Adeguamento alle normative sui cookie e sulla privacy

Normativa sui cookie

Dal 2 giugno 2015 tutti i siti italiani devono essere a norma col Provvedimento generale del Garante privacy dell'8 maggio 2014.

Il titolare/gestore del sito deve:

  • identificare tutte le categorie di cookie installati dal proprio sito
  • identificare le terze parti che, attraverso il sito del titolare potrebbero inviare dei cookie
  • catalogare i cookie in base alle finalità di trattamento
  • dentificare i link alle privacy policy e ai moduli di consenso delle terze parti
  • aggiornare le privacy policy
L’utente verrà informato tramite due livelli di approfondimento: verrà visualizzata una prima informativa breve, a comparsa immediata sulla pagina alla quale l’utente accede ad esempio tramite banner dinamico, e un’informativa estesa, accessibile tramite un link nell’informativa breve, nonché tramite un link in calce ad ogni pagina del sito aggiornata.

Il Garante ha chiarito che i cookie che necessitano di un preventivo consenso dell’utente sono tutti i cookie non tecnici, inclusi:

  • cookie di profi lazione pubblicitaria di prima o terza parte
  • cookie di retargeting o remarketing
  • cookie di social network
  • cookie di statistica gestiti completamente dalle terze parti
  • altri cookie quali ad esempio quelli installatati da youtube (se non si modifica lo script) e dalle mappe di google.

Sono esenti dal consenso preventivo i cookie gestiti da terza parte, ma anonimizzati, ovvero in relazione ai quali la terza parte non possa accedere ai dati disaggregati di analytics a livello di IP.
Al contrario di quanto riportato in diversi siti e blog, anche di avvocati, e confermato personalmente dalla stessa segreteria dell'ufficio del garante della privacy, i cookie installati da Google Analytics NON sono cookie tecnici che ricadono nella semplificazion (perché Google dispone dei dati grezzi) e quindi è necessario il CONSENSO PREVENTIVO.
Ciò significa che, quando l'utente arriva al sito per la prima volta, e gli viene mostrato il banner con l'informativa breve, i cookie di Google Analytics non devono essere installati.

Questo tipo di intervento sul sito è molto tecnico, sia su siti statici in html, che su piattaforme opensource quali wordpress, joomla, prestashop o magento, per i quali la stragrande maggioranza dei plugin esistenti sul mercato non permette di bloccare preventivamente l'installazione dei cookie.
L'intervento può essere evitato solo "anonimizzando" i dati passati a Google, e questo lo si fa modificando il codice javascript inserito nelle pagine del sito.
In ogni caso però chi ha un qualsiasi cookie proventiente da social network (es. Facebook) deve mostrare comunque il banner e richiedere il consenso preventivo.

Siamo a disposizione per mettervi a norma, chiedeteci un preventivo senza impegno indicando l'indirizzo del vostro sito!

Il nuovo GDPR

Il prossimo 25 MAGGIO 2018 sarà direttamente applicabile in tutti gli Stati membri europei il Regolamento Ue 2016/679, noto come GDPR (General Data Protection Regulation) – relativo alla protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali.
Il GDPR amplia e completa la vecchia normativa italiana sulla privacy.
Le sanzioni sono molto più alte, si parla di multe fino a 20 milioni di euro o fino al 4% del fatturato totale annuo.

Cosa cambia per le aziende?
Per aziende sopra i 250 dipendenti o che trattano dati sensibili (es: dati sulla salute, dati giudiziari, ecc.), le incombenze sono molte, il che esula da questa breve informativa, vi preghiamo di contattarci.
Per tutte le altre aziende, questo è un estratto delle modifiche più significative:
  • Le aziende che avevano redatto il DPS e che rispettano ancora le vecchie direttive, dovranno apporre solo alcuni cambiamenti.
    Il DPS viene sostituito dal DPIA, che è obbligatorio solo in alcuni casi (ad esempio chi fa profilazione dei clienti o chi effettua videosorveglianza).
  • Vanno modificate tutte le informative sul trattamento dati, anche sui siti internet, aggiungendo i nuovi diritti garantiti agli utenti, ovvero il diritto all'oblio e il diritto alla portabilità dei dati.
    Vanno impostate le modalità per garantire questi diritti, e vanno apportate le relative modifiche anche ai gestionali interni.
  • Va definita la "durata massima del trattamento" di ogni dato, oltre la quale, il dato va cancellato ovunque, sia su supporti elettronici che cartacei.
  • Per ogni nuovo dato acquisito deve essere possibile dimostrare quando, dove e come sia stato acquisito.
    A questo riguardo, che impatta tantissimo qualsiasi modulo presente sui siti internet, la giurisprudenza non si è ancora espressa chiaramente in merito all'opportunità di apporre alle mail una marca temporale.
  • Attenzione anche a chi acquista banche dati per spedire mail pubblicitarie, anche in questo caso ci sono incombenze aggiuntive da seguire.
Per quanto riguarda la parte internet, che ci riguarda maggiormente, ci sono diverse modifiche:
  • Come già detto, tutti i dati raccolti dai moduli devono essere tracciabili, si deve conservare ad esempio la mail automatica dei moduli di richiesta informazioni (sempre che si voglia memorizzare il dato e non si cestini). Non è certo ancora se sia o meno necessaria una marca temporale anche per i dati non sensibili.
  • Per tutti coloro che si erano rivolti a noi per mettere a norma i vari moduli di richiesta informazioni e le informative sulla privacy, ci sarà da fare pochissimo. Le mail automatiche dei moduli andranno integrate con informazioni aggiuntive (l'indirizzo IP e l'header della richiesta del browser dell'utente), mentre le informative andranno integrate con alcune ulteriori informazioni.
  • Per tutti coloro che ci avevano fatto adeguare il sito in materia di cookie secondo l'interpretazione più restrittiva della legge, dovremo solo modificare la barra informativa, lasciando scegliere agli utenti quali cookie accettare e quali rifiutare. In caso di soli cookie tecnici, la modifica sarà veloce.
    Non è chiaro invece se occorra conservare l'autorizzazione (presumo per i cookie non tecnici) di ogni singolo utente che visita il sito, cosa che mi sembra abbastanza improponibile.
  • Per tutti coloro che ci avevano fatto adeguare il sito in materia di cookie secondo l'interpretazione meno restrittiva, allora dovremo riportarlo all'interpretazione più restrittiva, ovvero, oltre a quanto scritto nel punto precedente, dovremo anche implementare la disattivazione preventiva dei componenti che installano cookie, come ad esempio le mappe di google.
Fermo restando che ancora ci sono diverse cose da chiarire, per le quali attendiamo le disposizioni del garante, invito tutti a non aspettare l'ultimo giorno per adeguare la vostra azienda e il vostro sito.
Il prossimo mese saranno presumibilmente chiariti gli ultimi aspetti, e questa pagina verrà aggiornata.

Potete seguirci alla nostra pagina Facebook, che viene utilizzata in caso di comunicazioni urgenti.


quando redigere il dpia