Articoli

Telemarketing e Pubblicità nel mirino del Garante: prime maxi sanzioni per violazione del GDPR

Prime maxi sanzioni del Garante italiano: la conformità al GDPR non è regola derogabile

 

Il 2019 ha rappresentato un anno di profonda rivoluzione per la protezione dati personali. Esaurito il periodo di “tolleranza”, anche il Garante italiano per la protezione dati ha provveduto ad emanare i primi provvedimenti sanzionatori.

Le prime due maxi sanzioni sono state applicate nei confronti di Eni Gas e Luce (Egl), per complessivi 11,5 milioni di euro. Le condotte illecite censurate riguardavano, rispettivamente:

  • trattamenti illeciti di dati personali nell’ambito di attività promozionali (telemarketing e teleselling) ;
  • trattamenti illeciti di dati personali, convergenti nell’attivazione di contratti non richiesti.

Le violazioni accertate hanno dimostrato una grave inosservanza dei principi e delle regole comportamentali richieste dal GDPR.

In particolare, si evidenziano:

  • attività pubblicitaria telefonica, effettuata senza il consenso della persona contattata;
  • perpetuata attività pubblicitaria, sebbene fosse stato manifestato il diniego dell’interessato a ricevere chiamate promozionali, oppure senza attivare le specifiche procedure di verifica del Registro pubblico delle opposizioni;
  • l’assenza di misure tecnico organizzative in grado di recepire le manifestazioni di volontà degli utenti;
  • tempi di conservazione dei dati superiori a quelli consentiti;
  • l’acquisizione dei dati dei potenziali clienti da soggetti (list provider) che non avevano acquisito il consenso per la comunicazione di tali dati.

 

Il Garante italiano ha, dunque, rilevato le irregolarità, ingiungendo a Egl l’adozione di una serie di misure correttive e l’introduzione di specifici alert in grado di individuare varie anomalie procedurali.

Le sanzioni sono state determinate tenendo conto dei parametri indicati nel GDPR, tra i quali figurano:

  • l’ampia platea dei soggetti coinvolti (almeno 7200 soggetti interessati);
  • la pervasività delle condotte;
  • la durata della violazione;
  • le condizioni economiche di Egl.

 

 

La necessità di percorsi formativi adeguati e di servizi di consulenza mirati: le proposte di Hedya

 

Per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

 

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Data Protection Officer: l’Antitrust interviene sui requisiti professionali necessari

Il parere dell’Antitrust sui requisiti professionali del DPO: cosa cambia?

 

Con l’introduzione del Regolamento (UE) 2016/679 (il “GDPR”), l’articolo 37 stabilisce i casi in cui le Pubbliche Amministrazioni e gli operatori privati, in quanto titolari del trattamento dei dati personali, debbano provvedere a designare obbligatoriamente il Data Protection Officer (DPO).

Il DPO è destinato ad assolvere molteplici funzioni:

  • di supporto e controllo;
  • consultive;
  • formative e informative

relativamente all’applicazione del Regolamento.

L’articolo 37, tuttavia, non specifica le qualità professionali da prendere in considerazione nella nomina del DPO, prevedendo soltanto:

  • la conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati;
  • la capacità di assolvere i compiti di cui all’articolo 39.

 

Per tali ragioni, l’Autorità Garante della concorrenza e del Mercato (Agcm) ha fornito alcune osservazioni sui requisiti e modalità per la nomina dei DPO esterno, ai sensi dell’articolo 37, comma 6 del GDPR.

L’Autorità, in particolare, ha evidenziato che né il Regolamento, le successive Linee Guida elaborate dal Gruppo di lavoro “Articolo 29” richiedono un’abilitazione professionale per l’esercizio del ruolo di RDP: di conseguenza, ha ritenuto “discriminatorio e non giustificatorichiedere l’obbligatoria iscrizione all’albo degli avvocati nell’ambito della procedura, indetta dalla Pubblica Amministrazione, per la selezione di un DPO esterno. A giudizio dell’Agcm, tale requisito si dimostra inidoneo a dimostrare il possesso delle competenze tecniche per lo svolgimento adeguato del servizio e si palesa, al contrario, del tutto sproporzionato e discriminatorio, perché escluderebbe in modo ingiustificato dalla competizione soggetti esperti della materia, ma non iscritti all’albo.

 

 

Quali competenze per il DPO? I percorsi formativi proposti da Hedya

 

La prassi più recente evidenzia come il DPO debba possedere evidenti e concrete qualità professionali e gestionali, adeguate alla complessità del compito da svolgere, che possono essere supportate da esperienze formative.

 

Per tali motivi, Hedya propone un articolato percorso formativo, in relazione agli specifici bisogni e livelli formativi.

In particolare, si prevede:

  1. Corsi di formazione per Data Protection Officer
  • Corso “DPO: DATA PROTECTION OFFICER”, necessario per accedere a un percorso di elevata specializzazione. Il corso ha una durata di 40 ore di lezioni teoriche e 6 ore di simulazione dell’attività quotidiana del DPO;
  • Corso “DPO: DATA PROTECTION OFFICER – Avanzato”, per chi ha già acquisito le conoscenze di base di natura giuridica e organizzativa e intende acquisire le nozioni pratico- applicative di base per svolgere le attività di DPO;

 

  1. Corsi di formazione per tutti i soggetti coinvolti nelle operazioni di trattamento dati

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Ex dipendente, il Garante dispone: è illecito mantenere attivo l’account aziendale

Account aziendale dell’ex dipendente: il datore può accedere?

 

La protezione dei dati personali del dipendente deve essere assicurata anche in caso di cessazione del rapporto di lavoro. Questo è il principio espresso dal Garante per la protezione dati in un suo recente parere.

Nel caso di specie, una società aveva mantenuto attivo l’account di posta aziendale di un dipendente dopo l’interruzione del rapporto di lavoro, accedendo alle mail aziendali contenute nella sua casella di posta elettronica. L’ex dipendente era venuto a conoscenza di questa condotta per caso, nel corso di un giudizio promosso nei suoi confronti proprio dalla sua ex azienda: quest’ultima, in particolare, aveva depositato agli atti una email recapitata sulla sua casella di posta un anno dopo la cessazione del rapporto lavorativo. L’account di posta era rimasto così attivo per oltre un anno e mezzo, e la sua eliminazione è avvenuta solo dopo la diffida presentata dal lavoratore nei confronti dell’azienda. L’ex dipendente ha, inoltre, proposto reclamo al Garante, giacché per tale periodo la società aveva avuto accesso a tutte le comunicazioni contenute nel proprio account, anche estranee all’attività lavorativa.

Secondo il Garante, grava sul datore di lavoro l’obbligo, in conformità ai principi in materia di protezione dei dati personali, di rimuove gli account di posta elettronica aziendali riconducibili a persone identificate o identificabili dopo la cessazione del rapporto di lavoro, in un tempo ragionevole parametrato ai tempi tecnici di predisposizione delle misure.

È onore del datore di lavoro, inoltre:

  • provvedere alla contestuale adozione di sistemi automatici volti ad informarne i terzi ed a fornire a questi ultimi indirizzi alternativi riferiti all’attività professionale del titolare del trattamento;
  • predisporre misure idonee ad impedire la visualizzazione dei messaggi in arrivo durante il periodo in cui tale sistema automatico è in funzione;

L’adozione di tali misure tecnologiche ed organizzative consente, secondo il Garante, di contemperare l’interesse del titolare ad accedere alle informazioni necessarie all’efficiente gestione della propria attività e a garantirne la continuità con la legittima aspettativa di riservatezza sulla corrispondenza da parte di dipendenti/collaboratori nonché dei terzi.

 

 

Come operare correttamente? I percorsi formativi e i servizi di consulenza offerti da Hedya

 

Per poter operare correttamente, una ottima conoscenza dei principi e delle novità introdotte dal GDPR costituisce un requisito essenziale, benché non unico: occorrono, altresì, costanti aggiornamenti ed approfondimenti mirati sulle prassi applicative.

Per tali ragioni, Hedya fornisce percorsi formativi e di aggiornamento, nonché servizi di consulenza.

Si suggerisce:

 

 

Ulteriori informazioni sono disponibili qui.

 

/da

Natale “in bianco” per NoiPA: attacchi phishing per rubare stipendi e tredicesime ai dipendenti pubblici

L’attacco Phishing: la Sicurezza non va mai in vacanza

 

NoiPa è il portale per la Pubblica Amministrazione, gestito dal ministero dell’Economia e delle Finanze, che gestisce il trattamento economico e giuridico del personale centrale e periferico della PA, anche per i connessi adempimenti previdenziali e fiscali. Attraverso tale portale, dunque, i pubblici dipendenti possono prendere visione dei propri cedolini e verificare lo stato dei pagamenti accreditati in base alle coordinate bancarie fornite all’amministrazione. Il dipendente pubblico può inoltre modificare il proprio IBAN per l’accredito dello stipendio, attraverso un sistema automatizzato: per effettuare la modifica, il sistema richiede di effettuare una chiamata di sicurezza dal numero di telefono impostato nel sistema, così da verificare l’identità del dipendente, gestita da sistemi informatici (la chiamata viene chiusa dopo uno squillo, senza alcuna risposta).

L’attacco criminale, consumatosi a ridosso delle ferie natalizie, ha comportato la compromissione di alcuni account utente sul portale NoiPa, mediante un possibile attacco phishing; la condotta criminosa risultava finalizzata alla manipolazione del codice IBAN del conto corrente e del numero di telefono associato, al fine di distrarre l’accredito degli emolumenti.

Con un comunicato stampa , il Dipartimento dell’Amministrazione Generale, del Personale e dei Servizi del Ministero delle Economie e delle Finanze ha comunicato che sono stati 15 gli account compromessi su un totale di oltre due milioni di amministrati, che sono stati tutti prontamente gestiti anche grazie all’intervento della Polizia Postale. La questione è attualmente oggetto di indagini da parte della Procura di Roma, nel tentativo di individuare gli autori della condotta criminosa.

 

Attacchi cyber, come difendersi: le proposte Hedya

L’attacco cyber alla piattaforma NoiPa rappresenta l’occasione per ribadire nuovamente l’importanza della formazione del personale in materia di sicurezza informatica, per diffondere una cultura improntata alla effettiva protezione dei dati personali. Quest’ultima lesione ai danni di dipendenti pubblici, infatti, si aggiunge all’ondata di cyber attacchi quotidiani già esaminati in altri post. In tali casi, ricade sul soggetto che detiene i dati (in tal caso, la PA) l’onere della prova di aver posto in essere tutte le misure adeguate per proteggerli diligentemente.

Tra tali misure, è possibile ricomprendere anche l’attivazione di un programma periodico che educhi tutti i soggetti a riconoscere mail e comportamenti sospetti e a diffidare dall’aprire messaggi inattesi, provenienti da mittenti non conosciuti.

 

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si segnalano, per i percorsi formativi e di aggiornamento:

 

 

/da

Pirateria Ransomware, nuove minacce: se paghi, ti costerà meno delle sanzioni GDPR

Nuove frontiere per la pirateria ransomware

 

Come visto nel precedente post, il ransomware è un programma informatico molto dannoso, perché capace di infettare un dispositivo o un server, impedendone di fatto l’operatività. La maggior parte dei pirati informatici, ormai, non si limita a crittografare i dati sui sistemi delle vittime, ma ne effettua una copia precisando che, in caso di mancato pagamento, tutti i dati e le informazioni rubate sarebbero stati venduti o resi pubblici.

 È questo, ad esempio, il caso di Sodinokibi, che in principio sfruttava una vulnerabilità in Oracle WebLogic per installarsi silente nei computer delle vittime, mentre ora il codice malevolo è inviato con email spam, relative a presunte comunicazioni legali con archivi compressi allegati.

 

Per rendere le minacce più serie, così da ottenere più efficacemente congrui riscatti, uno degli elementi utilizzati è quello di agitare il rischio di una multa ai sensi del nuovo GDPR.

La novità, in questo caso, è che la minaccia di diffondere e rendere pubblici i dati non fa leva sul timore di un danno reputazionale che potrebbe subire l’azienda o la PA: in questi casi, infatti, il cyber – criminale paventa l’attivazione del meccanismo sanzionatorio previsto dal GDPR, in caso di mancato pagamento del riscatto richiesto.

Con questa nuova tecnica, la vittima potrebbe preferire il pagamento del riscatto, piuttosto che incorrere in un eventuale procedimento di accertamento dell’Autorità Garante, che lo esporrebbe all’irrogazione di misure correttive, ma soprattutto di sanzioni amministrative pecuniarie.

 

 

L’importanza della formazione come fattore di prevenzione

Le nuove minacce congeniate dai cyber- criminali espongono gli operatori economici e le Pubbliche amministrazioni a nuove criticità e preoccupazioni. In questi casi, l’assenza di formazione ed informazione su tali aspetti costituiscono i primi fattori di vulnerabilità del sistema organizzativo aziendale e pubblico.

Per tali ragioni, Hedya propone:

  • percorsi di formazione e aggiornamento;
  • percorsi di approfondimento e perfezionamento;
  • servizi di consulenza per verificare la conformità alla normativa rilevante in materia.

 

Si suggeriscono, i seguenti percorsi formativi e di aggiornamento:

 

/da

Responsabile per la Transizione al digitale: Hedya presenta il nuovo percorso formativo

Il ruolo del Responsabile per la Transizione alla modalità digitale

 

Per attuare il  processo  di digitalizzazione  della  PA,  il Codice  dell’amministrazione digitale (CAD)  ha  introdotto  il  ruolo  dell’ufficio  a  cui  affidare la transizione al digitale: all’articolo 17, comma 1, si stabilisce  infatti che “ciascuna pubblica amministrazione affidi ad un unico ufficio dirigenziale generale,  fermo  restando  il  numero  complessivo  di  tali  uffici,  la  transizione  alla  modalità  operativa  digitale  e  i  conseguenti  processi  di  riorganizzazione  finalizzati  alla  realizzazione  di  un’amministrazione digitale e aperta, di servizi facilmente utilizzabili e di qualità, attraverso  una maggiore efficienza ed economicità”.

Il Responsabile per la Transizione al Digitale diventa l’attore principale di un nuovo approccio, teso al digitale non solo nella definizione dei processi, ma anche nell’organizzazione delle risorse e nella definizione delle priorità e delle strategie dell’ente.

Con l’approvazione, lo scorso 14 marzo, del nuovo Piano Triennale per l’Informatica 2019-2020, sono state fornite le indicazioni necessarie al Responsabile per la Transizione al Digitale per l’assolvimento dei suoi compiti. Tra le sue funzioni, infatti, quella principale è di garantire operativamente la trasformazione digitale dell’Amministrazione, coordinandola nello sviluppo dei servizi pubblici digitali e nell’adozione di nuovi modelli di relazione trasparenti e aperti con i cittadini.

Il Responsabile funge inoltre da “punto di contatto” sia all’interno che all’esterno  dell’Amministrazione di appartenenza,  relazionandosi e confrontandosi con vari  soggetti quali, ad esempio:

  • organi di governo  coinvolti  nell’attuazione  dell’Agenda  digitale  italiana;
  • l’Ufficio del difensore civico per il digitale;
  • il Data Protection  Officer  (DPO)  di  riferimento  per  l’amministrazione;
  • altre pubbliche amministrazioni, società partecipate e concessionari di servizi pubblici;
  • cittadini, imprese  e  stakeholder  rispetto  ai  servizi  online  e  agli  altri  temi  di  sua

 

 

 

Quali competenze? Il percorso formativo proposto da Hedya

 

L’articolo 17 CAD richiede il possesso, da parte del Responsabile per la Transizione al digitale, di “adeguate competenze tecnologicheCome specificato dalla Commissione parlamentare d’inchiesta sulla digitalizzazione  nella sezione dedicata al Responsabile della Transizione al Digitale (4.1), sono necessari precisi requisiti che deve possedere detto ruolo.

Definiti i compiti da assolvere, risulta improrogabile acquisire le opportune conoscenze teoriche e pratiche

Per acquisire le conoscenze pratiche di base per il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, ma anche dei soggetti che lo supportano nello svolgimento delle attività, Hedya propone il percorso formativo “IL RESPONSABILE PER LA TRANSIZIONE AL DIGITALEper il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale.

Il percorso è rivolto:

  • a tutti coloro che all’interno delle Pubbliche Amministrazioni sono coinvolti, a vario titolo, nei processi di trasformazione alla modalità digitale;
  • a tutti coloro che sono stati nominati e che svolgono attualmente il ruolo di Responsabile per la Transizione al Digitale.

 

Ulteriori dettagli sui percorsi formativi sono disponibili qui.

/da

Illustrati in Confindustria i cinque pilastri della Digitalizzazione

Qual è il ruolo della Digitalizzazione per le aziende e le PA?

 

L’avvento della Digitalizzazione offre nuove sfide ed opportunità per le aziende e la Pubblica Amministrazione. Per tali ragioni Hedya, con la sua pluriennale esperienza nell’organizzazione di percorsi di alta formazione con la collaborazione del DIEE dell’Università di Cagliari, ha organizzato il Convegno su “Digitalizzazione e sicurezza, GDPR e Big Data: obblighi e opportunità per aziende e PA”. La scelta di far convergere il settore pubblico e quello privato in un unico momento di confronto è dettata dalla ferma convinzione che il viaggio verso il digitale sia un cammino comune che essi devono compiere nella consapevolezza di avere ruoli complementari. Attraverso la partecipazione e la testimonianza diretta di docenti e professionisti del settore, sono stati enucleati i cinque pilastri della Digitalizzazione. L’evento è stato altresì finalizzato ad un confronto con tutti i partecipanti, che numerosi hanno avuto il piacere di intervenire nella fase di chiusura dei lavori.

 

I cinque pilastri della Digitalizzazione

 

  • Nuovi protagonisti: il Data Protection Officer e il Responsabile per la transizione al Digitale

Se il Data Protection Officer (DPO) rappresenta una figura posta a presidio della promozione della cultura e tutela della protezione dati, il Responsabile per la Transizione al Digitale svolge, invece, un ruolo dirimente nella diffusione della cultura digitale nelle realtà pubbliche. Questa figura era già stata introdotta dal 2016 nel Codice dell’Amministrazione Digitale (CAD): si prevedeva, in particolare, che ciascuna amministrazione nominasse un Responsabile per la Transizione al Digitale (RTD).

 

 

  • Big Data

Le attuali politiche di governo e le più recenti riforme normative in materia di protezione dati dimostrano che il digitale costituisce un asset strategico per il corretto esercizio delle funzioni pubbliche e per lo sviluppo della competitività aziendale.

 

  • Sicurezza informatica

Con i recenti e numerosi attacchi informatici a danno di svariate multinazionali e imprese italiane, si conferma l’aumento di rischi informatici rispetto al 2018 e l’inidoneità delle misure tecniche ed organizzative prescelte.

 

L’innovazione e la digitalizzazione confermano l’irreversibilità della transizione verso la digitalizzazione, che si presenta come un percorso condiviso, in cui gli operatori pubblici e i privati svolgono un ruolo complementare;

 

  • La corretta gestione documentale

La gestione documentale non si propone esclusivamente come elemento centrale per la digitalizzazione delle pratiche amministrative e dei relativi procedimenti, ma costituisce un indubbio vantaggio competitivo per le aziende.

 

 

Quali competenze necessarie?

Una corretta formazione si propone, dunque, come condizione imprescindibile.

Per acquisire le conoscenze pratiche di base per il corretto svolgimento dei compiti del Responsabile per la Transizione al Digitale, ma anche dei soggetti che lo supportano nello svolgimento delle attività, si suggeriscono i percorsi formativi tracciati da Hedya.

/da

Installazione cookie: la Corte di giustizia “detta” nuove regole

I cookie sotto la lente del GDPR

Come osservato nel precedente articolo, i cookie sono informazioni immesse sul browser ogniqualvolta si compia un’operazione in rete. Si pensi, ad esempio, alla navigazione in rete e visita di un sito web, oppure all’utilizzo di un social network dal proprio pc, smartphone tablet.

Dal punto di vista informativo, ogni cookie può contenere diversi dati, imponendo in tal caso il rispetto dei principi sulla protezione dati.

Con l’entrata in vigore del Regolamento UE 2016/679 (GDPR), sono stati rafforzati i requisiti sulla validità del consenso: come risulta dall’art. 7 comma 1 del GDPR e del Considerando 32 il consenso dovrà essere espresso mediante un atto positivo con cui l’interessato esprime la propria intenzione libera, specifica, informata ed inequivocabile di accettare il trattamento dei dati personali che lo riguardano.

Di conseguenza, per poter essere validamente conferito, l’interessato:

  • deve essere in grado di intendere quali trattamenti verranno effettuati;
  • può decidere liberamente se accettare o meno (senza alcuna conseguenza negativa) il trattamento indicato;
  • può modificare la propria scelta in maniera altrettanto libera e agevole.

 

Quale consenso? La Corte di giustizia dell’Unione europea detta le regole

 

Alla luce delle novità introdotte dal GDPR, l’aspetto più problematico riguarda le modalità di prestazione del consenso per l’installazione dei cookies.

Il quesito è stato sottoposto alla Corte di giustizia dell’Unione europea, per ottenere un’interpretazione uniforme sull’intero territorio dell’Unione europea.

Con la sentenza emanata lo scorso 1 Ottobre, la Corte ha dichiarato che il consenso che l’utente di un sito Internet deve prestare ai fini dell’installazione e della consultazione di cookie sulla sua apparecchiatura terminale non è validamente espresso mediante una casella di spunta preselezionata che l’utente deve deselezionare al fine di negare il proprio consenso.

La Corte ha dunque affermato che:

  • il consenso deve essere specifico;
  • il fatto che un utente attivi il pulsante di partecipazione ad un gioco a premi non è sufficiente per ritenere che l’utente abbia validamente espresso il proprio consenso all’installazione di cookie;
  • il periodo di attività dei cookie, nonché la possibilità o meno per i terzi di avere accesso a tali cookie rientrano tra le informazioni che il fornitore di servizi deve comunicare all’utente.

 

Quali conseguenze ?

La recente sentenza della Corte di giustizia dimostra che per poter operare correttamente sul web, occorre una buona conoscenza dei principi e delle novità introdotte dal GDPR. Si suggerisce:

 

/da

Cookie a prova di GDPR. Cosa cambia?

Cosa si intende per cookie?

 

cookie sono informazioni immesse sul browser ogniqualvolta si compia un’operazione in rete. Si pensi, ad esempio, alla navigazione in rete e visita di un sito web, oppure all’utilizzo di un social network dal proprio pc, smartphone tablet.

Dal punto di vista informativo, ogni cookie può contenere diversi dati come, ad esempio, il nome del server da cui proviene, un identificatore numerico, l’indirizzo IP del nostro computer, la posizione, la marca del browser, il sistema operativo, e molti altri ancora.

Tale diversità dipende dalle diverse funzioni assolte:

  • alcuni cookie sono utilizzati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche sugli utenti che accedono ad una pagina web. Questi cookie vengono denominati cookie tecnici, e risultano particolarmente utili per rendere più veloce e rapida la navigazione e fruizione del web;
  • altri cookie, invece,possono essere utilizzati per monitorare e profilare gli utenti durante la navigazione, analizzare i loro movimenti e osservare le abitudini di consultazione del web o le preferenze di consumo, soprattutto allo scopo di inviare pubblicità di servizi mirati e personalizzati. Questa categoria viene definita come cookie di profilazione.

 

Come funzionano? Vantaggi e rischi

La durata dei cookie  nel sistema, in ragione delle tipologie e delle funzioni assolte, può risultare variabile:

  • alcuni possono permanere per la durata di una sessione, ad esempio finché non si chiude il browser utilizzato per la navigazione sul web;
  • altri, invece, possono rimanere anche per lunghi periodi e possono contenere un codice identificativo unico.

Inoltre, spesso accade che una pagina web contenga cookie provenienti da altri siti e contenuti in vari elementi ospitati sulla pagina stessa (come ad esempio nel caso di banner pubblicitari, video, immagini): in tali casi si parla dei cosiddetti cookie terze parti, che di solito sono utilizzati a fini di profilazione.

 

Cookie e Privacy: quale rapporto dopo il GDPR?

L’utilizzo dei cookie pone criticità per la tutela dei dati personali: la particolare invasività dei cookie – soprattutto nel caso di cookie di profilazione – nella sfera privata degli utenti, infatti, impone il rispetto dei principi sulla protezione dati.

Con l’entrata in vigore del Regolamento UE 2016/679 (GDPR), inoltre, sono stati ulteriormente rafforzati i requisiti sulla validità del consenso: come risulta dall’art. 7 comma 1 del GDPR e del Considerando 32 il consenso dovrà essere espresso mediante un atto positivo con cui l’interessato esprime la propria intenzione libera, specifica, informata ed inequivocabile di accettare il trattamento dei dati personali che lo riguardano.

Di conseguenza, per poter essere validamente conferito, l’interessato:

  • deve essere in grado di intendere quali trattamenti verranno effettuati;
  • può decidere liberamente se accettare o meno (senza alcuna conseguenza negativa) il trattamento indicato;
  • può modificare la propria scelta in maniera altrettanto libera e agevole.

 

Il GDPR, inoltre, impone un nuovo obbligo attraverso il meccanismo di opt-out per la revoca del consenso prestato, che sia trasparente e di efficacia pari alle modalità di acquisizione del consenso.

Per poter operare correttamente sul web, occorre una buona conoscenza dei principi e delle novità introdotte dal GDPR. Si suggerisce:

/da
Optimization WordPress Plugins & Solutions by W3 EDGE