Tra le tematiche più popolari vi è senza dubbio la protezione dei dati personali, argomento che sta a cuore a molti, in particolar modo nell’ottica della tutela delle informazioni verso il loro utilizzo da parte di aziende e privati.
L’interrogativo da porsi è: cosa dice la normativa europea aggiornata al 2021 sull’argomento? Vediamo come l’Italia ha recepito il GDPR con la propria legge sulla privacy e le modifiche previste nel 2023.
LEGGE SULLA PRIVACY, PRIMA E DOPO IL 10 GENNAIO 2022
La legge sulla privacy in vigore nel 2021 si rifà al regolamento generale per la protezione dei dati, il GDPR, l’acronimo inglese che sta per l’espressione General Data Protection Regulation.
Adottato il 27 aprile 2016, e pubblicato sulla Gazzetta ufficiale dell’Unione Europea il 4 maggio 2016, è ad oggi il riferimento normativo comunitario fondamentale in materia.
Operativo dal 25 maggio 2018, tutti gli Stati membri della Comunità hanno dovuto adeguarsi tramite il recepimento della norma.
Tra i grandi vantaggi del GDPR vi è il sensibile miglioramento del trattamento dei dati personali degli utenti dell’UE, e soprattutto, come detto, quello di uniformare le regole già presenti nei singoli Stati comunitari.
Si tratta poi di una risposta, necessarie e urgente, alle sfide poste dagli sviluppi tecnologici (a inizio ottobre 2017 il WP29 ha adottato tre fondamentali provvedimenti che hanno avuto importanti ricadute su punti essenziali del GDPR proprio sul tema dell’innovazione tecnologica) e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di tutela dei dati personali sempre più avvertite dai cittadini Ue.
Per meglio specificare:
- GDPR, ossia il regolamento generale sulla protezione dei dati, pubblicato nel 2016 ed entrato in vigore a livello europeo il 25 Maggio 2018, sebbene ad oggi molte aziende italiane non si siano ancora adattate alle regolamentazioni inserite. Composto da 99 articoli, il GDPR è essenziale per archiviare e custodire nel modo corretto i dati personali che vengono affidati ad una azienda, attraverso dichiarazioni cruciali quali il consenso informato, la garanzia di sicurezza e le finalità dei dati raccolti.
- Codice privacy, Decreto legislativo 196/2003, modificato D.L. 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla L. 3 dicembre 2021, n. 205, recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”.
Ormai, a causa della velocissima digitalizzazione degli ultimi anni, i termini Privacy Policy e Cookie Policy sono sempre più utilizzati e le aziende, che devono conformarne l’uso alle normative previste dal GDPR.
Dal 10 Gennaio 2022, però, le aziende che hanno sede in Italia o che si rivolgono a utenti con sede in Italia, hanno l’obbligo di adeguarsi alle nuove direttive previste dal GDPR.
Le linee guida contengono i principi chiave che i proprietari dei siti web devono osservare quando cercano il consenso degli utenti:
- Se il sito web utilizza solo cookie tecnici deve dare l’informazione in home page o nell’informativa del sito
- Se, invece, il sito web utilizza anche altri cookie “non tecnici” deve mostrare un banner a comparsa immediata e di adeguate dimensioni
- I banner devono contenere: – Un comando per accettare tutti i cookie o anche altre tecniche di tracciamento – Un comando per chiudere il banner senza prestare il consenso all’uso dei cookie (ad esempio: una “X” in alto a destra) – Il link all’informativa completa
- Il sito web dovrà riproporre il banner per il consenso agli utenti che lo hanno negato solo in alcuni casi (ad esempio: se cambiano le condizioni del servizio o sono trascorsi almeno 6 mesi dall’ultima richiesta)
- Lo scrolling sulla CMP (Consent Management Platforms), ossia la piattaforma di gestione del consenso, non è automaticamente considerata una forma di consenso all’uso dei cookie
- Non si può essere costretti ad esprimere il consenso per fruire dei contenuti di un sito (illecito il cosiddetto Cookie Wall).
Nel 2023 arriverà la nuova legge sulla protezione dei dati, infatti il 1° settembre 2023 entreranno in vigore la nuova legge e la nuova ordinanza sulla protezione dei dati.
PRIVACY POLICY E GDPR: I PROTETTORI DEI DATI PERSONALI
In un panorama mondiale sempre più intangibile e immediato, la moneta di scambio più forte è diventata il dato: i Big e Small Data, infatti, sono alla base di qualsiasi strategia legata alla vendita di un prodotto o di un servizio.
Big Data e Small Data, cioè i dati quantitativi (che fanno numero) e quelli qualitativi (“pochi ma buoni”), sono relativi agli utenti che ogni giorno vanno online e navigano attraverso internet.
La raccolta, il monitoraggio, l’analisi e la condivisione di questi dati consentono di progettare delle strategie di marketing sempre più mirate ed efficaci, che vadano a toccare le corde giuste dei consumatori.
Allo stesso modo, anche i siti web che tengono traccia delle visite al sito sono un esempio di raccolta e impiego dei dati spesso supportati dall’uso dei Cookie, in questo caso effettuati da strumenti di analisi come Google Analytics 4
Sull’applicazione della normativa vigila l’Autorità Garante per la protezione dei dati personali, istituita sin dalla L. 675/1996, poi confermata anche dal Testo Unico del 2003.
Considerato il valore crescente che i dati stanno assumendo all’interno della società moderna, quindi, è emerso quanto sia vitale regolamentare la raccolta dei dati così da favorire la consona protezione delle informazioni, affinché la persona fisica venga tutelata a livello legale.
Da qui, hanno preso piede i pilastri della Privacy Policy e della Cookie Policy, amministrate dal GDPR.
In breve, un’azienda deve identificare quali tipologie di dati tratta e quali attività va a compiere con i dati raccolti, rispettando i termini di Privacy Policy e le normative del GDPR attraverso:
- La richiesta di consenso chiaro ed esplicito dell’interessato
- Il monitoraggio e la gestione di un registro delle attività sempre aggiornato
- La nomina di una figura che assuma il ruolo di responsabile della protezione dei dati
- La denuncia dei data breach (le eventuali violazioni del regolamento) entro le 72 ore dall’infrazione.
Nel momento esatto in cui un’azienda archivia dei dati personali di una persona fisica, entra in possesso di un database da tutelare per legge, anche quando si tratta di informazioni relative a un singolo dipendente o a un singolo cliente.
COOKIE SOLUTION: ECCO COSA È CAMBIATO DOPO IL 10 GENNAIO 2022
Qual è la differenza tra Privacy Policy e Cookie Policy?
Spesso considerate un tutt’uno quando si parla di tutela dei dati, in realtà questi due testi trattano di argomenti differenti.
- La Privacy Policy è il documento che spiega nel dettaglio il trattamento dei dati personali, ovvero tutte le operazioni che coinvolgono in qualsiasi modo i dati personali, quindi quali dati vengono raccolti, come e perché, chi avrà accesso alle informazioni e per quanto tempo. Inoltre, contiene indicazioni dettagliate sui diritti degli utenti, sul proprietario del sito o dell’app che ha richiesto i dati e la data effettiva dell’acquisizione delle informazioni.
- La Cookie Policy, invece, può essere inserita all’interno della Privacy Policy o essere un documento a sé stante ed è un dossier contenente l’elenco di tutti i cookie utilizzati (suddivisi per tipologie) e gli obiettivi finali dei cookie integrati. Deve includere, in aggiunta, la lista completa dei soggetti terzi che gestiscono eventuali cookie impiegati nel sito dell’azienda, come, per esempio, Google Analytics e Google Fonts.
I cookie non sono altro che frammenti di dati che tengono traccia dei movimenti dell’utente durante la sua navigazione online e servono per personalizzare la sua esperienza sulla base degli interessi mostrati.
Ecco perché è importante segnalarne l’uso e lo scopo attraverso una Cookie Policy accurata.
Il 10 luglio 2021, il Garante per la Protezione dei Dati Personali si è espresso al pubblico sottolineando l’importanza sempre più rilevante dell’identità digitale, soggetta a un’evoluzione tecnologica in costante e veloce mutamento che necessita di aggiunte da apportare al regolamento, così da rafforzare la sicurezza dei dati online e quella dei cittadini europei.
Le normative introdotte sono entrate in vigore il 10 gennaio 2022.
Le nuove indicazioni, che coinvolgeranno non solo i siti web di nuova produzione ma anche tutte le attività online fino ad ora presenti su internet, hanno riguardato soprattutto la Cookie Solution saranno volte a garantire una privacy online ancora più efficace.
In particolare, il Cookie Banner, il trafiletto che richiede il consenso all’uso dei cookie e che compare nel momento stesso in cui l’utente entra nel sito o nell’applicazione, deve contenere:
- il pulsante “accetta”, il pulsante “rifiuta” e la possibilità di personalizzare il consenso attraverso la scelta granulare dei cookie (per dare la possibilità agli utenti di decidere quali cookie accettare e quali no)
- una breve informativa sull’uso e sugli obiettivi dei cookie presenti sul sito
- il link che porta alla Cookie Policy
Anche l’acquisizione del consenso deve venire registrato attraverso una dichiarazione semplice, chiara ed esplicita, raccolta in un database organizzato e accessibile in qualunque momento, così che la verifica del consenso ottenuto sarà sempre possibile.
LEGGE SULLA PRIVACY, COSA SUCCEDERÀ NEL 2023
Il 1° settembre 2023 entreranno in vigore la nuova legge e la nuova ordinanza sulla protezione dei dati.
Entrerà in vigore la revisione completa della legge federale sulla protezione dei dati (LPD) e dell’ordinanza sulla protezione dei dati (OPDa), già approvata dal Parlamento nel settembre del 2020.
Inizialmente, la Confederazione aveva previsto l’entrata in vigore di questi ordinamenti giuridici già nella seconda metà del 2022, salvo poi decidere di andare incontro alle aziende e ai relativi responsabili della protezione dei dati e di concedere loro il tempo sufficiente per prepararsi.
La legge sulla protezione dei dati e la relativa ordinanza si applicano al trattamento dei dati personali da parte di privati (e organi federali).
Di conseguenza, a essere interessate sono le aziende private, le associazioni e, in linea generale, anche le persone private.
Mentre di norma le aziende e le associazioni non possono eludere l’osservanza della legge sulla protezione dei dati, le persone private sono esentate dal rispetto dei requisiti in materia di protezione dei dati, purché trattino i dati personali esclusivamente per scopi privati.
Tuttavia, la deroga “per uso personale” si applica solo alle attività di trattamento dei dati nell’ambito della vita privata e familiare (famiglia ristretta e amici), nel quale normalmente non rientra un sito web pubblico.
Di conseguenza, i gestori privati di siti web, al pari di quelli commerciali, sono di regola interessati dalla nuova LPD e OPDa.
L’accesso ai dati personali dovrebbe essere consentito solo alle persone (come collaboratori o membri di associazioni) che ne hanno realmente bisogno, ad esempio per l’esercizio delle proprie funzioni.
L’osservanza di tali disposizioni dovrebbe essere garantita tramite l’adozione di misure tecniche e organizzative (TOMs).
I siti web e gli altri sistemi IT dovrebbero essere tenuti aggiornati da un punto di vista tecnico, in modo da evitare lacune nella sicurezza che potrebbero avere conseguenze devastanti.
Tuttavia, qualora venga violata la riservatezza, l’integrità o la disponibilità dei dati personali, con conseguente rischio elevato per le persone interessate, tale violazione deve essere segnalata all’incaricato federale della protezione dei dati e della trasparenza (IFPDT).
Il Consiglio federale prevede inoltre di introdurre l’obbligo di segnalare ciberattacchi a infrastrutture critiche. In questi casi, si dovrebbe informare anche il Centro nazionale per la cibersicurezza (NCSC) e sarebbe bene farsi consigliare per agire correttamente.
PERCHÉ E COME ADEGUARSI ALLE DIRETTIVE DEL GDPR
Ignorare gli obblighi normativi legati alla tutela dei dati personali significa andare incontro a sanzioni più o meno pesanti a seconda della gravità dell’inadempienza.
Considerata la consapevolezza sempre più profonda che hanno gli utenti riguardo i rischi e i diritti legati alla privacy, non è un caso che proprio loro esigano delle punizioni severe per il mancato rispetto delle direttive.
Le multe assegnate per queste irregolarità possono ammontare a 20.000.000 di euro, oppure al 2% del fatturato mondiale annuo delle imprese.
Ecco perché, per le aziende, è importante non solo rispettare ma anche conoscere la regolamentazione della privacy, così da essere preparate, specie quando si introducono nuovi progetti all’interno della strategia di comunicazione propria o di un cliente.
Il trattamento dei dati, quindi le operazioni che coinvolgono in qualsiasi modo i dati personali, viene comunicato agli utenti attraverso la Privacy Policy, l’informativa che interessa quelle tre figure che ricoprono un ruolo primario nella tutela dei dati:
- Interessato (art. 4 par. 1, punto 1 del GDPR): si tratta della persona fisica che rilascia i dati. Può trattarsi di un cliente o di un dipendente
- Titolare del trattamento (art. 4, par. 1, punto 7): è la persona fisica o giuridica (quindi l’azienda) che determina le finalità e le modalità del trattamento dei dati personali degli utenti.
- Responsabile del trattamento, identificato anche come DPO, Data Protection Officer (art. 4, par. 1, punto 8): si tratta della persona giuridica o fisica che gestisce e supervisiona il trattamento dei dati per conto del titolare
QUALI SONO LE SANZIONI PREVISTE DAL GDPR?
- Violazioni che prevedono un’ammenda fino a 10 milioni di euro o fino al 2% del fatturato dell’anno precedente per le imprese (da intendersi come gruppo) che, ad esempio, non comunicano un data breach all’Autorità garante, violano le condizioni sul consenso dei minori oppure trattano in maniera illecita i dati personali degli utenti;
- Violazioni che prevedono un’ammenda fino a 20 milioni di euro o 4% del fatturato per le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi o di inosservanza di un ordine imposto dal Garante.
Inoltre, ai sensi dell’articolo 84, i singoli Stati possono definire ulteriori sanzioni.
In relazione alla punibilità, si deve tener conto in particolare del fatto che, a partire dal 1° settembre 2023, la violazione di alcuni obblighi comporterà una punibilità che, a differenza del RGPD, non riguarda l’azienda, ma la persona fisica responsabile.
In ultimo possiamo specificare che le persone responsabili possono essere membri della direzione o altre persone con poteri decisionali all’interno dell’azienda, ma anche persone che hanno commesso una violazione degli obblighi (ad es. violazione della segretezza).
Se vuoi avere ulteriori informazione riguardo il GDPR e la normativa sulla privacy o necessiti di un aiuto nella regolarizzazione della tua attività, per renderla effettivamente conforma al GDPR ed evitare sanzioni e multe, contattaci subito.
Siamo pronti ad assisterti, scrivci all’indirizzo info@abinnovationconsulting.com, oppure compilando il modulo che trovi di seguito.