Il 25 maggio è ormai alle porte e aumentano i timori sulle sanzioni previste dal temuto GDPR – GENERAL DATA PROTECTION REGULATION (Regolamento UE n. 679/2016 ).

Si è parlato per giorni di una “presunta deroga concessa dal Garante per l’applicazione delle sanzioni ma ovviamente si trattava di una fake news.

Vediamo pertanto di fare un po’ di chiarezza sulle sanzioni previste in caso di mancata compliance.

“SANZIONI” GDPR: nello specifico quali sono?

Max 10 milioni o 2% del fatturato

L’art. 83, paragrafo 4, prevede l’applicazione di sanzioni amministrative pecuniarie fino ad un massimo di 10 milioni di euro oppure, per le imprese, fino al 2% del fatturato mondiale totale annuo riferito all’esercizio precedente (se si tratta di un importo superiore ai 10 milioni di euro) per la violazione di una serie di obblighi che il Regolamento pone in capo al titolare e al responsabile del trattamento dei dati, tra cui:

  • Gli obblighi sanciti per il trattamento dei dati personali riguardanti i minori di 16 anni (art. 8)
  • Gli obblighi previsti per il trattamento di dati senza necessaria identificazione dell’interessato (art. 11)
  • Gli obblighi relativi alla protezione dei dati personali fin dalla progettazione e per impostazione predefinita (ovvero il rispetto dei principi di privacy by design e privacy by default), alla tenuta dei registri delle attività di trattamento, alla cooperazione con l’autorità di controllo, nonché quelli previsti in materia di sicurezza del trattamento dei dati, di notifica delle violazioni dei dati all’autorità di controllo e all’interessato, così come gli obblighi riguardanti la valutazione d’impatto sulla protezione dei dati e la designazione del responsabile della protezione dei dati (art. da 25 a 39)
  • Gli obblighi relativi ai meccanismi di certificazione della protezione dei dati (art. 42 e 43).

Max 20 milioni o 4% del fatturato 

L’art. 83, paragrafo 5, prevede l’applicazione di sanzioni amministrative pecuniarie fino al 4% del fatturato totale mondiale con un tetto massimo di 20 milioni.

L’ammontare indicato è il massimo della pena possibile in caso di gravissime inadempienze e di data breach di portata molto ampia quali la violazione di

  1. i principi di base del trattamento, comprese le condizioni relative all’espressione del consenso;
  2. i diritti degli interessati;
  3. i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale;
  4. qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate, relative a specifiche situazioni di trattamento;
  5. l’inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell’autorità di controllo  o in caso di negato accesso in violazione;

 

Per non fare del catastrofismo è necessario dire che il Garante ha la discrezionalità di adeguare le sanzioni ai casi concreti potendo scegliere tra prescrizione e sanzione e , comunque nell’applicare la sanzione, potrà tenere conto delle dimensioni del trasgressore alleggerendo la mano sulle PMI.

Allo stesso tempo potrà ben valutare di aggiungere la sanzione amministrativa pecuniaria alle misure di ammonimento per tutti i casi di inerzia totale nella compliance o di recidive.

Danno reputazionale

Oltre alle sanzioni in denaro esiste poi un danno reputazionale. Chi non si è messo in regola con il GDPR potrebbe essere fatto oggetto di esposti specifici al Garante da parte degli interessati che vedono negato il proprio diritto alla riservatezza, che, di conseguenza, possono incidere pesantemente sulla reputazione delle aziende.

Responsabilità civile

Anche il singolo cittadino (o l’azienda) che subisce un danno materiale o immateriale causato da una violazione del Regolamento ha inoltre il diritto  di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento. 

E’ evidente pertanto che il GDPR cambia l’impostazione dell’apparato sanzionatorio che sarà più pesante di quello attuale ma essendovi la possibilità per il Garante di modulare le sanzioni amministrative in relazione ad una serie di elementi, cio’ che è importante è dimostrare l’avvenuto adeguamento alla normativa privacy mediante la costituzione del “dossier privacy”.

La documentazione delle scelte consente infatti al titolare del trattamento di spiegare perché si è comportato in un certo modo e la linearità della motivazione può rappresentare un elemento utile da far valere davanti a un Giudice e anche davanti all’Autorità di controllo.

Per ogni altro dettaglio o consulenza contattate il nostro studio legale a Cascina (Pisa).

Presentato all’EXPO di Milano, il “Segno unico distintivo del settore Agroalimentare italiano” per combattere la contraffazione in un settore che nel solo 2014 ha registrato un valore di 34,4 miliardi di euro.

Mediante questo simbolo saranno contraddistinti infatti i prodotti realizzati nella nostra penisola per non rischiare di essere confusi con quelli che attualmente proliferano in tutto il mondo, molto spesso contraffatti. Il logo, insieme allo slogan “The extraordinary Italian taste” aiuterà Consumatori e operatori a identificare subito le attività di promozione dei prodotti italiani mediante un’operazione di riconoscibilità.

Dal punto di vista tecnico, il logo e lo slogan potranno essere utilizzati, oltre che sui prodotti, anche in occasione delle fiere internazionali per la promozione all’interno dei punti vendita della grande distribuzione estera, nelle campagne di comunicazione e promozione in Tv, sui media tradizionali, su Internet e sui social media.

Consiglio Nazionale Forense (CNF): indicazioni ai Consigli dell’Ordine (e agli

Avvocati) per assicurare la conformità alla normativa sui “Cookie” dei siti internet di

Avvocati o Studi Legali.

Il 4 giugno scorso il CNF ha inviato alcune indicazioni ai Presidenti dei Consigli dell’Ordine

sull’adeguamento dei siti istituzionali dei loro iscritti alla normativa sull’utilizzo dei Cookies.

La normativa, in adempimento della Direttiva 2009/136/CE, si propone di rendere

consapevoli i navigatori-utenti dei siti internet sull’esistenza in essi di cosiddetti “cookies”

(=piccoli file utili alla navigazione Internet), e di rendere possibile la scelta se continuare

ad utilizzarli o meno.

Il CNF ricorda che “…è fatto obbligo ai titolari di siti web di informare gli utenti che visitano

il sito sulle modalità di utilizzo dei cookie (informazioni immesse nel browser dell’utente

quando visita un sito web, che contengono dati diversi, come, ad esempio, il nome del

server da cui proviene, un identificatore numerico, e che vengono memorizzate, per poi

essere ritrasmesse agli stessi siti alla visita successiva)”. L’informativa dovrà innanzitutto

precisare che tipo di cookie utilizza il sito, se esclusivamente di tipo “tecnico” (finalizzati

tramite autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di

informazioni specifiche sugli utenti che accedono ad una pagina web, etc. a rendere più

veloce e rapida la navigazione) ovvero di “profilazione” (utilizzati per profilare e monitorare

gli utenti durante la navigazione, studiare le abitudini di consultazione del web e di

consumo allo scopo di inviare pubblicità di servizi mirati e personalizzati), gestiti

direttamente dal titolare del sito o da terze parti. Nel primo caso basterà elencare il tipo di

cookie utilizzati ed indicare le modalità di disattivazione degli stessi (pur sempre possibile,

anche se penalizzante la velocità di navigazione);nel secondo caso è invece necessario

anche acquisire il preventivo consenso degli utenti.

Dal punto di vista operativo, fatti salvi i requisiti di cui all’art. 13 del codice della privacy, è

suggerito di impostare l’informativa su due livelli di approfondimento successivi:

– una “informativa breve”, da inserire sull’home page, ed in ogni pagina che consenta

l’accesso al sito, eventualmente anche tramite un banner; integrata da

– una “informativa estesa”, alla quale si accede attraverso un link, cliccabile dall’utente.

In caso di siti contenenti anche cookie di profilazione, la richiesta di consenso deve essere

inserita nell’informativa breve. Si rammenta che il mancato rispetto della normativa in

esame comporta l’applicazione di una sanzione pecuniaria da un minimo di 6.000 fino a un

massimo di 36.000 euro in caso di omessa o inidonea informativa; oppure da oppure da

10.000 a 120.000 euro in caso di utilizzo di cookie di profilazione senza il consenso

preventivo dell’utente.

Fonte: newsletter Ufficio stampa CNF

Tenete bene in mente la data del 2 giugno 2015.

A partire da quel giorno, infatti, il Garante della Privacy impone ai gestori di siti web l’obbligo di acquisire il preventivo consenso degli utenti all’installazione di alcuni tipi di cookie.

Innanzi tutto cos’è un cookie?

I Cookie sono righe di testo usate per eseguire autenticazioni automatiche, tracciatura di sessioni e memorizzazione di informazioni specifiche riguardanti gli utenti che accedono al server di un determinato sito Internet, come ad esempio siti web preferiti o, in caso di acquisti via Internet, il contenuto dei loro carrelli della spesa. Si differenziano in cookie tecnici, di profilazione e di terze parti.

Cos’è un cookie tecnico?

Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web. Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili. Fra questi rientrano i cookie analitici utilizzati per raccogliere informazioni statistiche di vario genere.

Cos’è un cookie di profilazione?

Sono i cookie che sono utilizzati per raccogliere i dati relativi agli utenti, allo scopo per esempio di inviar loro pubblicità mirata e personalizzata.

Cosa sono i cookie di terze parti?

Sono quei cookie installati da un sito web diverso da quello che l’utente sta visitando. Sul sito web visitato possono essere presenti elementi come, ad esempio, immagini, mappe, suoni, specifici link a pagine web di altri domini  che risiedono su server diversi da quello sul quale si trova la pagina richiesta.

Per i cookie di “terze parti”, l’informativa ed il consenso sono, di norma, a carico del terzo.
Tuttavia è comunque necessario che il visitatore del sito sia adeguatamente informato che quel sito utilizza cookie di terze parti e ciò deve avvenire nel momento in cui il visitatore accede al sito web che consente la memorizzazione dei cookie di terze parti o quando accede ai contenuti forniti dalle terze parti ed, in ogni caso, prima che i cookie vengano scaricati sul terminale del visitatore.
E’ pero’ necessario che il titolare del sito web inserisca nell’informativa cookie estesa i collegamenti (link) alle pagine web di terzi contenenti le informative e i moduli per l’acquisizione del consenso relativo ai cookie delle terze parti al fine di mantenere distinta la responsabilità dei titolari o gestori del sito web da quella delle terze parti,.

Se il tuo sito web ha collegamenti ai social in generale, sarà necessario inserire nella cookie policy la precisazione che il sito utilizza questi servizi, i quali servizi sono di terze parti e che ogni ulteriore chiarimento in merito all’utilizzo di questi cookie sono disponibili sul sito del terzo inserendo il link di collegamento al sito Facebook, Twitter, Google in cui viene spiegato, da parte di questi siti terzi, l’utilizzo di questi cookie e le modalità per disattivarli

 

Per l’utilizzo di qualsiasi cookie sarà necessario acquisire il consenso informato?

No. Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare l’informativa (art. 13 del Codice privacy).

A titolo esemplificativo sono cookie per i quali non è necessario acquisire il consenso preventivo e informato dell’utente:

  • i cookie impiantati nel terminale dell’utente/contraente direttamente dal titolare del singolo sito web, se non sono utilizzati per scopi ulteriori: è il caso dei cookie di sessione utilizzati per “riempire il carrello” negli acquisti online, di quelli di autenticazione, dei cookie per contenuti multimediali tipo flash player se non superano la durata della sessione, dei cookie di personalizzazione (ad esempio, per la scelta della lingua di navigazione), ecc.;
  • i cookie utilizzati per analizzare statisticamente gli accessi/le visite al sito (cookie cosiddetti “analytics“) se perseguono esclusivamente scopi statistici e raccolgono informazioni in forma aggregata;
  • i cookie analytics gestiti da terza parte, ma anonimizzati, ovvero in relazione ai quali la terza parte non possa accedere ai dati disaggregati di analytics a livello di IP.

 

Per tutti occorre però che l’informativa fornita dal sito web sia chiara e adeguata e si offrano agli utenti modalità semplici per opporsi (opt-out) al loro impianto (compresi eventuali meccanismi di anonimizzazione dei cookie stessi).

I cookie di profilazione, invece, possono essere installati sul terminale dell’utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con le modalità che spiegheremo più avanti.

Tutti i servizi esterni potenzialmente idonei a tracciare l’utente ed acquisirne le relative informazioni quali ad esempio AdSense, Google+, Facebook, Twitter, Youtube devono necessariamente essere autorizzati dal visitatore del sito web. Questi servizi non possono infatti considerarsi cookie tecnici, in quanto non sono strettamente necessari al corretto funzionamento del sito web visitato né tanto meno rappresentano un servizio richiesto dall’utente/visitatore, bensì sono da considerarsi, in base alle loro finalità, cookie di profilazione per campagne di advertising con conseguente operatività dell’obbligo di informativa e di consenso.

Come capire quali cookie sono presenti sul nostro sito?

Per capire quali cookie vengono installati quando un utente visita le pagine del nostro sito internet è possibile installare un addons in Firefox, uno dei browser che utilizziamo per navigare su internet.

Una volta installato e riavviato il browser dobbiamo visitare le varie pagine del nostro sito giacchè non in tutte vengono installati gli stessi cookie. E’ possibile così stilare una lista di tutti i cookie utilizzati e per ognuno dei cookie così trovati andrà poi effettuata una ricerca per capire se è di tipo tecnico, di terze parti o di profilazione.

 

Cosa fare per mettersi in regola?

Nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page (di idonee dimensioni ossia di dimensioni tali da costituire una percettibile discontinuità nella fruizione dei contenuti della pagina web), integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente.
Nota bene: questo banner deve essere presente in tutte le pagine del sito, non solo nella home page perché l’utente potrebbe avere come entry page qualsiasi contenuto del sito tramite i motori di ricerca.

Non è richiesto un opt-in cioè un click palese per l’accettazione dei cookie di profilazione ma può esservi un’accettazione tacita continuando la navigazione.

E’ necessario poi qualora il sito utilizzi cookie di profilazione redigere un documento in cui presentare i cookie che si usano, sia tecnici che di terze parti. Questa pagina è la cosiddetta “informativa estesa“ o cookie policy.

L’informativa deve contenere:

– gli elementi di cui all’art. 13 d.lgs. 196/2003 (“Codice Privacy”);

– una spiegazione generale di cosa sono i cookie e della gestione degli stessi tramite le impostazioni dei browser;

– la spiegazione di come viene prestato il consenso (ovvero scroll, tasto OK o X e link);

– la descrizione delle categorie di cookie tecnici suddivisi per finalità;

– la descrizione dei cookie di profilazione di prima parte con il relativo modulo di consenso;

– la descrizione delle finalità dei cookie di terza parte. Per ogni terza parte che installa cookie (identificabile anche tramite il nome commerciale), per i quali la gestione delle preferenze ricade su tale terza parte, occorre fornire la descrizione delle finalità del cookie e iI link all’informativa;

 

All’interno dell’informativa estesa devono essere presenti anche i link alle modalità per eliminare i cookie dai vari browser. Chiunque ha infatti la possibilità di chiedere di essere rimosso dal tracciamento dei cookie di profilazione o di terze parti.

Molti titolari dei siti web tendono a fare copia/incolla di privacy policy e cookie policy da siti esistenti senza tuttavia considerare che le finalità di trattamento dei dati ed i cookie possono essere assolutamente differenti. Così facendo si rischia di prevedere nella propria informativa l’utilizzo di cookie (profilazione, terze parti) anche laddove invero non ne viene fatto oppure per finalità del tutto diverse.
Considerato le elevatissime sanzioni previste in caso di controlli da parte del Garante è consigliabile rivolgersi a un buon avvocato per farvi seguire e consigliare.

In che sanzioni posso incorrere?

Le sanzioni previste possono essere davvero pesanti. Oscillano infatti da 6000 a 36000 euro per omessa informativa o informativa non idonea, da 10000 a 120000 euro in caso di installazione di cookie in assenza di preventivo consenso e da 20000 a 120000 euro per omessa o incompleta notificazione al Garante.

Obbligo di notifica al Garante?

L’uso dei cookie rientra nell’obbligo di notifica al Garante. Ma non per tutti.

Il Garante chiede infatti una notifica solo dei cookie persistenti che riguardano informazioni personali. Pertanto quelli che utilizziamo per “definire il profilo o la personalità dell’interessato o per analizzare abitudini o scelte di consumo” vanno notificati.

Tutti i cookie tecnicicompresi quelli di Web Analytics espressamente nominati nel provvedimento – non hanno bisogno di alcuna notifica.

Ne consegue pertanto che qualora un sito web non facesse uso di cookie di profilazione non sarà tenuto ad alcuna notificazione al Garante privacy.

Nel caso in cui il titolare/gestore del sito utilizzi esclusivamente cookie di profilazione di terze parti, non sarà necessario provvedere alla notificazione preventiva dal momento che le finalità del trattamento effettivamente perseguite con l’uso dei cookie non rientrano nel controllo del titolare/gestore del sito che non conosce la logica sottesa ai relativi trattamenti.
La notificazione deve essere effettuata prima che inizi il trattamento dei dati personali e deve essere trasmessa telematicamente attraverso la compilazione e l’invio dell’apposito modulo, disponibile al link https://web.garanteprivacy.it/rgt con pagamento delle relative spese di segreteria che ammontano a circa 150,00€.
Ricordiamo che la normativa in materia di protezione dei dati personali prevede sanzioni amministrative in caso di mancata notificazione consistente nel pagamento di una somma da 20.000€ a 120.000€.