Il mondo della legislatura non è di semplice intuizione e le numerose leggi e regolamenti non semplificano di certo la comprensione degli obblighi per coloro che si approcciano al web. Oggi cercheremo di fare luce su due aspetti ormai imprescindibili per siti web e applicazioni: Cookie policy e Privacy policy.
Che cosa sono i Cookie?
Il Garante per la protezione dei dati personali cita:
“I cookie sono informazioni immesse sul tuo browser quando visiti un sito web o utilizzi un social network con il tuo pc, smartphone o tablet. Ogni cookie contiene diversi dati come, ad esempio, il nome del server da cui proviene, un identificatore numerico, ecc.. I cookie possono rimanere nel sistema per la durata di una sessione (cioè fino a che non si chiude il browser utilizzato per la navigazione sul web) o per lunghi periodi e possono contenere un codice identificativo unico.”
Che cos’è la Cookie policy?
La Cookie policy regolamenta le informazioni sui Cookie che si devono fornire, cosa si può fare e cosa non si può fare con i Cookie e sancisce gli obblighi in caso di utilizzo dei Cookie ai fini di profilazioni degli utenti.
La Cookie policy deve essere accessibile tramite un’informativa breve con banner dinamico che deve illustrare le finalità dei Cookie utilizzati e richiedere il consenso per installarli. Dovrà inoltre contenere il link all’informativa estesa, accessibile a sua volta attraverso un link da ogni pagina del sito web o applicazione (quindi va inserita nel footer ad esempio).
Una Cookie policy deve contenere:
- Elenco dei Cookie e delle finalità;
- Modalità di manifestazione del consenso; - Modalità per disabilitare i Cookie;
- Dati del titolare del trattamento;
- Diritti degli utenti.
Che cos’è la Privacy policy?
La Privacy Policy (o Informativa Privacy) è un documento con il quale gli utenti vengono informati sulle finalità e modalità di trattamento dei loro dati personali. Serve per comunicare agli utenti le informazioni necessarie per garantire un trattamento dei dati corretto e trasparente ai sensi di legge (ad esempio, le finalità di trattamento, il periodo di conservazione dei dati, il diritto alla revoca del consenso al trattamento, le informazioni sul titolare del trattamento, etc.).
La privacy policy online è obbligatoria tutte le volte che viene effettuato un trattamento dei dati personali su un sito web o un'applicazione. Secondo il Regolamento europeo privacy (GDPR), si definisce trattamento qualsiasi operazione compiuta sui dati personali dell'utente in modo automatizzato o meno (ad esempio, archiviazione, uso, lettura, comunicazione dei dati, etc.). Esiste uno schema preciso, con gli elementi imprescindibili per redarre correttamente una Privacy policy, ma ogni sito web o applicazione è differente, perciò è importante creare delle informative ad hoc ogni volta.
Cosa contiene la Privacy policy?
Una Privacy policy deve contenere:
- Tipologie di dati personali raccolti;
- Finalità di trattamenti dei dati raccolti;
- Modalità di trattamento dei dati raccolti; - Destinatari dei dati raccolti;
- Base giuridica del trattamento;
- Luogo;
- Profilazioni automatizzate;
- Periodo di conservazione dei dati raccolti; - Diritti degli utenti.
GDPR, obblighi e sanzioni
L’art. 83 del GDPR distingue tra violazioni cosiddette di minore gravità, per le quali sono previste le sanzioni amministrative pecuniarie di importi fino a 10 milioni di euro o, per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, e sanzioni più pesanti in considerazione della maggiore gravità delle fattispecie a cui sono ricondotte, ammontano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente. Il Garante per la protezione dei dati personali è l’organo competente ad irrogare le sanzioni sopra citate.
Le sanzioni più eclatanti sono senza dubbio state quella di 50 milioni di euro emessa dal Cnil contro Google e quella contro Facebook per la questione di Cambridge Analytica, che ha scosso il mondo dei social e portato alla luce aspetti nascosti sull’utilizzo dei dati.
In Italia l’ultima sanzione balzata alla cronaca è stata quella di Eni Gas e Luce: 11,5 milioni di multa da Garante Privacy per trattamento illecito dei dati personali nell’ambito di attività promozionali e attivazione di contratti non richiesti. Le irregolarità pare abbiano interessato circa 7200 consumatori!
Leggi anche: Come avere un sito web a norma di legge?