L’Unione Europea ha approvato un nuovo Regolamento sulla protezione dei dati personali (General Data Protection Regulation, “GDPR” o “Regolamento”), che sarà pienamente attuato dal 25 maggio 2018, e che sostituirà l’attuale Codice Privacy (d.lgs. 196/2003) e le precedenti direttive europee in materia. Il Regolamento è stato introdotto per il rafforzamento della sicurezza e la protezione dei dati in UE, nonché per armonizzare la disciplina europea in ambito privacy, e sarà applicabile in tutti gli Stati Membri. Le nuove regole permettono una maggiore trasparenza, maggiori diritti per i cittadini e più responsabilità per chi tratta questi dati.

General Data Protection Regulation, “GDPR”

Il Regolamento prevede che le aziende rivedano i propri sistemi e le proprie procedure di gestione dei dati, per garantirne una maggiore protezione e mantenere un efficace controllo sui flussi di circolazione di tali dati. Esso si applica a tutte le aziende che, indipendentemente dalla loro collocazione geografica, processano o conservano i dati personali delle persone fisiche che risiedono nell’Unione Europea.

Si definisce dato personale qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Il Garante italiano, al fine di aiutare i soggetti giuridici e non, a conformarsi al nuovo GDPR, ha provveduto a stilare delle apposite guide che spiegano nel dettaglio che cos’è il GDPR, cosa prevede il nuovo regolamento europeo Privacy 2018, cosa fare per adeguarsi, quali sono gli adempimenti per essere in regola con le nuove norme, come deve essere scritta la nuova Informativa privacy 2018 e le sanzioni per chi viola le norme del GDPR.

  • GDPR consenso esplicito: Il nuovo regolamento Privacy 2018 in merito al consenso al trattamento dei dati, questo debba essere esplicito in modo da garantire la trasparenza nel trattamento dei dati sensibili. Consenso esplicito che per l’Ue può essere ottenuto a partire dai 16 anni mentre per l’Italia a 14 anni. Al fine di ottenere il consenso esplicito è possibile utilizzare una dichiarazione o un’azione esplicita inequivocabile mentre è vietata la selezione di opzioni preselezionate. Inoltre deve essere data all’utente, la possibilità di revocare il consenso in qualsiasi momento con la stessa semplicità e trasparenza con il quale è stato concesso.
  • GDPR: il diritto all’oblio. il diritto all’oblio è una novità contenuta nel nuovo regolamento GDPR e riguarda il diritto da parte di un utente di poter cancellare i propri dati personali, anche se sono stati dati online, in presenza di determinate situazioni previste dal Regolamento, ossia se i dati personali:
    • sono trattati solo sulla base del consenso;
    • non sono più necessari rispetto alle finalità con cui sono stati raccolti;
    • se i dati sono trattati illecitamente oppure,
    • se l’interessato si oppone legittimamente al loro trattamento.
  • Al fianco del diritto all’oblio c’è anche un’altra novità introdotta dal GDPR e riguarda la conservazione dei dati e la durata del trattamento che deve essere conforme alla finalità per la quale è stato richiesto il consenso.
  • GDPR portabilità dei dati: dal 25 maggio, sarà consentita la portabilità dei dati raccolti ciò significa che sarà possibile per i titolari del trattamento di trasferire i dati raccolti presso un altro titolare e si potrà cambiare provider di posta elettronica senza perdere i contatti in rubrica ed i messaggi salvati.
  • GDPR garanzie per i minori: il consenso esplicito all’utilizzo dei servizi Internet e dei social media da parte dei minori di 16 anni, dopo il 15 maggio, dovrà essere dato dal genitore o da chi esercita la patria potestà.

Privacy 2018: adempimenti, cosa fare e cosa scrivere sulla nuova Informativa?

In base a quanto previsto dal nuovo regolamento GDPR, la nuova Informativa privacy 2018 deve osservare delle caratteristiche ben precise. La nuova Informativa GDPR Privacy dal 25 maggio 2018, infatti, deve contenere i dati obbligatori individuati dal Regolamento agli articoli 13, paragrafo 1, e 14, paragrafo 1, che sono nello specifico:

  • Dati di contatto del Responsabile della protezione dei dati-Data Protection Officer;
  • Ove presente, la Base giuridica del trattamento e qual è il suo interesse legittimo nel caso in cui tale interesse costituisca la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea;
  • altre informazioni necessarie per garantire un trattamento corretto e trasparente, da indicare quindi:
    • il periodo di conservazione dei dati o i criteri fissati per stabilire il suddetto periodo di conservazione;
    • il diritto di reclamo all’autorità di controllo.
    • se il trattamento comporta processi decisionali automatizzati (anche la profilazione), ciò deve necessariamente essere indicato nell’informativa completa della logica di tali processi decisionali e le conseguenze previste per l’interessato.

Come deve essere scritta l’informativa privacy 2018?

La nuova informativa privacy 2018 deve essere scritta in maniera:

  • concisa;
  • trasparente;
  • intelligibile;
  • facilmente accessibile;
  • con un linguaggio semplice facilmente comprensibili per i minori.

Non è necessario elencare i cookie nome per nome o fornire un sistema di opt-out integrato sul tuo sito

Con l’arrivo del 25 maggio 2018, il GDPR ha creato ed integrato degli obblighi legati all’utilizzo dei cookie, già normati in precedenza. Per questo motivo, vogliamo cogliere l’occasione per chiarire alcuni dei malintesi più comuni relativi ai cookie e al GDPR sulla base delle domande di precisazioni ricevute dai nostri clienti ed utenti del sito.

Alla luce di questo in quale maniera il GDPR integra l’utilizzo dei cookie?

L’utilizzo dei cookie e i relativi obblighi non sono regolati dal GDPR, ma dalla Direttiva ePrivacy (o Cookie Law). Il modo più corretto di vedere il quadro è quello di ritenerela Direttiva ePrivacy come una normativa che procede in modo sinergico con il GDPR, che non viene abrogata da quest’ultimo. La Direttiva ePrivacy sarà abrogata dal Regolamento ePrivacy, che opererà insieme con il GDPR per regolamentare i requisiti per l’uso dei cookie. In ogni caso, è molto probabile che il regolamento confermi disposizioni simili a quelle della direttiva, applicando gran parte delle stesse linee guida.

È necessario elencare i nomi dei singoli cookie (inclusi i cookie di terza parte) utilizzati dal mio sito web?

No, la Cookie Law non richiede che il gestore del sito elenchi i singoli cookie nome per nome. Tuttavia, il gestore del sito è tenuto ad indicare chiaramente le loro categorie e finalità. Questa decisione da parte del legislatore è probabilmente motivata dalla volontà di evitare che ogni gestore di siti web sia costretto a monitorare costantemente ogni singolo cookie di terza parte, alla ricerca di modifiche che sfuggono al suo controllo. Ciò sarebbe infatti irragionevole, nonché inutile per l’utente finale.

Devo fornire agli utenti un meccanismo per gestire le loro preferenze sui cookie (inclusa la revoca del consenso) direttamente dal mio sito web?

No, la Cookie Law non obbliga a fornire agli utenti i mezzi per attivare o disattivare le preferenze sui cookie direttamente dal tuo sito, ma solo a:

  • predisporre un meccanismo chiaro per ottenere un consenso informato e attivo;
  • fornire un metodo per la revoca del consenso;
  • garantire, tramite un blocco preventivo, che non venga effettuato alcun trattamento prima di aver raccolto il consenso.

Il meccanismo di opt-out non necessariamente deve essere installato direttamente sul proprio sito. Nella maggior parte dei casi, in base alla legislazione degli Stati Membri dell’Unione Europea, le impostazioni del browser sono considerate un metodo sufficiente ed utile a gestire o revocare il consenso. Possiamo indicare non solo le opzioni a disposizione all’interno del browser, ma anche gli strumenti di terze parti e i loro relativi link ai moduli di consenso in modo da rendere effettivamente responsabili della gestione dell’opt-out i proprietari di questi strumenti di tracciamento (es: Google Analytics).

Devo registrare i consensi ai cookie per ogni utente?

La Cookie Law non impone la tenuta di un registro dei consensi, ma stabilisce la necessità di dimostrare che i consensi siano stati ottenuti, anche se sono stati revocati. Il modo più semplice per soddisfare questo requisito è quello di adottare una soluzione cookie che utilizzi un meccanismo di blocco iniziale in quanto, in questo caso, i codici che installano cookie sono eseguiti solo dopo aver ottenuto il consenso. In questo modo, infatti, il fatto stesso che i codici siano stati eseguiti è una prova sufficiente del consenso.