Ormai tutti parlano di privacy aziendale, dell’obbligo di tutti gli imprenditori di adottare un modello di gestione, degli obblighi di informare i potenziali clienti, dell’obbligo di avere il consenso e delle sanzioni in caso di violazione.
Una gran confusione che genera incubi per chi di privacy non è esperto.
Per tale ragione si vuole tentare di dare alcune indicazioni pratiche per far comprendere di cosa parliamo quando trattiamo di privacy, in special modo di privacy aziendale.
Privacy Aziendale, che cosa è un dato
Il punto centrale della privacy è che i dati delle persone con cui veniamo in contatto sono considerati un bene prezioso che, come tale, va tutelato.
Sembrerà eccessivo ma anche conoscere il nome e cognome di una persona associato alla sua data di nascita e/ indirizzo è un dato che fa gola moltissime persone per scopi che possono più o meno lecite. Basti pensare alle ipotesi di truffe che si possano fare solo conoscendo tali dati o la possibilità di fare attività di merketing. Se poi il dato contiene dati sensibili della persona (dati sanitari e/o che rivelino elementi razziali della persona, orientamenti sessuali, politici ecc) appare evidente che tali informazioni potrebbero essere usati per ricattare o discriminare l’interessato.
Privacy Aziendale, quali obblighi per l’imprenditore?
Poiché il dato personale è un bene importante, la legge prevede degli specifici diritti delle persone ad essere informate di come verranno utilizzati i dati che sono forniti. Così come un obbligo da parte delle aziende di tutelare i dati delle persone e di utilizzarlo solo con determinati limiti scelti dall’interessato.
Pertanto ogni azienda, allorquando utilizza dei dati delle persone (sia essi clienti, fornitori che dipendenti), deve creare un modello o protocollo che garantisca che i dati siano gestiti in maniera lecita e siano tutelati.
Quale modello di privacy aziendale adottare
Non esiste un modello di gestione unico in quanto ogni azienda deve crearne uno sulla base di dati che concretamente vengono gestiti, di come si vogliono utilizzare e di come è organizzata la struttura. Una struttura sanitaria dovrà creare un protocollo di gestione dei dati molto più rigoroso rispetto ad un semplice commerciante. Appare altresì evidente che un grande commerciante che opera sul web e vuole utilizzare i dati anche ai fini commerciali dovrà creare un protocollo differente rispetto ad un piccolo imprenditore che opera solo fisicamente.
Privacy Aziendale, cosa si rischia
Se l’imprenditore non prevede un modello della privacy efficace le sanzioni possono arrivare sino a 20 milioni o al 4% del fatturato dell’azienda.
La privacy come opportunità per l’azienda
Adottare un modello di privacy aziendale non deve essere visto solo come un obbligo ma come una opportunità per l’azienda. Attraverso la predisposizione della privacy l’imprenditore:
- dimostra serietà nei confronti dei clienti: chi affiderebbe un lavoro ad un soggetto che potrebbe dare a terzi i propri dati;
- tutela il proprio know-how aziendale e le proprie informazioni commerciali;
- tutela i propri beni aziendali;
- responsabilizza i propri dipendenti e collaboratori;
- alla possibilità di proporre ogni dato che può far identificare una persona come sia obbligatoria;
Si segnala un importante provvedimento emesso dal Garante della Privacy in data 10.06.2021 in tema di “Linee guida cookie e altri strumenti di tracciamento”, pubblicato sulla Gazzetta Ufficiale n. 163 del 09.07.2021 ed entrato in vigore dal 09.01.2021.
Il predetto documento, oltre ad avere una funzione ricognitiva in relazione al diritto applicabile alle operazioni di lettura e di scrittura all’interno del terminale di un utente (con specifico riferimento all’utilizzo di cookie e di altri strumenti di lettura). Ha il merito di effettuare una sintesi tra le disposizioni della Direttiva 2002/58/CE (cd. direttiva ePrivacy), recepita nel nostro ordinamento all’art. 122 del D.Lvo 196/2003, con la disciplina contenuta nell’ormai noto Regolamento 2016/679 (di seguito Regolamento).
In particolare, il Garante della Privacy ha sottolineato che anche in tema di cookie debbano essere rispettati i diritti degli interessati così come riconosciuti dal Regolamento 2016/679. Imponendo, contestualmente, al soggetto titolare dei dati alla predisposizione di un modello che attui i principi di protezione dei dati sia dalla progettazione del sistema che attraverso l’attuazione di impostazioni predefinite (cd. privacy by design e by default) nonché al rispetto del principio di minimizzazione dei dati.
Nel provvedimento di cui in oggetto, ed in continuità con quanto previsto dall’art. 122 del D.Lvo 196/2003 (di seguito Codice), il Garante definisce i cookie come stringhe di testo che i siti web (cd. publisher o“prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano e archiviano all’interno di un dispositivo terminale nella disponibilità dell’utente (cd. identificatori “attivi”).
Analoghe funzioni possono essere svolte da altri strumenti che, pur utilizzando una tecnologia diversa (c.d. identificatori “passivi”), consentono di effettuare trattamenti analoghi a quelli svolti per il tramite dei cookie. Le informazioni codificate nei cookie possono includere dati personali, come un indirizzo IP, un nome utente, un identificativo univoco o un indirizzo e-mail, ma possono anche contenere dati non personali, come le impostazioni della lingua o informazioni sul tipo di dispositivo che una persona sta utilizzando per navigare nel sito.
I tipi di cookie e la privacy
I cookie possono dunque svolgere importanti e diverse funzioni, tra cui il monitoraggio di sessioni, la memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, l’agevolazione nella fruizione dei contenuti online etc. Possono ad esempio essere impiegati per tenere traccia degli articoli in un carrello degli acquisti online o delle informazioni utilizzate per la compilazione di un modulo informatico.
In relazione alla loro funzione i cookie sono divisi dal Garante in cookie “tecnici”, cookie “analytics” e cookie di “tracciamento”. In relazione alla finalità dei cookie stessi il Garante ha sottolineato la necessità, o meno, di ottenere uno specifico consenso da parte dell’interessato e di gestire il dato con specifiche modalità.
Entrando nel merito del provvedimento il Garante ha indicato come cookie “tecnici” quelli utilizzati al solo fine di “effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio” (cfr. art. 122, comma 1 del Codice). Ai fini della privacy e degli obblighi di cui al Regolamento, tali cookie non richiedono l’acquisizione del consenso da parte dell’interessato ma vanno indicati nell’informativa di policy privacy contenuta all’interno del sito.
I cookie “analytics”, invece, sono indicati dal Garante come quelli utilizzati per analizzare l’attività del sito per verificare, ad esempio, il numero di utenti e il tempo di permanenza nel sito, l’area geografica la fascia oraria della connessione o altre caratteristiche. Tali cookie ai cookie tecnici solo se vengono utilizzati per produrre statistiche aggregate ed in relazione ad un singolo sito o una sola applicazione mobile.
Ove il cookie abbia le caratteristiche di cui sopra, non richiede l’acquisizione del consenso da parte dell’interessato ma vanno indicati nell’informativa di policy privacy contenuta all’interno del sito.
In ogni caso il Garante, sulla base del principio della minimizzazione dei dati ha specificato che, specialmente ove il Titolare del trattamento si avvalga dell’utilizzo di aziende terze per analisi dei dati, gli indirizzi IP debbano essere mascherati almeno per la quarta parte e che le aziende di analisi si debbano formalmente astenere dal combinare i cookie analytics, così minimizzati, con altre elaborazioni (file dei clienti o statistiche di visite ad altri siti, ad esempio) o dal trasmetterli ad ulteriori terzi.
I cookie di “tracciamento”, infine, sono indicati dal Garante come quelli utilizzati per ricondurre a soggetti determinati, identificati o identificabili, specifiche azioni o schemi comportamentali ricorrenti nell’uso delle funzionalità offerte (pattern) al fine del raggruppamento dei diversi profili all’interno di cluster omogenei di diversa ampiezza, in modo che sia possibile anche modulare la fornitura del servizio in modo sempre più personalizzato, nonché inviare messaggi pubblicitari mirati, cioè in linea con le preferenze manifestate dall’utente nell’ambito della navigazione in rete. Tali cookie necessitano di un consenso da parte dell’Interessato.
Linee guida per la privacy aziendale
Con il provvedimento di cui in oggetto, il Garante della Privacy, in conformità del Regolamento, chiarisce che il consenso dell’interessato debba essere libero, specifico, informato ed inequivocabile. E’ sempre il Garante delle Privacy a chiarire che l’informativa debba essere resa:
- con linguaggio semplice ed accessibile;
- fruibile, senza discriminazioni, anche da parte di coloro che a causa di disabilità necessitano di tecnologie assistive o configurazioni particolari;
- anche in modalità multilayer e multichannel;
- si può utilizzare un banner a comparsa immediata e di adeguate dimensioni che contenga:
a) l’indicazione che il sito utilizza cookie tecnici e, previo consenso dell’utente, cookie di profilazione o altri strumenti di tracciamento indicando le relative finalità (informativa breve);
b) il link alla privacy policy contenente l’informativa completa, inclusi gli eventuali altri soggetti destinatari dei dati personali, i tempi di conservazione dei dati e l’esercizio dei diritti di cui al Regolamento;
c) l’avvertenza che la chiusura del banner (ad es. mediante selezione dell’apposito comando contraddistinto dalla X posta al suo interno, in alto a destra) comporta il permanere delle impostazioni di default e dunque la continuazione della navigazione in assenza di cookie o altri strumenti di tracciamento diversi da quelli tecnici.
- Allo stesso modo il garante della Privacy chiarisce come debba essere acquisito il consenso. Il banner deve contenere;
d) il menzionato comando (es. una X in alto a destra) per chiudere il banner senza prestare il consenso all’uso dei cookie o delle altre tecniche di profilazione mantenendo le impostazioni di default;
e) un comando per accettare tutti i cookie o altre tecniche di tracciamento;
f) il link ad un’altra area nella quale poter scegliere in modo analitico le funzionalità, le terze parti e i cookie che si vogliono installare e poter prestare il consenso all’impiego di tutti i cookie se non dato in precedenza o revocarlo, anche in unica soluzione, se già espresso.
Al riguardo, è buona prassi l’impiego di un segno grafico, una icona o altro accorgimento tecnico che indichi, anche in modo essenziale, ad es. nel footer di ogni pagina del dominio, lo stato dei consensi in precedenza resi dall’utente consentendone l’eventuale modifica o aggiornamento. Tale area dedicata alle scelte di dettaglio dovrà essere raggiungibile anche tramite un ulteriore link posizionato nel footer di qualsiasi pagina del dominio ove quest’ultimo potrà sempre modificare le proprie scelte. Non sono ammissibili ai fini del consenso lo Scrolling o il fenomeno del cd. Cookie wall. È fatto divieto, inoltre, ad ogni reiterazione della richiesta del consenso in presenza di una precedente mancata prestazione dello stesso.
Un nuovo consenso potrà essere richiesto all’interessato solo se:
- mutano significativamente le condizioni del trattamento;
- se è impossibile per il sito sapere se un cookie sia stato già memorizzato;
- siano trascorso almeno 6 mesi dalla precedente presentazione del banner.
Oltre le specifiche indicazioni di cui sopra, restano, in ogni caso, valide tutte le disposizioni contenute nel Regolamento in tema di informativa da rendere agli interessati, dei diritti dell’interessato nonché delle responsabilità del Titolare del trattamento.
Il provvedimento del Garante della Privacy dimostra, ancora una volta, la necessità da parte del Titolare del trattamento di dover padroneggiare una disciplina tecnica estremamente delicata e complicata.
Pertanto, di dover creare una struttura adeguata che possa coadiuvarlo nella predisposizione e nella gestione del proprio sito internet al fine di aggiornarlo e adeguarlo secondo le disposizioni del Garante della Privacy anche alla luce delle nuove tecnologie applicate.
Add a Comment
You must be logged in to post a comment