken into account from the outset of the development of a product for most identified PDCs, since the majority of these did not feature built-in policies of data minimization, anonymization, or pseudonymisation;
  • Definition of user-centric preferences: the majority of the identified PDC solutions offered a simple binary consent system (“allow/deny”) for access control;
  • Privacy by default: although simple “do not share” profiles are enabled by default in most identified PDCs, the applications still do not feature, on a general level, tools to ensure that personal data is only processed to the extent necessary and stored for no longer than what it is needed;
  • Data Portability: this feature was found to be sorely lacking in most of the identified PDCs. The lack of standards in this field prevent the data from being exported to another PDC developer;
  • Security: while encryption was found to be widespread amongst the identified PDCs, no identified solution employed client side encryption or layered encryption. The lack of cryptographically enforced preferences was also verified for all the identified applications.

Based on these findings, it is possible to highlight certain privacy and security challenges in the future development of this field. With regard to privacy and user-centricity, a fundamental challenge is the possibility that systems that depend on users setting a large number of options by themselves may not be adopted by the general public due to the difficulty in their use. This reflects a tension between granularity and usability, both of which need to be taken into account during the design of the PDC.

From the point of view of security, the main challenges are related to the lack of adoption of client side encryption. The limits of cryptography (especially in the absence of client side encryption) should remain an open point for future development in this field, as they would enable not only stronger security levels but also the possibility of allowing PDCs to complete “link contracts” or, more generally, act as vectors for technically enforceable user preferences. On a related challenge, stronger authentication measures are also recommended, as well as more transparent procedures for dealing with data breaches and other incidents.

Following the aforementioned analysis, the studies draws a number of conclusions and subsequent recommendations for the further use of PDCs as privacy enhancing technologies:

• PDCs and Information Management Tools
A PDC hinges on the control granted to the user while authorizing what data to share, with whom and when. A backdrop layer of privacy-enhancing technologies is thus central to PDCs.
The research community and the developers of PDCs should continue to implement privacy-enhancing technologies in these solutions, taking into consideration that comprehensive information management tools can be combined with proper data protection mechanisms. Policy makers and regulators at national and EU levels should promote the use of PDCs as privacy enhancing technologies that can put users in control over their personal data.

• Degree of User Control
The study has identified a tension between granularity and usability, partly expressed in the limitations of consent as an informed basis for processing of personal data. For the most part, PDC tools still rely on the traditional and limited consent-based model, fostering binary (“allow/deny”) systems that do not easily allow to manage large quantities of data. On the other hand, full granularity of choice, for each data set, authorised party, and purpose, may engender “consent fatigue” and alienate users.
The research community and the developers of PDCs must take into account the need to offer solutions that combine a robust framework for managing personal preferences and an easy to use interface or mechanism. The European Commission should promote research and development in the field of ‘usable privacy’, especially in the context of personal information management systems, such as PDCs.

• Enforceability of Rights
There is still a lack of users’ rights management mechanisms in the PDC market. This represents a potential hindrance to the widespread adoption of PDCs because users have no way to ensure or enforce (in the absence of legal or contractual arrangements) that third party applications or providers will not process their personal data for other purposes.
As a key element in restoring user trust, PDC developers and the research community should place priority in implementing systems that allow users to enforce their personal choices within the PDC through the use of technical means. The European Commission and Data Protection Authorities should raise awareness of the existence and advantages of such mechanisms, as a means to facilitate the adoption technologies that are still not well understood by the general public.

• Lack of Standards
Without unifying standards to allow for export of PDC databases, data portability between providers will be achieved only with great difficulty.
The European Commission, Data Protection Authorities and security-focused international bodies should promote the use of standards in the fields of encryption and data management. Standards-setting bodies may play a key role in the development of new technical specifications that will promote interoperability of PDCs with other solutions they have to communicate with, or between PDCs themselves for the implementation of data portability. The research community and PDC developers should also strive to collectively work on the elaboration of widely-recognised standards, and to implement those, enabling users to transfer their information between different providers.

• Limits of Cryptography
Encryption alone cannot protect data inference. Other privacy-preserving computations, such as Oblivious RAM or secure multi-party computation should also be considered as means to enhance the protection of personal data.
PDC developers should not rely only on commonly used cryptographic protocols, but actively roll out more advanced forms of encryption such as client side encryption. The research community should continue developing privacy-preserving computations and relevant key management and infrastructure processes with a view to making them functionally and commercially viable.

• Variable Level of Security
Secure coding, regular security audits and penetration testing should be considered as a mainstay of any PDC development and distribution cycle. More efforts should be undertaken to encourage adoption of client side encryption.
PDC developers should combine robust code writing with standard operating procedures that ensure a high level of security. Data Protection Authorities and security-forced international bodies can provide the incentives to foster active, regular security monitoring of systems and procedures for the processing of personal data.

 

[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2018/09/Privacy-and-Security-in-Personal-Data-Clouds.pdf” width=”800″ height=”1090″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]

 

About ENISA


The European Union Agency for Network and Information Security (ENISA) is a centre of network and information security expertise for the EU, its member states, the private sector and Europe’s citizens. ENISA works with these groups to develop advice and recommendations on good practice in information security. It assists EU member states in implementing relevant EU legislation and works to improve the resilience of Europe’s critical information infrastructure and networks. ENISA seeks to enhance existing expertise in EU member states by supporting the development of cross-border communities committed to improving network and information security throughout the EU. More information about ENISA and its work can be found at www.enisa.europa.eu.
Contact
For contacting the authors please use [isdp@enisa.europa.eu.]
For media enquiries about this paper, please use press@enisa.europa.eu.
Acknowledgements
We would like to thank the following persons for their valuable insight during the data collection phase of this study: Yves-Alexandre de Montjoye (openPDS/SafeAnswers), David Alexander (Mydex CIC), Leslie Liu (Google), Mary Ruddy (Personal Data Ecosystems Consortium).

 

 

GDPR DECRETO LEGISLATIVO 10 agosto 2018, n. 101

Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento UE 2016/679 (GDPR) del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). (18G00129) (GU Serie Generale n.205 del 04-09-2018)

Note: Entrata in vigore del provvedimento: 19/09/2018

 

[raw]
[column size=”1/4″ wpautop=”true”]
Capo I
[/column]
[column size=”3/4″ wpautop=”true”]
MODIFICHE AL TITOLO E ALLE PREMESSE DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI DI CUI AL DECRETO LEGISLATIVO 30 GIUGNO 2003, N. 196
[/column]
[/raw]
[raw]
[column size=”1/4″ wpautop=”true”]
Capo II
[/column]
[column size=”3/4″ wpautop=”true”]
MODIFICHE ALLA PARTE I DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI DI CUI AL DECRETO LEGISLATIVO 30 GIUGNO 2003, N. 196
[/column]
[/raw]
[raw]
[column size=”1/4″ wpautop=”true”]
Capo III
[/column]
[column size=”3/4″ wpautop=”true”]
MODIFICHE ALLA PARTE II DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI DI CUI DECRETO LEGISLATIVO 30 GIUGNO 2003, N. 196
[/column]
[/raw]
[raw]
[column size=”1/4″ wpautop=”true”]
Capo IV
[/column]
[column size=”3/4″ wpautop=”true”]
MODIFICHE ALLA PARTE III E AGLI ALLEGATI DEL CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI DI CUI AL DECRETO LEGISLATIVO 30 GIUGNO 2003, N. 196
[/column]
[/raw]
[raw]
[column size=”1/4″ wpautop=”true”]
Capo V
[/column]
[column size=”3/4″ wpautop=”true”]
DISPOSIZIONI PROCESSUALI
[/column]
[/raw]
[raw]
[column size=”1/4″ wpautop=”true”]
Capo VI
[/column]
[column size=”3/4″ wpautop=”true”]
DISPOSIZIONI TRANSITORIE, FINALI E FINANZIARIE
[/column]
[/raw]

[tnc-pdf-viewer-iframe file=”https://www.mmc.ge.it/main/wp-content/uploads/2018/09/Gazzetta-Ufficiale-205-2019.pdf” width=”800″ height=”1090″ download=”false” print=”false” fullscreen=”true” share=”false” zoom=”true” open=”false” pagenav=”true” logo=”false” find=”true” current_view=”true” rotate=”false” handtool=”true” doc_prop=”false” toggle_menu=”true” language=”it” page=”” default_zoom=”auto” pagemode=””]

Privacy e GDPR cosa cambia

Privacy e GDPR

L’evoluzione logica dei diritti delle persone

 

 

[raw]
[column size=”1/12″ wpautop=”true”]
[/column]
[column size=”5/12″ wpautop=”true”]
Informativa ex art. 13 TU
[/column]
[column size=”1/2″ wpautop=”true”]
Informativa ex artt. 13 e 14 GDPR
[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
1
[/column]
[column size=”5/12″ wpautop=”true”]
Nella attività da iniziare è previsto il trattamento di dati personali?
L’informativa è un obbligo generale che va adempiuto prima o al massimo al momento di dare avvio alla raccolta per il trattamento di dati personali.
Occorre ricordare che l’obbligo non scatta:

  • quando il trattamento concerne dati che non sono personali bensì anonimi (es., dati aggregati o statistici);
  • quando il trattamento riguarda i dati di enti / persone giuridiche: la normativa a protezione dei dati personali non concerne le informazioni relative a soggetti diversi dalle persone fisiche (nondimeno l’attenzione deve essere focalizzata sulla circostanza che, quasi sempre, il trattamento di dati dell’ente/persona giuridica include inevitabilmente quello di dati riconducibili alle persone fisiche che vi operano/lavorano).

[/column]
[column size=”1/2″ wpautop=”true”]
Nella attività da iniziare è previsto il trattamento di dati personali?
Vale integralmente quanto riportato/considerato sull’argomento nell’omologo riquadro per il TU.
[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
2
[/column]
[column size=”5/12″ wpautop=”true”]
Nella attività da iniziare è previsto l’obbligo dell’informativa?
Non deve prestare l’informativa:

  • la persona fisica che effettui il trattamento dei dati per fini esclusivamente personali e i dati non siano destinati ad una comunicazione sistematica ovvero alla diffusione;
  • il titolare che riceva un curriculum vitae spontaneamente trasmesso dall’interessato, almeno fino al momento del primo contatto successivo con interessato, quando sarà da rendere una informativa breve contenente almeno l’indicazione: 1) della finalità del trattamento; 2) dei soggetti o categorie di soggetti cui i dati possono essere comunicati e l’ambito di diffusione – se prevista – dei medesimi; 3) gli estremi identificativi del titolare ovvero del responsabile per il riscontro all’interessato, se nominato.

[/column]
[column size=”1/2″ wpautop=”true”]
Nella attività da iniziare è previsto l’obbligo dell’informativa?
Non è tenuta a prestare l’informativa la persona fisica che effettui il trattamento dei dati per attività a carattere esclusivamente personale e domestico. [/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
3
[/column]
[column size=”5/12″ wpautop=”true”]
Ha il titolare reso in precedenza una informativa per attività similare?
Per stabilire se si è di fronte ad una attività similare se non identica, bisogna fare precipuo riferimento alla finalità del trattamento. In ogni caso, l’eventuale nuova informativa potrà non comprendere gli elementi già noti all’interessato. [/column]
[column size=”1/2″ wpautop=”true”]
L’interessato dispone già delle informazioni?
In questo caso l’informativa non è dovuta.
[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
4
[/column]
[column size=”5/12″ wpautop=”true”]
I dati sono raccolti presso l’interessato o presso un terzo?
Nel caso di raccolta dei dati presso il terzo, l’informativa è data all’interessato:

  • nel momento in cui i dati sono registrati;
  • (quando è prevista la loro comunicazione) al momento della prima comunicazione.

L’informativa deve comprendere, oltre alle informazioni richieste in generale, anche l’indicazione delle categorie di dati trattati (solo dati personali comuni o anche dati sensibili e/o giudiziari).
[/column]
[column size=”1/2″ wpautop=”true”]
I dati sono raccolti presso l’interessato o presso un terzo?
Nel caso di raccolta dei dati presso il terzo, l’informativa è data all’interessato:

  • entro un termine “ragionevole” e comunque entro 1 mese;
  • (quando è prevista la loro comunicazione) non oltre la prima comunicazione all’interessato o ad altro destinatario.

L’informativa deve essere completa dei contenuti prescritti in via generale, con le seguenti aggiunte/differenze:

  • l’indicazione delle categorie dei dati personali oggetto del trattamento;
  • l’indicazione della fonte da cui hanno origine i dati personali (che può essere anche fonte accessibile al pubblico);
  • si omette l’informazione circa la natura obbligatoria o meno della comunicazione di dati personali, perché nella fattispecie i dati non sono raccolti presso l’interessato.

[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
5
[/column]
[column size=”5/12″ wpautop=”true”]
(Nel caso di raccolta presso terzi) Il titolare è sempre tenuto ad informare l’interessato?
Il TU individua tre fattispecie nelle quali il titolare non è tenuto a informare l’interessato, quando:

  • il trattamento è da eseguire in base ad un obbligo di legge o di regolamento ovvero in base ad una norma comunitaria;
  • i dati sono da trattare ai fini dello svolgimento delle investigazioni difensive ovvero per far valere/difendere un diritto in sede giudiziaria;
  • l’informativa all’interessato comporti un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, sempre per il Garante, impossibile.

[/column]
[column size=”1/2″ wpautop=”true”]
(Nel caso di raccolta presso terzi) Il titolare è sempre tenuto ad informare l’interessato?
Il GDPR individua le fattispecie in cui il titolare non è tenuto a informare l’interessato, quando:

  • l’interessato dispone già delle informazioni;
  • comunicare tali informazioni risulta impossibile o  implicherebbe uno sforzo sproporzionato;
  • l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare;
  • i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri.

[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
6
[/column]
[column size=”5/12″ wpautop=”true”]
L’informativa è da rendere in forma scritta o orale?
Sono forme parimenti ammesse dalla legge ma è chiaro che una informativa scritta (riportata su supporto cartaceo/digitale e inviata/consegnata al destinatario con evidenza della ricezione da parte del medesimo) costituisce prova obiettiva dell’assolvimento dell’obbligo da parte del titolare.
[/column]
[column size=”1/2″ wpautop=”true”]
Quali requisiti di forma sono stabiliti per l’informativa?
L’informativa deve essere resa in forma:

  • concisa
  • trasparente
  • intelligibile
  • facilmente accessibile
  • con un linguaggio semplice e chiaro (in particolare per il caso di minori).

L’informativa deve essere resa per iscritto o con altri mezzi (anche elettronici, come per es., la posta elettronica). Ove richiesto dall’interessato, l’informativa è da rendere oralmente (purché sia comprovata con altri mezzi l’identità dell’interessato).
Come segnalato per il TU, anche qui può essere opportuno che il titolare si procuri e conservi una evidenza del rilascio dell’informativa.
[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
7
[/column]
[column size=”5/12″ wpautop=”true”]
Quale è/quali sono la/le finalità del trattamento?
Si tratta di una domanda-chiave per la corretta redazione dell’informativa, per rispondere alla quale occorre effettuare una analisi preventiva, di tipo squisitamente logico. Può riscontrarsi in tal modo come all’interno di una presunta unica finalità ve ne siano, in realtà, più di una.
Occorre pertanto che:

  • a ciascuna finalità del trattamento siano correlate tutte le informazioni imposte dall’art. 13 (è un po’ come se, nel caso di finalità plurime, si redigessero altrettante informative in un unico contesto documentale);
  • l’interessato (il soggetto, cioè, cui i dati si riferiscono) sia messo in condizione di scegliere liberamente, per es., di prestare il consenso al primo trattamento e non al secondo (libertà del consenso).

[/column]
[column size=”1/2″ wpautop=”true”]
Quale è/quali sono la/le finalità del trattamento?
Vale integralmente quanto riportato/considerato nell’omologo riquadro per il TU.
[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
8
[/column]
[column size=”5/12″ wpautop=”true”]
Quali sono le modalità del trattamento?
La domanda è riferita soprattutto alle cautele/misure di sicurezza adottate al fine di eseguire il trattamento nel rispetto dei principi di riservatezza, integrità e disponibilità dei dati. E’ sufficiente che l’informativa rechi una descrizione di sintesi, senza cioè entrare in dettagli che potrebbero renderla oltremodo lunga, faticosa e incomprensibile.
[/column]
[column size=”1/2″ wpautop=”true”]
L’informativa ai sensi del GDPR non è chiamata a informare specificamente sull’argomento.
[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
9
[/column]
[column size=”5/12″ wpautop=”true”]
La base giuridica del trattamento è richiesta dal GDPR mentre non è direttamente richiamata dal TU. La ricognizione di cui al successivo punto 11 fornisce in ogni caso una informazione al proposito.
[/column]
[column size=”1/2″ wpautop=”true”]
Qual è la base giuridica del trattamento?
Per base giuridica del trattamento si può intendere la fonte/origine/giustificazione del trattamento:

  • in una norma di legge
  • nell’adempimento di un contratto
  • nella soddisfazione di una richiesta dell’interessato.

Nel caso di sussistenza di un obbligo legale o contrattuale, può essere opportuno fornire indicazioni più precise.
[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
10
[/column]
[column size=”5/12″ wpautop=”true”]
Nel TU non si fa riferimento al legittimo interesse del titolare o di terzi di cui al GDPR. Dal punto di vista sostanziale, la relativa informazione può dirsi compresa nell’ambito delle finalità del trattamento.
[/column]
[column size=”1/2″ wpautop=”true”]
Il trattamento è necessario per perseguire un legittimo interesse del titolare o di terzi?
Quando il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi (es., trattamento finalizzato a prevenire delitti, ecc.) – a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore -, è necessario che il titolare espliciti detto interesse.
[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
11
[/column]
[column size=”5/12″ wpautop=”true”]
Il conferimento dei dati è obbligatorio o facoltativo?
Il conferimento dei dati può essere dovuto:

  • ad un obbligo di legge
  • ad un obbligo contrattuale
  • ad una richiesta dell’interessato.

Da ciò si desume la natura obbligatoria o facoltativa del conferimento.
[/column]
[column size=”1/2″ wpautop=”true”]
L’interessato è obbligato a fornire i dati?
L’informativa deve precisare se l’interessato possa o meno rifiutare di fornire i dati e quali siano le conseguenze dell’eventuale rifiuto.
[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
12
[/column]
[column size=”5/12″ wpautop=”true”]
Quali sono le conseguenze del rifiuto di fornire i dati da parte dell’interessato?
Questa informazione consegue logicamente al contenuto di quella di cui al precedente punto. Ciò comporta la distinzione tra i casi in cui, essendo implicato/a:

  • un obbligo di legge, il rifiuto di fornire i dati impedisca l’assolvimento dell’obbligo ed esponga eventualmente l’interessato anche a sanzioni contemplate dall’ordinamento giuridico
  • un obbligo contrattuale, il rifiuto di fornire i dati precluda l’esecuzione del contratto ed esponga l’interessato ad una eventuale responsabilità per inadempimento contrattuale
  • una richiesta dell’interessato, questi semplicemente non riceva la prestazione richiesta

[/column]
[column size=”1/2″ wpautop=”true”]
Quali sono le conseguenze del rifiuto di fornire i dati da parte dell’interessato?
Vedasi punto precedente. Dal punto di vista logico-giuridico valgono le considerazioni svolte nell’omologo riquadro per il TU.
[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
13
[/column]
[column size=”5/12″ wpautop=”true”]
A quali soggetti saranno comunicati i dati raccolti?
Anche questo è un quesito fondamentale per l’informativa. Impone di prefigurare a priori il flusso delle informazioni dal titolare verso l’esterno. Si presti attenzione al fatto che:

  • deve trattarsi di un flusso informativo coerente con la finalità del trattamento (ad es., se i dati sono raccolti per finalità di esecuzione di un rapporto di lavoro, non è lecito che i dati siano comunicati ad una società che si occupa di web-marketing);
  • ad ogni finalità del trattamento si associa un elenco di soggetti a cui i dati dovranno/potranno essere comunicati.

Al fine di rendere il contenuto dell’informativa insensibile alle variazioni contingenti, è suggerita l’indicazione non già delle persone fisiche/giuridiche, bensì della categoria (es., non “il rag. Mario Rossi” bensì il “ragioniere/dottore commercialista”) come la legge stessa consente.
Oltre alla comunicazione di dati a terzi, l’interessato deve altresì essere informato dell’eventuale diffusione di detti dati, ove prevista e coerente con le finalità del trattamento (la diffusione non potrà mai concernere dati idonei a rivelare lo stato di salute).
Lo scopo di questo requisito particolarmente importante dell’informativa è:

  • rendere edotto l’interessato della destinazione dei dati a sé riferiti;
  • metterlo in condizione di esercitare pienamente i diritti di controllo sull’utilizzo dei dati.

[/column]
[column size=”1/2″ wpautop=”true”]
Chi sono i destinatari (o le eventuali categorie di destinatari) dei dati
E’ requisito analogo a quello già previsto nell’informativa ex art. 13 TU. Anche qui la finalità della norma è rendere consapevole l’interessato della destinazione dei dati a sé riferiti e permettergli l’esercizio dei vari diritti connessi al trattamento.
Valgono dunque tutte le ulteriori considerazioni svolte nell’omologo riquadro per il TU.
[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
14
[/column]
[column size=”5/12″ wpautop=”true”]
L’informazione sull’eventuale trasferimento dei dati extra-UE / ad organizzazioni internazionali – specificamente richiesta dal GDPR – è da inserire, almeno come indicazione dei destinatari dei dati, all’interno di quanto previsto al punto precedente. Nel TU è del resto presente una disciplina del trasferimento dei dati in Paesi extra-UE, in adempimento della quale può essere necessario il consenso stesso dell’interessato (che ovviamente presuppone una idonea informativa).
[/column]
[column size=”1/2″ wpautop=”true”]
E’ previsto il trasferimento dei dati extra-UE o ad organizzazioni internazionali?
In caso affermativo, l’informativa deve chiarire all’interessato:

  • se esista o meno una decisione di adeguatezza della Commissione UE (ovvero se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato. In tal caso il trasferimento non necessita di autorizzazioni specifiche;
  • in carenza di quanto sopra, deve fare riferimento alle garanzie appropriate od opportune e l’indicazione dei mezzi per ottenere una copia di tali dati o del luogo dove sono stati resi disponibili.

[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
15
[/column]
[column size=”5/12″ wpautop=”true”]
Non è richiesta dal TU una informazione concernente il tempo o periodo di conservazione dei dati.
[/column]
[column size=”1/2″ wpautop=”true”]
Qual è il periodo di conservazione dei dati?
Si tratta di una informazione non sempre agevole. Implica una capillare autoanalisi dell’organizzazione del titolare, che deve preventivamente definire il tempo di conservazione dei dati, ovviamente, in relazione alla finalità del trattamento. E’ evidente che un trattamento di dati che si protragga oltre la scadenza temporale connessa, deve quanto meno essere preceduto da una nuova informativa ed essere sottoposto, ove richiesto, al consenso dell’interessato.
Se l’indicazione di tale periodo non è possibile, si debbono perlomeno esplicitare i criteri per determinarlo.
[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
16
[/column]
[column size=”5/12″ wpautop=”true”]
L’interessato è informato dei diritti di cui all’art. 7?
L’informativa deve contenere una pur succinta informazione dove si riepilogano i diritti dell’interessato:

  • ad ottenere la conferma dell’esistenza o meno dei dati personali e, nel caso, la loro comunicazione in forma intelligibile; l’aggiornamento, la rettificazione ovvero, quando vi abbia interesse, l’integrazione dei dati; la cancellazione, la trasformazione in forma anonima o il blocco dei dati;
  • di opporsi, in tutto o in parte, per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta, ovvero al trattamento di dati personali che lo riguardano a fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.

[/column]
[column size=”1/2″ wpautop=”true”]
L’interessato è informato dei suoi diritti?
L’interessato ha diritto:

  • di accesso ai dati personali;
  • di ottenere la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano;
  • di opporsi al trattamento;
  • alla portabilità dei dati;
  • di revocare il consenso (l’informazione da rendere all’interessato circa il diritto di revoca del consenso non può ovviamente concernere i casi in cui il trattamento, ad esempio, necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
  • di proporre reclamo all’autorità di controllo (Garante Privacy).

[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
17
[/column]
[column size=”5/12″ wpautop=”true”]
L’informazione su un eventuale processo automatizzato (ivi inclusa la profilazione) – per quanto non specificamente richiesta dal TU – può ritenersi compresa nella esplicitazione delle finalità e delle modalità del trattamento.
[/column]
[column size=”1/2″ wpautop=”true”]
Il trattamento contempla un processo decisionale automatizzato, compresa la profilazione?
Il titolare è tenuto a informare l’interessato dell’eventuale esistenza di un processo decisionale automatizzato, ivi inclusa la profilazione, intesa dal GDPR come qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.
[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
18
[/column]
[column size=”5/12″ wpautop=”true”]
Chi è titolare del trattamento?
Può sembrare una domanda banale. Non sempre, tuttavia, è immediata o agevole l’identificazione del titolare del trattamento: in tal caso occorre senz’altro comprendere a chi siano riconducibili le scelte fondamentali concernenti il trattamento e, segnatamente, quelle attinenti alle finalità e alle modalità del trattamento.
L’informativa deve contenere il nome e cognome o la ragione sociale/denominazione del titolare, con i necessari riferimenti per i contatti (sede legale, numero di telefono, indirizzo mail, ecc.).
[/column]
[column size=”1/2″ wpautop=”true”]
Chi è titolare del trattamento?
E’ nominato un responsabile della protezione dei dati?
L’informativa deve contenere in tal caso (anche) i dati di contatto del detto responsabile (sempre se nominato).algono qui considerazioni analoghe a quelle dell’omologo riquadro per il TU.
L’art. 13 GDPR impone la esplicitazione:

  • dell’identità del titolare (nome e cognome /ragione sociale/denominazione, domicilio/sede, ecc.);
  • dei dati di contatto (telefono, e mail, ecc.).

[/column]
[/raw]


[raw]
[column size=”1/12″ wpautop=”true”]
19
[/column]
[column size=”5/12″ wpautop=”true”]
E’ nominato un responsabile del trattamento?
La nomina di un responsabile del trattamento è facoltativa. Il titolare vi ricorre, al fine di indicarla nell’informativa, quando vuole procurare agli interessati un interlocutore dedicato, presso cui essi possano esercitare i diritti di cui all’art. 7 ed ottenere il c.d ‘riscontro’. Il responsabile può essere:

  • una persona fisica (come sovente accade)
  • un organismo interno o anche un ente/persona giuridica.

Per conseguenza, i dati identificativi del responsabile e quelli di contatto con il medesimo – ove nominato – debbono figurare nell’informativa.
[/column]
[column size=”1/2″ wpautop=”true”]
E’ nominato un responsabile della protezione dei dati?
L’informativa deve contenere in tal caso (anche) i dati di contatto del detto responsabile (sempre se nominato).
[/column]
[/raw]


sito web e privacy

La normativa in materia di protezione dei dati personali si applica in tutti i casi in cui vi è un trattamento dei dati personali. Un privato che effettua un trattamento di dati a fini personali non è soggetto alla normativa in materia, ma la Corte di Giustizia europea ha chiarito che la pubblicazione online di dati costituisce sempre trattamento ai sensi della normativa in materia di tutela dei dati personali, determinando la possibilità di accedere a tali dati da parte di un numero elevato ed indeterminato di persone (stiamo parlando, infatti, di diffusione).

In tale prospettiva, quindi, chi gestisce un sito web tratta sempre dati personali. Ad esempio la mail fornita da un utente quando compila un modulo online, ma anche i dati raccolti dal server (indirizzo IP, dati di navigazione) nel suo normale funzionamento, oppure quelli raccolti da Google Analytics. Ovviamente si deve considerare l’attività concreta al fine di stabilire a quali oneri esso va soggetto.

 

Informativa

Il titolare del sito deve, innanzitutto, fornire agli utenti le informazioni sui dati raccolti dal sito e sulle finalità della raccolta. Tali informazioni vengono fornite tramite l‘informativa sulla privacy. L’informativa deve contente gli elementi indicati dalla normativa e deve essere facilmente accessibile agli utenti, in genere tramite un link nella pagina.

 

Base giuridica del trattamento

Per poter raccogliere e trattare i dati occorre una specifica base giuridica, che può essere il consenso dell’utente ma anche una diversa condizione che legittimi il trattamento. Ad esempio, nel caso di un sito di eCommerce non occorre un consenso al trattamento dei dati poiché la base giuridica è l’adempimento di un obbligo contrattuale (il contratto di compravendita). Questo purché i dati raccolti siano quelli essenziali per la fornitura del servizio e non siano eccedenti (cioè non siano raccolti dati non necessari) e i dati siano utilizzati solo per la fornitura del servizio. In caso contrario, cioè ad esempio se si vogliono utilizzare i dati (es. mail) anche per altri motivi (es. invio di pubblicità) occorrerà un consenso specifico per tale finalità, e tale raccolta e finalità dovranno essere esplicitate nell’informativa.

 

Moduli (form) 

Un modulo (form) è utilizzabile per varie finalità, per l’iscrizione al sito, oppure per richiedere informazioni, o anche per l’iscrizione ad una newsletter. Nello strutturare il form è impotante rispettare il principio di essenzialità, il quale richiede che i dati raccolti (e quindi chiesti all’utente) siano limitati a quelli strettamente essenziali per la fornitura dello specifico servizio. Bisogna stare attenti, quindi, a non richiedere dati ulteriori solo perché domani potrebbero essere utili, tanto più che l’utilizzo di dati per una specifica finalità è comunque soggetto ad un consenso specifico che va spiegato nell’informativa al momento della raccolta del dato. In assenza di consenso specifico comunque quel dato non potrebbe essere utilizzato.

 

Consensi separati

Il consenso occorre per il trattamento dei dati, ma deve essere specifico, cioé collegato alla finalità. Per cui se il sito presenta un form per l’iscrizione al sito, e i dati vengono utilizzati per l’invio di una newsletter e per la profilazione degli utenti a fini di marketing (o solo per l’invio di pubblicità commerciale), occorrono tre consensi separati per le singole finalità, con check box non preselezionate. L’utente potrà così selezionare solo le caselle che ritiene, e in tal modo il suo sarà un consenso veramente libero e quindi conforme alla normativa sulla preotezione dei dati personali.

 

Google Analytics

Nel caso in cui i dati siano passati a terze parti, occorre informare gli utenti e raccogliere il loro consenso. L’esempio più comune si ha utilizzando i servizi di statistica (analytics), come Google Analytics, al fine di creare report basati sui dati. Google Analytics, ad esempio, è utilizzabile senza problemi nel caso si operi l’anonimizzazione del servizio, in questo modo non occorrerà alcun consenso dell’utente, ma solo indicarlo nell’informativa.
Potremmo, però, voler attivare le funzioni avanzate:

– metrica utenti
– rapporti dati demografici
– Remarketing

In questo caso dobbiamo informare l’utente e ottenerne il consenso specifico.

 

***

 

Di seguito si segnalano alcuni strumenti utili per minimizzare la raccolta dei dati nella gestione di un sito web.

 

Plugin sociali

Shariff plugin (social button) per CMS (JoomlaWordPressDrupal)

plugin sociali, come i Like di Facebook, sono estremamente invasivi perchè raccolgono dati personali degli utenti che navigano nel sito che li propone, e inviano cookie già al momento della visita, documentando le abitudini del visitatore, senza che questi ne sia avvertito. Siamo, quindi, in presenza di una vera e propria profilazione. Per tale motivo la Cookie Law impone il blocco preventivo dei cookie inviati da tali plugin.
Un modo per ovviare al problema del blocco preventivo e, nel contempo, tutelare i diritti dei visitatori, è quello di utilizzare plugin sociali che non utilizzano cookie, come i plugin Shariff. Il plugin presenta i classici pulsanti per i principali servizi online, e solo nel momento in cui il pulsante viene cliccato, si attiva il plugin e invia le informazioni necessarie per condividere l’articolo. Se il pulsante non viene cliccato nessuna informazione è condivisa con i server del servizio online. Usando tali plugin non occorre bloccare i cookie ma comunque occorre indicarli nell’informativa.

 

Video YouTube con opzione privacy avanzata

Per impedire che Google memorizzi le informazioni relative ai visitatori delle pagine dove sono presenti video embeddati da YouTube, è possibile impostare l’opzione “privacy avanzata (no cookie)“. In tal modo la pagina non veicola cookie, a meno che gli utenti non riproducano volontariamente il video.

 

Incorporare un video

  1. Su un computer, vai al video di YouTube che vuoi incorporare.
  2. Sotto il video, fai clic su Condividi Condividi.
  3. Fai clic su Incorpora.
  4. Dalla casella visualizzata, copia il codice HTML.
  5. Incolla il codice copiato nel codice HTML del tuo blog o sito web.

Incorporare una playlist

  1. Effettua l’accesso al tuo account YouTube su un computer.
  2. Sul lato sinistro della pagina, seleziona la playlist che vuoi incorporare.
  3. Copia l’ID della playlist dall’URL.
  4. Modifica il codice di incorporamento per un singolo video procedendo nel seguente modo:
    1. Sostituisci l’ID video (dopo “embed/”) con “videoseries?list=”.
    2. Poi incolla l’ID della playlist dopo “=”.
    3. Incolla il codice copiato nel codice HTML del tuo blog o sito web.

Esempio:

  • ​<iframe width=”560″ height=”315″ src=”https://www.youtube.com/embed/videoseries?list=PLx0sYbCqOb8TBPRdmBHs5Iftvv9TPboYG” frameborder=”0″ allow=”autoplay; encrypted-media” allowfullscreen></iframe>

Gestire le opzioni di incorporamento dei video

Attivando la modalità di privacy avanzata, YouTube non memorizza le informazioni sui visitatori della tua pagina web, a meno che non riproducano il video.

Per fare in modo che un video incorporato venga riprodotto automaticamente, aggiungi “&autoplay=1” al codice di incorporamento del video, subito dopo l’ID video (la serie di lettere che segue “embed/”).

I video incorporati che vengono riprodotti automaticamente non contribuiscono all’aumento delle visualizzazioni.

Esempio:

<iframe width="560" height="315"
src="https://www.youtube.com/embed/D6Ac5JpCHmI?&autoplay=1" frameborder="0" 
allowfullscreen></iframe>

Per fare in modo che la riproduzione di un video parta da un momento preciso, aggiungi “?start=” al codice di incorporamento, seguito dall’indicazione dei secondi da cui desideri far partire il video.

Ad esempio, se vuoi che il video inizi a 1 minuto e 30 secondi, il codice di incorporamento sarà simile al seguente:

<iframe allowfullscreen="" frameborder="0" height="315" src="http://www.youtube.com/embed/UkWd0azv3fQ?start=90" width="420"></iframe>

Per fare in modo che i sottotitoli appaiano automaticamente nel video incorporato, aggiungi “&cc_load_policy=1” al codice di incorporamento.

Puoi anche scegliere la lingua dei sottotitoli per il video incorporato. Per specificare la lingua dei sottotitoli per il video che desideri incorporare, ti basta aggiungere “&cc_lang_pref=fr&cc_load_policy=1” al codice di incorporamento.

  • “cc_lang_pref” imposta la lingua per i sottotitoli mostrati nel video.
  • “cc_load_policy=1” attiva i sottotitoli per impostazione predefinita.
  • “fr” rappresenta il codice per la lingua francese. Puoi trovare i codici a due lettere delle lingue nello standard ISO 639-1.

Se hai caricato un video e non vuoi consentire ad altri di incorporarlo su siti esterni, procedi nel modo seguente:

  1. Accedi a Gestione video.
  2. Trova il video per cui vuoi disattivare l’incorporamento e fai clic su Modifica.
  3. Fai clic su Impostazioni avanzate sotto il video.
  4. Deseleziona la casella Consenti incorporamento nella sezione “Opzioni di distribuzione”.
  5. Fai clic su Salva modifiche.

Pin It on Pinterest