Informativa sulla privacy
Il presente documento di privacy policy, aggiornato con il Regolamento UE (GDPR) 2016/679 relativo al trattamento dei dati personali, così come con il D.Lgs 181/18 che modifica il D.Lgs 196/2003, regola le modalità di trattamento dei dati raccolti da un sito internet durante la navigazione da parte dell'utente.
Esso ha lo scopo preciso di informare l'utente circa il trattamento dei suoi dati personali secondo quanto previsto dalla legge e dal recente Regolamento UE 679/2016, che ha modificato profondamente la disciplina.
Un sito web deve avere un Titolare del trattamento dei dati (Data Controller). Il titolare del trattamento è colui che ha potere decisionale e organizzativo sul trattamento, oltre che decidere le modalità di trattamento dei dati ed è il responsabile nei confronti del garante della privacy. Si possono nominare anche due o più contitolari. In questo caso, è obbligatorio che l'utente sappia quali siano le competenze di ogni contitolare, attraverso un link che indica l'accordo tra gli stessi.
Il titolare del trattamento, è affiancato dal Responsabile del Trattamento (Data Processor). Questa figura è colui che tratta i dati per conto del titolare del trattamento. Ciò significa, che sarà un soggetto vicino al titolare, dal quale riceve direttive su come gestire i dati. Il Responsabile del trattamento deve essere una figura competente in grado di soddisfare a pieno la sicurezza posta in essere dal Titolare del trattamento.
A queste due figure, si affianca il Responsabile della protezione dati (Data Protection Officer DPO), il quale, nonostante venga nominato direttamente dal titolare, è comunque un soggetto indipendente da quest'ultimo. Il DPO, prima solamente facoltativo, è ora una figura a volte obbligatoria ai dell'art.37 del Regolamento (UE) 679/2016. In questo articolo vengono indicati i soggetti obbligati e quelli che ne sono esenti. In ogni caso, il DPO, detto RPD in Italiano, è un soggetto indipendente e tratta i dati con autonomia. Inoltre, è direttamente responsabile e comunica con il garante della privacy. In definitiva, la designazione del DPO riflette il nuovo approccio del GDPR, verso una responsabilizzazione del trattamento dei dati, essendo finalizzata a facilitare l'attuazione del regolamento da parte del titolare e del responsabile. Il ruolo del DPO è di tutelare i dati personali, non gli interessi del titolare del trattamento.
Quindi, mentre il Responsabile del trattamento è una figura vicina al Titolare, il DPO è una figura molto più indipendente, la quale non può ne deve ricevere ordini dal titolare sull'effettiva protezione dei dati.
Tornando all'informativa, deve essere indicato anche il luogo dove verranno trattati i dati, che coincide con la sede del titolare del trattamento dei dati.
Fondamentale è inserire anche le finalità del trattamento dei dati. Infatti, secondo la nuova normativa, i dati dovranno essere conservati per un periodo idoneo al raggiungimento delle finalità preposte dal sito, per poi essere cancellati. Quindi è obbligatorio che le finalità vengano indicate in maniera chiara e concisa all'interno dell'informativa.
Nel documento devono anche essere indicarti i tipi di cookies che vengono utilizzati nella pagina web. I cookies sono brevi informazioni che possono essere salvate sul computer dell'utente quando il browser richiama un determinato sito web. Con essi il server invia informazioni che saranno rilette ed aggiornate ogni qual volta l'utente ritornerà sul sito.
Esistono vari tipi di cookies:
- Cookies tecnici: a norma di legge, sono quelli utilizzati al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio". Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web.
- Cookies di terze parti: si hanno quando un soggetto terzo immette i cookies in una pagina internet. In questo caso, l'utente deve essere informato che si avranno cookies di altri soggetti oltre a quelli della pagina web. Tipici cookies di terze parti sono quelli dei social network
- Cookies di profilazione: sono volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete. Secondo il garante della privacy questi possono essere:
- di profilazione pubblicitaria, cioè che raccolgono ed elaborano i dati degli utenti a scopo pubblicitario (es. per passarli a Concessionari pubblicitari);
- di attività di retargeting, consistenti in forme di pubblicità online scelte in base alle precedenti azioni o ricerche sul web dell'utente (es. Google AdWords);
- impostati dai social network;
- di attività di statistica, gestiti da terze parti (es. Google Analytics).
Nel documento si deve indicare inoltre se il sito permette plug-in dei social network e l'eventuale trasferimento dei dati a società site in nazioni extracontinentali.
E' anche importante menzionare quali sono i nuovi diritti dell'interessato ai sensi della nuova normativa europea, come il diritto alla cancellazione dei dati, l'aggiornamento degli stessi o di opporsi ad un eventuale trasferimento dei dati.
Come usare il documento?
Attraverso questo documento si potrà:
- Indicare il sito internet per cui si utilizza il seguente documento;
- Indicare il titolare dei dati e il luogo in cui questi verranno trattati;
- Indicare l'eventuale presenza di più titolari del trattamento;
- Indicare il responsabile dei dati (DPO);
- Indicare quali sono le finalità del trattamento dei dati, e il tempo che occorrerà al sito per poterli utilizzare;
- Stabilire quali cookies verranno utilizzati dal sito, se solamente cookies tecnici, cookies di terze parti e/o cookies di profilazione;
- Indicare se il sito utilizza plug-in dei social network;
- Indicare se l'utente riceverà notifiche per eventuali aggiornamenti del sito.
Una volta che si ha il documento, questo dovrà essere inserito nella pagina web del sito e messo a disposizione dell'utente.
Normativa di riferimento
REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
Decreto Legislativo 181/18, recante "Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)" che modifica il Decreto Legislativo 196/2003, "Codice in materia di protezione dei dati personali."
Provvedimento del Garante della Privacy n. 229/2014, relativo alla "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie."