Cookie a prova di GDPR. Cosa cambia?

Cosa si intende per cookie?

 

cookie sono informazioni immesse sul browser ogniqualvolta si compia un’operazione in rete. Si pensi, ad esempio, alla navigazione in rete e visita di un sito web, oppure all’utilizzo di un social network dal proprio pc, smartphone tablet.

Dal punto di vista informativo, ogni cookie può contenere diversi dati come, ad esempio, il nome del server da cui proviene, un identificatore numerico, l’indirizzo IP del nostro computer, la posizione, la marca del browser, il sistema operativo, e molti altri ancora.

Tale diversità dipende dalle diverse funzioni assolte:

  • alcuni cookie sono utilizzati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche sugli utenti che accedono ad una pagina web. Questi cookie vengono denominati cookie tecnici, e risultano particolarmente utili per rendere più veloce e rapida la navigazione e fruizione del web;
  • altri cookie, invece,possono essere utilizzati per monitorare e profilare gli utenti durante la navigazione, analizzare i loro movimenti e osservare le abitudini di consultazione del web o le preferenze di consumo, soprattutto allo scopo di inviare pubblicità di servizi mirati e personalizzati. Questa categoria viene definita come cookie di profilazione.

 

Come funzionano? Vantaggi e rischi

La durata dei cookie  nel sistema, in ragione delle tipologie e delle funzioni assolte, può risultare variabile:

  • alcuni possono permanere per la durata di una sessione, ad esempio finché non si chiude il browser utilizzato per la navigazione sul web;
  • altri, invece, possono rimanere anche per lunghi periodi e possono contenere un codice identificativo unico.

Inoltre, spesso accade che una pagina web contenga cookie provenienti da altri siti e contenuti in vari elementi ospitati sulla pagina stessa (come ad esempio nel caso di banner pubblicitari, video, immagini): in tali casi si parla dei cosiddetti cookie terze parti, che di solito sono utilizzati a fini di profilazione.

 

Cookie e Privacy: quale rapporto dopo il GDPR?

L’utilizzo dei cookie pone criticità per la tutela dei dati personali: la particolare invasività dei cookie – soprattutto nel caso di cookie di profilazione – nella sfera privata degli utenti, infatti, impone il rispetto dei principi sulla protezione dati.

Con l’entrata in vigore del Regolamento UE 2016/679 (GDPR), inoltre, sono stati ulteriormente rafforzati i requisiti sulla validità del consenso: come risulta dall’art. 7 comma 1 del GDPR e del Considerando 32 il consenso dovrà essere espresso mediante un atto positivo con cui l’interessato esprime la propria intenzione libera, specifica, informata ed inequivocabile di accettare il trattamento dei dati personali che lo riguardano.

Di conseguenza, per poter essere validamente conferito, l’interessato:

  • deve essere in grado di intendere quali trattamenti verranno effettuati;
  • può decidere liberamente se accettare o meno (senza alcuna conseguenza negativa) il trattamento indicato;
  • può modificare la propria scelta in maniera altrettanto libera e agevole.

 

Il GDPR, inoltre, impone un nuovo obbligo attraverso il meccanismo di opt-out per la revoca del consenso prestato, che sia trasparente e di efficacia pari alle modalità di acquisizione del consenso.

Per poter operare correttamente sul web, occorre una buona conoscenza dei principi e delle novità introdotte dal GDPR. Si suggerisce:

/da

Convegno “Digitalizzazione e sicurezza, GDPR e Big Data: obblighi e opportunità per aziende e PA”

Perché la Digitalizzazione è così importante per le aziende e le PA?

 

L’avvento della Digitalizzazione offre nuove sfide ed opportunità per le aziende e la Pubblica Amministrazione. Per tali ragioni Hedya, con la sua pluriennale esperienza nell’organizzazione di percorsi di alta formazione con la collaborazione del DIEE dell’Università di Cagliari, ha organizzato un Convegno su “Digitalizzazione e sicurezza, GDPR e Big Data: obblighi e opportunità per aziende e PA”.

L’evento si terrà giovedì 3 Ottobre dalle ore 9.00, nella sede di Confindustria Sardegna Meridionale, viale Cristoforo Colombo 2 – 09125 Cagliari (CA).

Il Convegno mira ad affrontare le tematiche di maggior interesse per enti pubblici e privati, illustrandone i principali aspetti critici di natura normativa e tecnologica, consentendo altresì un confronto attivo con tutti i partecipanti che avranno il piacere di intervenire nella fase di chiusura dei lavori.

 

 

Il Programma in sintesi

 

Dopo l’apertura dei lavori, inaugurati da Michele Rossetti (Presidente della Sezione Terziario Innovativo di Confindustria Sardegna Meridionale) e Mariella Sole (CEO & CO-Founder, Hedya srl), si susseguiranno interventi di docenti e professionisti del settore vertenti su:

 

  • I principali protagonisti della Digitalizzazione e del settore Privacy;
  • I vantaggi competitivi per le imprese e opportunità per la PA derivanti dall’analisi dei Big Data;
  • Documenti informatici e il ruolo del Responsabile della conservazione;
  • Aspetti di sicurezza informatica;
  • Ruolo ed evoluzione dell’Amministratore di Sistema.

 

Seguirà, inoltre, la Presentazione dei Corsi di Alta Formazione organizzati da Hedya con la collaborazione del DIEE di Cagliari.

Ulteriori informazioni sull’evento sono disponibili al seguente link.

 

Perché optare per una corretta formazione?

 

Le recenti riforme normative in materia di protezione dati confermano che il digitale rappresenta un asset strategico per il corretto esercizio delle funzioni pubbliche e per lo sviluppo della competitività aziendale.

Tra le novità più significative si evidenziano:

 

Per tali ragioni, una corretta formazione si propone, dunque, come condizione imprescindibile.  

 

/da

Un anno di GDPR in Italia: l’importanza della formazione come vantaggio competitivo

corso-gdpr

Cosa cambia?

L’introduzione del Regolamento europeo sulla protezione dati personali n. 679/2016/UE (“GDPR”) ha portato all’abrogazione della Direttiva 95/46/CE, che per più di venti anni ha rappresentato la pietra angolare della normativa europea in materia di protezione dei dati personali. Con il GDPR, in particolare, la protezione dei dati personali si è affermata quale presupposto necessario e indefettibile da osservare nell’ambito di tutte le operazioni di trattamento dati, effettuate:

  • non solo da operatori privati,
  • ma anche per quelle compiute dalla Pubblica Amministrazione nell’esercizio della propria attività.

 

Dal punto di vista operativo, inoltre, ciò si è tradotto nella necessità di adeguare l’impianto organizzativo italiano al nuovo approccio adottato dal legislatore dell’Unione, basato sul rispetto del principio dell’accountability e della privacy by design e by default.

L’avvento del GDPR segna così l’inizio di un vero e proprio percorso di conformità del trattamento dati per gli operatori pubblici e privati, orientato alla protezione dei dati per garantire i diritti dell’interessato.

Tale percorso non si esaurisce nella predisposizione di adeguate misure tecniche ed organizzative, ma richiede altresì un percorso di formazione adeguato per evitare provvedimenti sanzionatori da parte dell’Autorità di controllo.

Il GDPR presta molta attenzione agli obblighi formativi. Essi sono previsti, in particolare, dall’articolo 39, paragrafo 1, lett. b), il quale attribuisce, tra i compiti del Data Protection Officer, quello di “sorvegliare l’osservanza […] delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi […] la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo”. A tal fine il DPO può concordare con il Titolare e il Responsabile del Trattamento un piano per la formazione in materia di privacy, che preveda corsi periodici per personale e, più in generale, per tutti i collaboratori.

 

Perché optare per una corretta formazione?

 

A distanza di almeno un anno dalla piena entrata in vigore del GDPR, tuttavia, i risultati conseguiti in Italia non risultano soddisfacenti:

  • secondo l’Eurobarometro diffuso dalla Commissione europeai cittadini italiani figurano al penultimo posto per conoscenza dell’esistenza di una normativa in materia di protezione dati;
  • già a Settembre 2018, a distanza di soli 4 mesi dall’entrata in vigore del nuovo regolamento,le segnalazioni e i reclami pervenuti al Garante Privacy sono stati 2.547, a fronte dei 1.795 pervenuti nello stesso periodo dello scorso anno, mentre le segnalazioni di Data breach sono state 305;
  • oltre 89.000 notifiche di violazione dei dati sono state segnalate da maggio 2018, provenienti da organizzazioni sia pubbliche che private.

 

Una corretta formazione si propone, dunque, come condizione imprescindibile.  Il GDPR, tuttavia, non specifica le modalità e contenuti, richiedendo soltanto che la stessa risulti efficace.

 

Cosa fare?

Si suggeriscono, in relazione alle differenti esigenze formative, alcuni percorsi caratterizzanti:

  • Formazione breve: consente ai partecipanti di ottenere un’adeguata formazione in materia di gestione dei dati personali. Tale percorso risulta particolarmente rilevante per il settore pubblico, ove l’obbligo di formazione per le Pubbliche Amministrazioni le imprese in materia di protezione dei dati personaliper tutte le figure presenti nell’organizzazione (sia dipendenti che collaboratori).
  • Formazione avanzata: fornisce ai partecipanti, che hanno già acquisito le conoscenze di base di natura giuridica e organizzativa, le nozioni pratico-applicative di base per lo svolgimento effettivo delle attività. Tale percorso è particolarmente utile per le attività che competono al Responsabile per la protezione dei dati personali (Data Protection Officer o DPO), proponendosi come approfondimento – in chiave tecnica – delle conoscenze di base già acquisite in precedenza.
/da