Obblighi di legge

privacy, cookie e informazioni societarie

Quanto esposto in questa pagina contiene delle semplificazioni ed è soggetto a revisione periodica in base alle informazioni disponibili. Quanto riportato è frutto di studio ed esperienza, serve per aiutare a capire ma solo un esperto legale può stabilire cosa sia giusto per ogni singola azienda.

Maggio 2018: regolamento sulla protezione dei dati

Di seguito la mia interpretazione della norma, semplificandola per cercare di chiarirla. Non sono un avvocato e non c’è nessun valore legale, solo il frutto di uno studio approfondito e di un aggiornamento costante su quella che mi sembra una delle MIGLIORI leggi del mondo. L’Europa si dimostra all’avanguardia in un settore che troppi non capiscono: la tutela dei dati personali. La legge non va criticata a prescindere, va capita perché è davvero importante e utile a tutti.

___
GDPR: regolamento europeo sul trattamento dei dati personali

Il nuovo regolamento sulla protezione dei dati (GDPR, General Data Protection Regulation) è una normativa europea per “tutelare i diritti alla privacy delle persone fisiche”. Stabilisce le procedure di gestione dei dati, la trasparenza, la documentazione e il consenso dell’utente. L’elaborazione di dati personali non è consentita senza un consenso preventivo.  Il consenso sarà valido se manifestato in modo non equivoco.

___
Cosa si intende per consenso

Al punto 32) del GDPR leggiamo: il consenso viene espresso mediante un atto inequivocabile con il quale l’interessato manifesta l’intenzione libera e informata di accettare il trattamento dei dati personali. Ciò potrebbe comprendere la selezione di un’apposita casella in un sito web o la chiusura di un evidente banner informativo. Non è consenso il “non fare”, o la preselezione di caselle.

___
Cosa implica il GDPR nella gestione di un sito internet?

Prima di tutto occorre chiedersi se con il sito internet si acquisiscono “dati personali“. Solo in questo caso occorre approfondire ed adeguarsi alla normativa. Il GDPR definisce dato personale “qualsiasi informazione riguardante una persona fisica identificabile; si considera identificabile la persona fisica che può essere individuata con nome, ubicazione, un identificativo online o altri elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale“.
Quello che raccomandiamo, sempre e comunque, è di anonimizzare gli indirizzi IP dei visitatori.

___
Cambia qualcosa per la norma sui Cookies?

NO. L’attuale la “cookie policy” stabilita nel 2015 resta perfettamente valida. Con tutti i dubbi per la disattivazione preventiva di eventuali cookie.

___
Cambia qualcosa per la pagina web della Privacy?

Solo una richiesta di semplificazione valida per tutta la documentazione pubblica: “Le informazioni destinate al pubblico devono essere concise, facilmente accessibili e di facile comprensione”  GDPR, punto 58). Quindi vanno rimosse le incomprensibili pagine lunghe e illeggibili.

___
I tre casi dell’applicazione del regolamento (GDPR – CAPO I – Articolo 3)

“Il presente regolamento si applica al trattamento dei dati personali … quando le attività di trattamento riguardano l’offerta di beni o la prestazione di servizi, indipendentemente dall’obbligatorietà di un pagamento; oppure riguardano il monitoraggio del comportamento di una persona fisica”.

___
Acquisiamo dati per una Newsletter o con l’E-commerce?

In questo caso l’uso del sito internet probabilmente rientra nel nuovo regolamento europeo perché si stanno acquisendo dati personali. Bisognerebbe:
– Conservare la dimostrazione del consenso all’acquisizione dati, programmare il tempo di conservazione degli stessi
– Un interessato ha il diritto di rettifica dei dati personali e il diritto di cancellazione degli stessi
– Necessita la documentazione del consenso e comunicazione dell’uso dei dati personali agli interessati
– Necessita avere procedure di salvaguardia dati e saper gestire l’obbligo di notifica delle violazioni
– Nominare un responsabile della sicurezza e della privacy in azienda (DPO – Data Protection Officer).  Il responsabile è comunque il titolare dell’azienda.
– Verificare il flusso extraeuropeo dei dati se si usano servizi cloud (Mailchimp, o Google… o Microsoft…)
Anche solo da questa semplificazione si capisce che senza spiegazioni semplici e chiare, sui singoli casi, diventa difficile regolarizzarsi. Alcune interpretazioni mettono in evidenza che questa nuova legge è indirizzata alle grandi aziende. La piccola azienda non dovrebbe esserne particolarmente influenzata. Al punto 13) del GDPR, leggiamo: “Per tener conto della specifica situazione delle micro, piccole e medie imprese, il presente regolamento prevede una deroga per le organizzazioni che hanno meno di 250 dipendenti per quanto riguarda la conservazione delle registrazioni. Inoltre, le istituzioni e gli organi dell’Unione e gli Stati membri e le loro autorità di controllo sono invitati a considerare le esigenze specifiche delle micro, piccole e medie imprese nell’applicare il presente regolamento”.
Gestire newsletter o e-commerce necessita di un approfondimento personalizzato.
Indipendentemente da internet tutte le aziende che hanno dati sensibili (es. medici, o finanziari) devono adeguarsi.

___
Cosa fare con dati personali raccolti precedentemente

Si consiglia di inviare una comunicazione chiara ed esplicita che ricordi agli interessati la presenza dei suoi dati personali e l’utilizzo e le finalità di uso degli stessi.

___
Dati personali  e dati aziendali

Tutte le informazioni aziendali non sono un dato personale.  Acquisire mail tipo info@nomeazienda.com non ha riferimenti con il trattamento della privacy.
Da interpretare è la gestione di mail del tipo mario.rossi@nomeazienda.it, in questo caso potremmo avere a disposizione dei dati personali. Il punto 44) nel GDPR specifica però che il trattamento dei dati è considerato lecito se è necessario nell’ambito di un contratto o ai fini della conclusione di un contratto. Per estensione credo che possiamo stare tranquilli con le mail aziendali che utilizziamo per lavoro.

___
Sulle sanzioni in merito al mancato rispetto del regolamento

Online si leggono multe dalle cifre iperboliche, ma sono tetti massimi stabiliti. Il regolamento raccomanda una sanzione pecuniaria proporzionale alla colpa  con criteri stabiliti in autonomia dai singoli Stati tenendo conto di tutte le circostanze, in particolare della  gravità e durata dell’infrazione, delle conseguenze e dell’effettivo dolo – GDPR, punti 149) e 150).
In pratica la Legge Italiana dovrà fare le norme attuative e stabilire i criteri per le sanzioni.

___
Cose da fare, per tutti
Questo non dipende dal sito internet, chiunque viene in possesso di dati personali, deve anche garantire la protezione degli stessi

  1. Fate un elenco dei dati personali che avete, risalendo a come sono stati acquisiti e verificando che gli interessati ne siano a conoscenza
  2. Fate un’analisi dei rischi.  Chiedetevi se e come possono esservi sottratti i dati personali che possedete.
    Non potete semplicemente pensare che non ci sono rischi, basatevi su: https://it.wikipedia.org/wiki/ISO_31000
  3. Scrivete la procedura che adotterete in caso di furto dei dati
  4. Proteggete i dati memorizzati sui computer con crittografia, aggiornamenti di software e antivirus di buona qualità.
  5. Fate un piano di adeguamento. Se la vostra ditta è in continuo sviluppo o non può riuscire ad adeguarsi immediatamente, scrivete come e cosa intenderete fare per adeguarvi.

 

___
Alcune agenzie cercheranno di vendervi software o consulenza, più o meno utile ma mai obbligatorio. E’ stata fatta una legge giusta e non ci sono obblighi capestro per le aziende, serve una presa di coscienza che i dati degli altri non possono essere usati liberamente o conservati senza precauzioni.

Noi abbiamo utilizzato il software sopra consigliato per fare una valutazione del rischio, come richiesto dal GDPR. Il software è in italiano. Il consiglio è di provare ad utilizzarlo in modo che ci si renda conto di cosa si dovrebbe fare.

 

 

___
Sulla newsletter con Mailchimp

Il 17 Aprile 2018  MailChimp spiega come creare form di adesione compatibili con il GDPR.  Nell’articolo si ricorda che è necessario ottenere un consenso libero, specifico, informato e inequivocabile dai propri contatti. Bisogna spiegare come vengono utilizzati i dati personali. Pertanto sono stati aggiornati i moduli di iscrizione MailChimp per permettere di rispettare questa legge. I nuovi moduli (facoltativi) includono caselle di controllo per consenso opt-in e sezioni modificabili che spiegano come e perché si stanno utilizzando i dati.
L’abilitazione dei campi GDPR sui moduli di registrazione non è sufficiente a rendere conforme un acquisizione di nominativi per la newsletter: per raccogliere il consenso dai contatti occorre inviare una specifica campagna di consenso. I nuovi moduli GDPR di MailChimp sono compatibili solo con determinati stili di moduli pop-up.
Utilizzando MailChimp occorre specificare nelle informative che i dati sono ospitati ed elaborati dall’azienda statunitense (che aderisce alle regole di Privacy europee, ed è quindi utilizzabile anche in Italia)

Creare form di adesione compatibili con il GDPRMailChimp - Termini d'UsoMailChimp - Privacy Policy
Giugno 2015: legge europea "cookie law"

La cookie law è una normativa europea che in Italia entra in vigore il 2 giugno 2015. Per proteggere la privacy degli utenti e consentire loro scelte più consapevoli, il legislatore ha stabilito che, quando si accede ad una pagina di un sito web, deve comparire un banner ben visibile, che contenga:
1) informazioni sull’uso dei cookie di profilazione per inviare messaggi pubblicitari mirati;
2) informazioni sull’uso di cookie installati da terze parti;
3) un link a una informativa ampia, con indicazioni sull’uso dei cookie inviati dal sito, dove sia possibile negare il consenso alla loro installazione;
4) l’indicazione che proseguendo nella navigazione si presta il consenso all’uso dei cookie.

 


 

Analizzando la legge: http://www.garanteprivacy.it/…/docweb/3118884 e valutando le contraddizioni e le difficoltà tecniche/operative (è tecnicamente impossibile sapere se un cookie di terze parti sia utilizzato per profilazione) sono portano alle seguenti conclusioni:

 

1) notifica breve con blocco, si può proseguire solo dopo esplicito consenso
nel caso si utilizzino cookie che memorizzano dati per finalità di profilazione e marketing.

 

2) notifica breve senza blocco, nel caso si utilizzino cookie “tecnici” e di terze parti che servono a raccogliere dati a scopo tecnico e di fruizione di un sito (come ad esempio i dati di Google Analytics). Questa scelta è data dalla lettura della legge al punto 2. Soggetti coinvolti: editori e “terze parti”. La notifica breve deve avere il link ad una pagina di informativa estesa che deve contenere:
– indicazioni sui cookie usati
– possibilità di scelta sull’autorizzazione dei cookie
– occorre anonimizzare i servizi di statistica visitatori di terze parti (es. Google Analytics).

 

3) nessuna notifica
quando i cookie sono funzionali all’uso del sito e non raccolgono nessuna informazione.

La legge sui Cookie & Google Analytics

L’articolo riportato su http://goo.gl/ZDZXL9 spiega che Google Analytics può essere equiparato a:

1) Cookie di profilazione

– obbligo di banner, di informativaestesa e di notifica al Grante
– se lo si integra senza attenzione

2) cookie di terze parti

– obbligo di banner e di informativa estesa
– se lo si integra implementando“ga(‘set’, ‘anonymizeIp’, true);”

3) cookie tecnico

– solo informativa estesa
– se lo si integra implementando“ga(‘set’, ‘anonymizeIp’, true);” e in Amministrazione Account Analytics (Impostazioni di Condivisione) si rimuovono i servizi di condivisione dati

Modifica legge Cookie

documento tratto da http://www.garanteprivacy.it/cookie in data 11 giugno 2015

 


In data 5 giugno 2015, il documento presente su http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4006878 riporta, al punto 4, la scritta: “Preme sottolineare che l’obbligo di rendere l’informativa e acquisire il consenso nasce dalla scelta del sito di ospitare pubblicità mirata basata sulla profilazione degli utenti tramite i cookie, in luogo di quella generalista offerta indistintamente a tutti.


In data 3 giugno 2014 veniva pubblicata sulla Gazzetta Ufficiale la Normativa, di cui si può leggere su: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3118884. In tale documento si legge (punto 2):”Vi sono molteplici motivazioni per le quali non risulta possibile porre in capo all’editore l’obbligo di fornire l’informativa e acquisire il consenso all’installazione dei cookie nell’ambito del proprio sito anche per quelli installati dalle “terze parti”. In primo luogo, l’editore dovrebbe avere sempre gli strumenti e la capacità economico-giuridica di farsi carico degli adempimenti delle terze parti e dovrebbe quindi anche poter verificare di volta in volta la corrispondenza tra quanto dichiarato dalle terze parti e le finalità da esse realmente perseguite con l’uso dei cookie. Ciò è reso assai arduo dal fatto che l’editore spesso non conosce direttamente tutte le terze parti che installano cookie tramite il proprio sito e, quindi, neppure la logica sottesa ai relativi trattamenti. Inoltre, non di rado tra l’editore e le terze parti si frappongono soggetti che svolgono il ruolo di concessionari, risultando di fatto molto complesso per l’editore il controllo sull’attività di tutti i soggetti coinvolti. I cookie terze parti potrebbero, poi, essere nel tempo modificati dai terzi fornitori e risulterebbe poco funzionale chiedere agli editori di tenere traccia anche di queste modifiche successive.

 

altri obblighi di legge

PARTITA IVA
sulla HOME PAGE di ogni sito deve essere presente la Partita Iva dell’azienda proprietaria.

Obbligo di pubblicazione di INFORMAZIONI LEGALI
Ogni sito deve riportare i dati identificativi dell’azienda proprietaria. La legge riguarda qualsiasi spazio su cui un’azienda ottiene visibilità online, anche sui social network.

Informazioni che suggeriamo di pubblicare per Società di capitali:

– ragione sociale e sede legale
– l’ufficio del registro delle imprese ove è iscritta e il numero di iscrizione
– codice fiscale, partita iva e numero R.E.A.
– indirizzo di posta elettronica certificata
– eventuale stato di liquidazione della società a seguito dello scioglimento
– il capitale effettivamente versato e quale risulta esistente dall’ultimo bilancio
– lo stato di società con unico socio (per le s.p.a e le s.r.l. “unipersonali”)

Informazioni che suggeriamo di pubblicare per Ditte individuali:

– ragione sociale e sede legale
– codice fiscale e partita iva
– numero di iscrizione REA
– indirizzo di posta elettronica certificata

 

 



		
Note per e-commerce

Maggiorazioni
È vietato applicare maggiorazioni sulle tariffe applicate nel caso in cui l’acquirente scelga di pagare attraverso carte di credito, o forme di pagamento elettroniche.

Informativa
Il commerciante è tenuto a fornire informazioni il più chiare e complete possibili: caratteristiche del prodotto o servizio, prezzo totale, identità e indirizzo del venditore, modalità di pagamento, termini del diritto di recesso.

Recesso
Da quando l’acquirente riceve la merce, su hanno 14 giorni di tempo per ripensarci. Dalla data di comunicazione della volontà di restituire la merce, l’acquirente ha altri 14 giorni a disposizione per rispedire i prodotti acquistati. In questi 14 giorni il venditore deve provvedere a rimborsare la somma versata dall’acquirente, comprensiva dei costi di spedizione. Se i rivenditori intendono addebitare al cliente i costi della restituzione sono obbligati a specificarlo in anticipo. Se il venditore non adempie all’obbligo d’informativa al consumatore sul diritto di recesso al momento della vendita, il limite del diritto di recesso viene prolungato di 12 mesi e il bene può essere restituito anche se danneggiato, senza alcuna responsabilità nemmeno sul minor valore.

 

E’ contro la legge spedire newsletter promozionali senza un CHIARO ed ESPLICITO consenso.  Da una comunicazione del Garante, luglio 2016.

“No alle newsletter promozionali senza consenso. È quanto ha riaffermato il Garante per la privacy affrontando il caso di un utente che lamentava la ricezione sulla propria mail di una newsletter a carattere promozionale proveniente dall’indirizzo di posta elettronica di una società che opera nell’e-commerce… La comunicazione, giunta all’utente dopo l’acquisto on line di alcuni prodotti sul sito della società, era stata inviata senza che avesse fornito un esplicito e specifico consenso al ricevimento di materiale pubblicitario. Una procedura più volte sanzionata dall’Autorità perché in aperta violazione con quanto stabilito dal Codice sulla protezione dei dati personali.

Dalle verifiche effettuate dall’Autorità sul sito dell’azienda è emerso che gli utenti non solo non potevano esprimere uno specifico consenso per le finalità di marketing ma erano per di più impossibilitati a procedere all’acquisto di un prodotto senza aver prima fornito un generico consenso al “trattamento dei dati personali”. Inoltre, dai riscontri è risultato che anche l’informativa fornita dalla società presentava profili di inidoneità, non specificando le modalità di contatto per lo svolgimento di attività a contenuto promozionale.

Il Garante ha quindi vietato alla società l’ulteriore trattamento per finalità di marketing dei dati personali raccolti in assenza di idonea informativa e di consenso legittimamente manifestato, imponendole, inoltre, la riformulazione del form con il quale si chiede il consenso, l’integrazione del testo con le modalità utilizzate per il contatto promozionale e, infine, l’adozione delle misure opportune affinché la manifestazione del consenso da parte degli interessati al trattamento per finalità di marketing non sia condizione necessaria per il perfezionamento dell’acquisto tramite sito web…”