Cookie e traccianti: cosa dice il GDPR.

Ai sensi della Direttiva Privacy, gli utenti di Internet devono essere informati e dare il loro consenso, prima del deposito e della lettura di determinati traccianti, mentre altri sono esentati dall’ottenere tale consenso.

Cosa definiscono i termini “cookie” o “tracciante?..

I termini “cookie” o “tracciante” definiscono, ad esempio:

  • cookie HTTP,
  • cookie “flash”,
  • il risultato del calcolo di un’impronta univoca del terminale in caso di ”  impronta digitale (Fingerprinting)  (calcolo di un identificatore univoco del terminale, sulla base di elementi della sua configurazione, ai fini del tracciamento),
  • pixel invisibili o “web bug”,
  • qualsiasi altro identificatore generato dal software o da un sistema operativo (numero di serie, indirizzo MAC, identificatore univoco del terminale IDFV) o qualsiasi insieme di dati utilizzato per calcolare un’impronta digitale univoca del terminale (ad esempio tramite un metodo di “impronta digitale”).

Possono essere depositati e/o letti, ad esempio durante la consultazione di un sito web, di un’applicazione mobile, o anche durante l’installazione o l’utilizzo di software, indipendentemente dal tipo di terminale utilizzato: computer, smartphone, tablet digitale o console per videogiochi connessi a Internet.

Chi ha questo obbligo?

È vincolante per i titolari del trattamento che depositano traccianti previo consenso sulla protezione dei dati (ad esempio quando gli editori autorizzano il deposito di cookie, che vengono poi letti dalle agenzie pubblicitarie). Questi ultimi sono contitolari del trattamento in quanto determinano congiuntamente le finalità e le modalità delle operazioni di lettura e scrittura sugli apparati terminali degli utenti.

L’obbligo di acquisire il consenso può quindi essere imposto, in particolare:

  • editori di siti Web e applicazioni mobili;
  • alle agenzie pubblicitarie;
  • ai social network che forniscono moduli di condivisione sui social network.

In generale, i redattori di siti o applicazioni mobili, a causa del contatto diretto con l’utente, sono spesso nella posizione migliore per informare quest’ultimo delle informazioni sui tracker depositati e per raccoglierne il consenso.

Quali cookie richiedono il preventivo consenso degli utenti?

Tutti i cookie che non hanno l’esclusiva finalità di consentire o agevolare la comunicazione con mezzi elettronici o non sono strettamente necessari alla fornitura di un servizio di comunicazione online su espressa richiesta dell’utente, richiedono il preventivo consenso dell’utente internet. Tra i cookie che richiedono la preventiva informativa e la preventiva raccolta del consenso dell’utente, si possono citare in particolare:

  • cookie relativi ad operazioni relative alla pubblicità personalizzata;
  • cookie dei social network, in particolare generati dai loro pulsanti di condivisione.

Per quanto riguarda i traccianti non soggetti a consenso, possiamo citare:

  1. i traccianti conservando la scelta espressa dagli utenti sul deposito dei traccianti;
  2. traccianti destinati all’autenticazione con un servizio, compresi quelli destinati a garantire la sicurezza del meccanismo di autenticazione, ad esempio limitando i tentativi di accesso robotici o imprevisti;
  3. traccianti destinati a memorizzare il contenuto di un carrello su un sito di un commerciante o a fatturare all’utente il/i prodotto/i e/o il/i servizio/i acquistato/i;
  4. traccianti di personalizzazione dell’interfaccia utente (ad esempio, per la scelta della lingua o per la presentazione di un servizio), quando tale personalizzazione costituisce un elemento intrinseco e previsto del servizio;
  5. traccianti per bilanciare il carico di apparecchiature che contribuiscono ad un servizio di comunicazione;
  6. traccianti che consentono ai siti a pagamento di limitare il libero accesso a un campione di contenuti richiesto dagli utenti (quantità predefinita e/o per un periodo limitato);
  7. determinati tracker di misurazione dell’audience purché soddisfino determinate condizioni.

Come ottenere un consenso valido?

Il consenso deve manifestarsi con un atto positivo della persona preventivamente informata, in particolare, delle conseguenze della sua scelta e dotata dei mezzi per accettare, rifiutare e revocare il suo consenso. 

Occorre pertanto predisporre adeguati sistemi di raccolta del consenso secondo modalità pratiche che consentano agli utenti di Internet di beneficiare di soluzioni di facile utilizzo.

L’accettazione delle condizioni generali di utilizzo non può costituire una valida modalità di acquisizione del consenso.

Il consenso deve essere antecedente al deposito e/o alla lettura dei cookie.

  • Finché l’interessato non ha prestato il proprio consenso, i cookie non possono essere inseriti o letti sul suo terminale.
  • Deve essere richiesto ogni volta che alle finalità inizialmente previste, si aggiunge una nuova finalità che richiede il consenso.

Il consenso è una manifestazione di volontà, libera, specifica, inequivocabile e informata. La validità del consenso è quindi particolarmente legata alla qualità delle informazioni ricevute.

  • Deve essere visibile, evidenziato e completo.
  • Deve essere scritto in termini semplici che possano essere compresi da qualsiasi utente.
  • Deve consentire agli utenti di Internet di essere perfettamente informati, in particolare per quanto riguarda le diverse finalità dei cookie e l’identità dei responsabili del trattamento.
  1. Al fine di conciliare concisione e precisione delle informazioni, è possibile disporre di due livelli di informazione: ad esempio, un primo livello può descrivere sinteticamente ciascuna finalità del trattamento, mentre un secondo livello fornirebbe maggiori dettagli su tali finalità e sull’elenco dei titolari del trattamento.

Il consenso è valido solo se la persona fa una scelta reale.

  • L’utente deve poter accettare o rifiutare il deposito e/o la lettura dei cookie con lo stesso grado di semplicità.
  • Secondo il considerando 42 del GDPR, che chiarisce il requisito della libertà di consenso di cui al suo articolo 4, “il consenso non dovrebbe considerarsi liberamente, se l’interessato non dispone di una reale libertà di scelta o non è in grado di rifiutare o revocare il consenso senza pregiudizio”.  
  • Inoltre, si raccomanda che tale scelta venga effettuata su ciascuno dei siti o applicazioni interessati dal tracciamento della navigazione.

Il consenso deve poter essere revocato in modo semplice ed in qualsiasi momento dall’utente.

  • Revocare il consenso dovrebbe essere facile come darlo.
  • Le soluzioni che consentono agli utenti di revocare il proprio consenso devono essere messe a disposizione dell’utente. Devono essere accessibili in ogni momento.

Come si dimostra che è stato ottenuto il consenso?

Ogni Società che richiede il consenso deve essere in grado di fornirne prova. A tale scopo può utilizzare i seguenti metodi non esclusivi:

  • Sequestro presso una terza parte del codice informatico utilizzato dall’ente che ottiene il consenso, per le diverse versioni del proprio sito o della propria applicazione mobile, o anche semplicemente mediante la pubblicazione timbrata su piattaforma pubblica di un digest (o “hash) del presente codice, per poterne provare a posteriori l’autenticità;
  • Per ogni versione del sito o dell’applicazione è possibile conservare, in modalità timestamp, uno screenshot del rendering visivo visualizzato su un terminale mobile o fisso;
  • Audit periodici dei meccanismi di raccolta del consenso implementati dai siti o dalle applicazioni da cui è raccolto, possono essere attuati da terzi incaricati a tal fine;
  • Le informazioni relative agli strumenti implementati e alle loro successive configurazioni (come le soluzioni per la raccolta dei consensi, note anche come “Piattaforma di gestione del consenso”) di CMP possono essere conservate, con modalità cronologica, dalle terze parti che pubblicano tali soluzioni.

GDPR: come raccogliere il consenso?

Il consenso è una delle basi giuridiche previste dal GDPR su cui può fondarsi il trattamento dei dati personali. Il GDPR richiede che tale consenso sia libero, specifico, informato e inequivocabile. Le condizioni applicabili al consenso sono definite negli artt. 4 e 7 del GDPR.

Il consenso era già sancito dalla legge sulla protezione dei dati, rafforzato dal GDPR, ne sono specificate le condizioni per la sua raccolta.

Fornisce agli interessati un forte controllo sui propri dati, consentendo loro di:

  • per capire come verranno trattati i suoi dati;
  • di scegliere senza vincolo se accettare o meno tale trattamento;
  • per cambiare idea liberamente.

La raccolta del consenso delle persone autorizza al trattamento dei loro dati da parte dei Titolari del trattamento.

Spesso proposto in fase di sottoscrizione e fruizione dei servizi, in particolare online, deve essere raccolto a condizioni specifiche che ne garantiscano la validità.

Cos’è il consenso?

Cosa dice il GDPR:

Per consenso si intende “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale l’interessato accetta, con una dichiarazione o con un atto palesemente positivo, che i dati personali che lo riguardano siano oggetto di trattamento”.

Il consenso non è un concetto nuovo, poiché era già incluso nella legge sulla protezione dei dati. Il GDPR ne completa comunque la definizione e chiarisce tale nozione in alcuni aspetti, al fine di consentire agli interessati di esercitare un controllo reale ed effettivo sul trattamento dei propri dati. 

Il consenso è una delle 6 basi giuridiche previste dal GDPR che autorizza l’attuazione del trattamento dei dati personali.

Il Titolare del trattamento deve essere in grado di dimostrare la validità dell’uso di questa base giuridica.

Qualsiasi modifica significativa delle condizioni di attuazione del trattamento (finalità, dati, periodi di conservazione, ecc.) è tale da incidere sulla validità della base giuridica conservata: la procedura di valutazione di tale validità deve pertanto, in tal caso, essere ripetuto.

Il consenso delle persone può essere raccolto sistematicamente

No :  il consenso è una delle 6 basi giuridiche previste dal GDPR che autorizzano l’attuazione del trattamento dei dati personali.

I titolari del trattamento possono effettuare trattamenti sulla base di un’altra base giuridica, come l’esecuzione di un contratto o il loro legittimo interesse. La base giuridica deve essere determinata dal titolare del trattamento in modo adeguato alla situazione e al tipo di trattamento in questione.

Per alcune operazioni di trattamento, invece, può essere sistematicamente richiesto il consenso dell’interessato, se disciplinato da specifiche disposizioni di legge: ad esempio, per effettuare prospezioni commerciali tramite posta elettronica.

Quali sono i criteri per un consenso valido

4 criteri cumulativi devono essere soddisfatti per ottenere validamente il consenso, che deve essere:

  • Libero: il consenso non deve essere forzato o influenzato. Alla persona deve essere offerta una scelta leale, senza dover subire conseguenze negative in caso di rifiuto.

La natura libera del consenso deve essere oggetto di particolare attenzione nel caso di esecuzione di un contratto, anche per la fornitura di un servizio: il rifiuto del consenso al trattamento che non è necessario all’esecuzione del contratto, non deve avere alcuna conseguenza sulla sua esecuzione o sulla prestazione del servizio.

Ad esempio, un operatore di telefonia mobile raccoglie il consenso dei propri clienti per l’utilizzo dei loro dati da parte dei partner, a fini di elaborazioni commerciale. Il consenso si considera libero a condizione che il rifiuto del cliente non pregiudichi l’erogazione del servizio di telefonia mobile.

  • Specifico: il consenso deve corrispondere ad un unico trattamento, per una specifica finalità.

Pertanto, per il trattamento che ha più finalità, le persone fisiche devono poter esprimere il proprio consenso in modo autonomo per l’una o l’altra di tali finalità. Devono poter scegliere liberamente le finalità per le quali acconsentono al trattamento dei propri dati.

Ad esempio, un organizzatore di eventi culturali desidera raccogliere il consenso degli spettatori per due tipi di servizi: la conservazione dei loro dati di pagamento (carta di credito) al fine di facilitare le loro future prenotazioni; raccogliendo il loro indirizzo e-mail per inviare loro e-mail sulle prossime esibizioni. Affinché il consenso sia valido, i telespettatori devono poter acconsentire liberamente e separatamente per ciascuna di queste due operazioni di trattamento: la memorizzazione delle coordinate bancarie e l’utilizzo del proprio indirizzo email.

  • Informato: per essere valido, il consenso deve essere accompagnato da una certa quantità di informazioni comunicate all’interessato prima del consenso.

Al di là degli obblighi relativi alla trasparenza, il titolare del trattamento dovrebbe fornire le seguenti informazioni agli interessati per ottenere il loro consenso informato:

  • l’identità del responsabile del trattamento;
  • le finalità perseguite;
  • le categorie di dati raccolti;
  • l’esistenza di un diritto di revoca del consenso;
  • a seconda dei casi: il fatto che i dati saranno utilizzati nell’ambito di decisioni individuali automatizzate o che saranno trasferiti in un Paese al di fuori dell’Unione Europea.
  • Inequivocabile: il consenso deve essere dato da una dichiarazione o da qualsiasi altro atto chiaramente positivo. Nessuna ambiguità sull’espressione del consenso può rimanere.

Le seguenti modalità di acquisizione del consenso non possono essere considerate univoche:

  • caselle preselezionate o preattivate
  • consensi “raggruppati” (quando è richiesto un unico consenso per più trattamenti distinti)
  • inazione (ad esempio, mancata risposta a un’e-mail di richiesta del consenso)

Cosa cambia il GDPR?

Il GDPR non ha modificato sostanzialmente la nozione di consenso. D’altra parte ne ha chiarito la definizione e l’ha rafforzata, aggiungendo alcuni diritti e garanzie:

  • Diritto di recesso: la persona deve poter revocare il proprio consenso in qualsiasi momento, attraverso una modalità semplice equivalente a quella utilizzata per raccogliere il consenso (ad esempio, se la raccolta è stata effettuata online, deve poter essere revocata anche online).
  • Prova del consenso: il titolare del trattamento deve essere in grado di dimostrare in qualsiasi momento che la persona ha acconsentito, a condizioni valide.

Per fare ciò, i titolari del trattamento devono documentare le condizioni per l’ottenimento del consenso. La documentazione deve consentire di dimostrare:

  • l’attuazione di meccanismi che consentano di non collegare la raccolta del consenso, in particolare all’esecuzione di un contratto (consenso “libero”)
  • la chiara ed intellegibile separazione delle diverse finalità di trattamento (consenso “specifico” o “granularità del consenso”)
  • corretta informativa alle persone (consenso “informato”)
  • il carattere positivo dell’espressione della scelta dell’interessato (consenso (consenso inequivocabile)

In particolare, i titolari del trattamento possono tenere un registro dei consensi, che può essere inserito nel registro dei trattamenti.

Il GDPR prevede specifiche condizioni di consenso per determinate situazioni:

  • Consenso dei minori: per i servizi della società dell’informazione (social network, piattaforme, newsletter, ecc.), il trattamento dei dati personali di un minore basato sul consenso è lecito, in linea di principio, solo se il minore ha almeno 15 anni.

Se il minore ha meno di 14 anni, il trattamento è lecito solo se il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale sul minore. 

In Italia, l’età utilizzata è 14 anni: i minori di età pari o superiore a 14 anni possono acconsentire al trattamento dei propri dati sulla base del consenso nell’ambito dei servizi della società dell’informazione. 

 Consenso espresso: in alcuni casi, il consenso deve essere esplicito. Questa caratteristica si riferisce alla modalità di espressione del consenso: è necessaria una dichiarazione espressa dell’interessato, che richiede particolare attenzione e l’attuazione di meccanismi ad hoc da parte del responsabile del trattamento.

Si tratta di casi in cui esiste un grave rischio per la protezione dei dati e che richiedono un più elevato grado di controllo da parte dell’individuo: è ad esempio necessario per il trattamento di dati sensibili o per consentire la completa automatizzazione del processo decisionale.

Per garantire il consenso esplicito, il titolare può, ad esempio:

  • fornire una casella di raccolta del consenso specificamente dedicata al trattamento dei dati sensibili
  • richiedere una dichiarazione scritta e firmata dall’interessato o l’invio di una e-mail indicando che l’interessato accetta espressamente il trattamento di determinate categorie di dati
  • raccogliere il consenso in due passaggi: inviare una mail all’interessato che dovrà poi confermare la sua prima azione di consenso

Il consenso deve essere nuovamente raccolto con il GDPR?

Il consenso ottenuto e raccolto entro il 25 maggio 2018 può rimanere valido, purché rispetti le disposizioni ora previste dal GDPR. Questa situazione può benissimo verificarsi, nella misura in cui questo nuovo quadro giuridico è vicino al quadro precedente.

In caso negativo, i titolari del trattamento devono “aggiornare” o integrare i consensi raccolti dai soggetti affinché siano ritenuti validi e conformi ai requisiti GDPR.

Opposizione alla comunicazione commerciale: la creazione di liste per non duplicare le richieste di consenso.

Una persona che si sia opposta a ricevere comunicazione da un’organizzazione, non deve essere nuovamente sollecitata da quest’ultima. La creazione di un “file” permette di tenere conto di tale opposizione nel tempo, qualunque sia la fonte dei dati utilizzati.

  • Gli individui hanno il diritto assoluto di opporsi, in modo semplice e gratuito, alla comunicazione commerciale;
  • La costituzione di una lista di opposizioni, è uno dei meccanismi che consentono di tenere conto nel tempo di tale rifiuto;
  • Questo elenco non può in nessun caso essere utilizzato per altri scopi.

Il diritto di opposizione nella comunicazione commerciale

 Costruisci una lista

Per essere effettivo, il diritto di opposizione delle persone deve essere tenuto in considerazione nel tempo.

È quindi possibile creare una push list. Ciò consente di evitare di aggiungere, inavvertitamente, persone che si sono già opposte alla comunicazione, a un elenco di persone da consultare.

Esempio: elenco compilato utilizzando dati di una terza parte, ad esempio un “data broker ”.

Una push-back list è uno dei meccanismi che consentono di escludere definitivamente da qualsiasi nuova operazione di comunicazione, le persone contrarie a tali sollecitazioni.

Tali dati non possono in nessun caso essere utilizzati per finalità diverse dalla gestione del diritto di opposizione e devono essere conservati solo i dati necessari.

Si raccomanda che le informazioni che consentono di prendere in considerazione l’opposizione di una persona, siano conservate per un minimo di 3 anni .

Importante

Nel contesto della comunicazione telefonica, è obbligatorio tenere costantemente conto degli elenchi di opposizione, come il Registro delle opposizioni.

Come posso minimizzare al meglio i dati dalla push list?

Per rispettare al meglio il principio di minimizzazione del GDPR , devono essere conservati solo i dati necessari, per questo, è possibile assicurarsi di non tenere push list nominative, ma di conservare solo le impronte dell’indirizzo o del numero utilizzato per la comunicazione.

Definizione

Chiamiamo “impronta digitale” o “hash” il risultato ottenuto dopo un’operazione matematica (crittografica), chiamata “funzione hash”, su un file. Questa operazione trasforma, ad esempio, un indirizzo di posta elettronica in una serie di numeri privi di significato. Se questa operazione viene eseguita correttamente, è impossibile trovare l’indirizzo originale dall’impronta digitale. D’altra parte, la stessa operazione di hashing degli stessi dati darà sempre lo stesso risultato.

Ciò consente di tenere conto nel tempo dell’opposizione senza conservare alcun dato direttamente identificativo.

Mantenere la push list in forma hash migliora anche la sicurezza dei dati personali trattati.  La divulgazione, o la perdita accidentale di un tale elenco, a un aggressore avrebbe un impatto potenziale molto minore sui diritti e sulle libertà delle persone, rispetto alla violazione di un elenco di indirizzi non crittografato.

Nota: questi dati sottoposti a hash rimangono dati personali e devono quindi essere al sicuro.

Per eseguire l’hashing di un indirizzo email o di un numero di telefono, è consigliabile utilizzare algoritmi sicuri e robusti. Successivamente, in caso di ricezione di un nuovo elenco di prospect, sarà possibile eseguire l’hashing delle informazioni e confrontare i risultati ottenuti con l’elenco delle impronte che costituiscono l’elenco di opposizione: le impronte presenti nei due elenchi sono gli indirizzi delle persone che si sono già opposti alla comunicazione commerciale e che non dovrebbero essere nuovamente sollecitati.

Come evitare errori utilizzando una push list di indirizzi postali?

Per quanto riguarda gli indirizzi postali, la forma libera di un campo indirizzo consente molte formulazioni diverse che potrebbero portare a impronte diverse (esempio: “avenue” essendo scritto “av.”, “Av” o addirittura “Avenue” scritto in modo errato). Essendo distinti i digest calcolati su formati diversi dello stesso indirizzo, è quindi difficile costituire una lista di push-back affidabile.

Per ovviare a questo problema, puoi utilizzare tecniche per armonizzare la formattazione del tuo file di indirizzi o utilizzare tecniche di geo codifica . Con questi strumenti è possibile offrire alle persone che inseriscono il proprio indirizzo sul tuo sito un’interfaccia interattiva per l’inserimento dell’indirizzo, al fine di validare un indirizzo esatto e in un formato standardizzato ( esempio: per auto completamento dai primi caratteri dell’indirizzo). Sarà quindi possibile utilizzare le impronte digitali di questi indirizzi confermati in modo da costituire un elenco di push-back affidabile.

Qualsiasi persona fisica può accedere ai dati che la riguardano: vediamo come fare

Tutte le organizzazioni che elaborano i dati personali devono disporre di misure per prevenire violazioni dei dati e rispondere in modo appropriato in caso di incidente. Gli obblighi previsti dal GDPR mirano a evitare che una violazione possa arrecare danno o pregiudizio alle organizzazioni e ai soggetti interessati. 

I nuovi obblighi in materia di data breach previsti dagli articoli 33 e 34 del GDPR, specificano l’obbligo generale di sicurezza che deve essere rispettato dalle organizzazioni che trattano dati personali. 

In base a questo principio essenziale, queste organizzazioni devono mettere in atto misure volte a:

  • prevenire qualsiasi violazione dei dati;
  • reagire adeguatamente in caso di violazione, vale a dire porre fine alla violazione e minimizzarne gli effetti.

Tali disposizioni mirano a preservare sia:

  • titolari del trattamento: al fine di tutelare il proprio patrimonio informativo, in particolare consentendo loro di mettere al sicuro i propri dati;
  • le persone interessate dalla violazione: al fine di evitare che causi loro danno o pregiudizio, in particolare consentendo loro di adottare le precauzioni necessarie in caso di incidente. 

Si raccomanda pertanto alle organizzazioni che trattano i dati personali (titolare o responsabile del trattamento) di pianificare e attuare procedure complete per le violazioni dei dati personali. Tali procedure devono coprire l’intero processo: l’attuazione di misure volte a rilevare immediatamente una violazione, contenerla tempestivamente, analizzare i rischi generati dall’incidente e determinare se sia opportuno avvisare l’autorità di controllo, o anche gli interessati. Tali procedure concorrono quindi alla documentazione della conformità al GDPR.

Che cos’è una violazione dei dati?

L’ articolo 4(12) del GDPR definisce una violazione dei dati personali una violazione della sicurezza che comporti la distruzione, la perdita, l’alterazione accidentale o illecita, la divulgazione non autorizzata dei dati personali trasmessi, archiviati o altrimenti elaborati, o l’accesso non autorizzato a tali dati.

Si tratta di qualsiasi incidente di sicurezza, di origine dannosa o meno e che si verifica intenzionalmente o meno, con la conseguenza di compromettere l’integrità, la riservatezza o la disponibilità dei dati personali.

Esempi:

  • cancellazione accidentale di dati medici detenuti da una struttura sanitaria e non altrimenti sottoposti a backup;
  • perdita di una chiave USB non protetta contenente una copia del database clienti di un’azienda;
  • ingresso dannoso in un database scolastico e modifica dei risultati ottenuti dagli studenti.

Chi è interessato

Tutte le organizzazioni, pubbliche e private, indipendentemente dalle loro dimensioni, sono soggette a questi obblighi non appena trattano dati personali e vengono a conoscenza di una violazione dei dati personali. Non sono più riservati, come prima del GDPR, ai soli fornitori di servizi di comunicazione elettronica.

I subappaltatori, che trattano dati personali per conto di un organismo responsabile del trattamento, hanno anche obblighi in materia di violazione: devono in particolare avvisare l’organizzazione di qualsiasi incidente di sicurezza il prima possibile, affinché possano adempiere ai propri obblighi.

Quali sono i principali obblighi di violazione dei dati?

PER GLI INTERESSATI,
LA VIOLAZIONE GENERA:
NESSUN RISCHIOUN RISCHIOALTO RISCHIO
Documentazione interna , nel “Registro delle violazioni”XXX
Notifica alla Garante, entro un massimo di 72 oreXX
Informazione delle persone interessate il prima possibile, salvo casi particolariX

Sono previste esenzioni dall’obbligo di informare gli interessati?

: in caso di violazione che comporti un rischio elevato, sono previste deroghe all’obbligo di informare le persone. Questi sono i seguenti casi:

  1. i dati personali interessati dalla violazione in questione, sono protetti da idonee misure di protezione tecnica e organizzativa e risultano quindi incomprensibili a chiunque non sia autorizzato ad accedervi;

(Esempio: i dati sono stati sottoposti ad una misura di cifratura all’avanguardia, la cui chiave non è stata compromessa ed è stata generata in modo tale da non poter essere ritrovati, con nessun mezzo tecnologico esistente, da qualcuno che non sia autorizzato ad usarlo)

  1. il responsabile del trattamento ha successivamente adottato misure atte a garantire che l’elevato rischio per i diritti e le libertà delle persone, non sia più probabile che si concretizzi;

(Esempio: le password dei dipendenti con accesso a un database sensibile sono state rubate, ma non sono state utilizzate e sono state reimpostate)

  • comunicare la violazione alle persone colpite richiederebbeuno sforzo sproporzionato;

(Esempio: il titolare del trattamento non dispone di alcuna informazione che consenta di contattare gli interessati: in tal caso deve essere effettuata una comunicazione pubblica, o un provvedimento analogo che consenta di informare gli interessati in modo altrettanto efficace).

Cosa deve contenere il “registro violazione dei dati”

La documentazione dovrebbe registrare i fatti relativi alla violazione dei dati personali, i suoi effetti e le misure adottate per porvi rimedio. Può essere controllato dal Garante, al fine di verificare il rispetto degli obblighi in materia di violazioni.

In pratica si consiglia ai titolari del trattamento di elencare tutti gli elementi relativi alle violazioni e di fare affidamento sul modulo di notifica messo online dal Garante. Tale modulo può infatti fungere da framework per la documentazione interna, che può quindi costituire uno strumento unico per gestire la compliance al GDPR in termini di violazioni. 

Il registro delle violazioni deve contenere in particolare i seguenti elementi:

  • la natura della violazione;
  • le categorie e il numero approssimativo di interessati;
  • le categorie e il numero approssimativo di file interessati;
  • le probabili conseguenze della violazione;
  • le misure adottate per porre rimedio alla violazione e, se necessario, per limitare le conseguenze negative della violazione;
  • ove applicabile, la motivazione dell’assenza di notifica al Garante o di informazione agli interessati.

Cosa deve essere notificato all’autorità di controllo

La notifica avviene tramite un sito dedicato , che guida il dichiarante nel suo approccio.

La documentazione dovrebbe registrare i fatti relativi alla violazione dei dati personali, i suoi effetti e le misure adottate per porvi rimedio. Può essere controllato dal Garante al fine di verificare il rispetto degli obblighi in materia di violazioni.

In pratica si consiglia ai titolari del trattamento di elencare tutti gli elementi relativi alle violazioni e di fare affidamento sul modulo di notifica messo online dal Garante. Tale modulo può infatti fungere da framework per la documentazione interna, che può quindi costituire uno strumento unico per gestire la compliance al GDPR in termini di violazioni. 

Il registro delle violazioni deve contenere in particolare i seguenti elementi:

  • la natura della violazione;
  • le categorie e il numero approssimativo di interessati;
  • le categorie e il numero approssimativo di file interessati;
  • le probabili conseguenze della violazione;
  • le misure adottate per porre rimedio alla violazione e, se necessario, per limitare le conseguenze negative della violazione;
  • ove applicabile, la motivazione dell’assenza di notifica al Garante o di informazione agli interessati.

Cosa si deve comunicare agli interessati

La comunicazione agli interessati deve almeno contenere ed esporre, in termini chiari e precisi, i seguenti elementi:

  • la natura della violazione;
  • le probabili conseguenze della violazione;
  • i dati di contatto della persona da contattare (DPO o altro);
  • le misure adottate per sanare la violazione e, se necessario, per limitare le conseguenze negative della violazione.

Deve essere integrato, ove necessario, con raccomandazioni alle persone per mitigare i potenziali effetti negativi della violazione e consentire loro di prendere le dovute precauzioni.

Esempi di consigli: cambiare la password degli utenti di un servizio, controllare l’integrità dei dati nel loro account online, salvare questi dati su un supporto personale.

Quando dovresti avvisare il Garante?

La notifica deve essere effettuata il prima possibile e non oltre 72 ore dopo che il titolare del trattamento ne è venuto a conoscenza.

In pratica, il punto di partenza di questo periodo è quando il titolare del trattamento ha un ragionevole grado di certezza che si è verificato un incidente e che ha influito sui dati personali. Ciò implica che ha messo in atto misure per rilevare le violazioni e che conduca indagini il prima possibile per ottenere tale ragionevole certezza. Durante questa fase istruttoria, si ritiene che il titolare del trattamento non sia a conoscenza della violazione.

Esempi di situazioni in cui il titolare del trattamento deve ritenersi informato della violazione:

  1. in caso di smarrimento di una chiavetta USB contenente dati personali, quando si accorge dello smarrimento della chiave;
  2. una terza parte informa il responsabile del trattamento di aver ricevuto un’e-mail con informazioni su un’altra persona e fornisce prova di ciò;
  3. non appena un criminale informatico contatta il titolare del trattamento e gli comunica che potrebbe aver rubato dati dai server dell’azienda, dopo aver verificato tali informazioni.

È necessario disporre di tutte le informazioni per denunciare la violazione

È ovviamente importante garantire, se necessario attraverso le indagini iniziali, che si sia effettivamente verificata una violazione e determinarne il livello di gravità. 

La natura e l’origine dell’incidente devono quindi essere presunte o accertate prima di denunciare la violazione al Garante.

Qualora, invece, il titolare del trattamento non disponga di tutte le informazioni che devono essere portate a conoscenza dell’autorità di controllo, tali informazioni possono essere comunicate al momento in cui ne ha conoscenza.

In pratica, deve fare quanto prima una prima comunicazione al Garante, attraverso il sito Web  messo a disposizione a tal fine, che poi completerà con l’ausilio di una comunicazione aggiuntiva. Ciò gli consentirà di svolgere le ulteriori indagini necessarie per identificare tutte le informazioni. Questa notifica aggiuntiva deve avvenire, se possibile, entro un massimo di 72 ore.

Cosa devo fare se il periodo di notifica di 72 ore viene superato?

Il titolare del trattamento deve comunque segnalare la violazione che comporti un rischio per i diritti e le libertà delle persone. In caso di superamento di tale termine, i motivi che giustificano il ritardo nella notifica, devono essere indicati al Garante.

In pratica, al titolare del trattamento sarà chiesto, direttamente nel servizio di notifica online, di motivare i motivi di tale ritardo.

Qual è il ruolo del responsabile del trattamento in caso di violazione dei dati?

Il responsabile del trattamento è tenuto a notificare al titolare del trattamento qualsiasi violazione dei dati non appena possibile, dopo averne avuto conoscenza. Ciò consente al titolare del trattamento di adempiere ai suoi vari obblighi in materia di violazione dei dati.

In pratica, è opportuno prevedere nel contratto che vincola il subappaltatore al responsabile del trattamento, un obbligo in tal senso a carico del subappaltatore.

L’obbligo di notifica all’autorità di controllo può essere affidato al responsabile del trattamento?

. Il titolare del trattamento può chiedere al responsabile del trattamento di agire per suo conto affinché quest’ultimo notifichi la violazione all’autorità di controllo, se il titolare del trattamento ritiene che la violazione in questione possa presentare un rischio per gli interessati.

Ciò non esclude quindi né l’obbligo imposto al subappaltatore di informare il titolare del trattamento di eventuali violazioni dei dati, né gli obblighi propri del titolare del trattamento: quest’ultimo deve aggiornare il proprio registro delle violazioni e mantenere il controllo sulla decisione di notificare o meno l’autorità di vigilanza (a seconda del livello di rischio stimato).

Come valutare l’assenza di rischio, il rischio e l’alto rischio

Tale valutazione deve essere effettuata caso per caso dal titolare del trattamento e deve tenere conto dei seguenti elementi:

  1. il tipo di violazione (che pregiudica l’integrità, la riservatezza o la disponibilità dei dati);
  2. la natura, la sensibilità e il volume dei dati personali interessati;
  3. la facilità di identificazione delle persone interessate dalla violazione;
  4. le possibili conseguenze di questi per le persone;
  5. le caratteristiche di queste persone (bambini, persone vulnerabili, ecc.);
  6. il volume delle persone interessate;
  7. le caratteristiche del titolare del trattamento (natura, ruolo, attività).

Esempi di situazioni in cui non vi è alcun rischio che giustifichi la notifica al Garante o agli interessati: la divulgazione di dati diffusi già resi pubblici; cancellazione dei dati di backup e immediatamente ripristinati; la perdita di dati protetti da un algoritmo di crittografia all’avanguardia, se la chiave di crittografia non viene compromessa e se rimane disponibile una copia dei dati.

Quali sono i poteri del Garante in materia di violazione dei dati

Il Garante ha due missioni principali in termini di violazione dei dati:

  • un ruolo di supporto ai titolari del trattamento: la finalità della notifica all’autorità di controllo è in particolare quella di consentire di raccogliere dal Garante, eventuali pareri e osservazioni in merito alle misure di sicurezza da attuare, per porre fine alla violazione o per minimizzarne gli effetti; consente inoltre di verificare se sono necessarie informazioni delle persone e, in tal caso, di ottenere indicazioni sulle modalità di tale richiesta.
  • un ruolo di monitoraggio del rispetto degli obblighi dei titolari del trattamento: Il Garante può vigilare sul rispetto di tutti questi obblighi (registrazione, verifica del livello di rischio, rispetto delle scadenze e del contenuto delle notifiche, ecc.) e, se necessario, sanzionare le organizzazioni interessate. Può inoltre ordinare al titolare del trattamento di comunicare una violazione dei dati agli interessati, qualora lo ritenga necessario.

In entrambi i casi, è probabile che l’esame del Garante riguardi, al di là della sola violazione in questione, il livello di sicurezza generale del trattamento che la violazione può rivelare.

Anonimizzazione dei dati: come rendere impossibile identificare una persona da un set di dati

L’anonimizzazione rende impossibile identificare una persona da un set di dati e quindi consente di rispettare la sua privacy. Il punto sulle tecniche che possono essere utilizzate e sulle loro sfide.

Cos’è l’anonimizzazione

L’anonimizzazione è un trattamento che consiste nell’utilizzare un insieme di tecniche, in modo tale da rendere impossibile l’identificazione della persona,  con qualsiasi mezzo e in modo irreversibile.

L’anonimizzazione non deve essere confusa con la pseudonimizzazione.

La pseudonimizzazione è il trattamento dei dati personali, che determina la trasformazione dei dati relativi a una persona fisica, in modo che non possano più essere assegnati senza ulteriori informazioni.

In pratica, la pseudonimizzazione consiste nel sostituire i dati direttamente identificativi (cognome, nome, ecc.) di un data set, con dati indirettamente identificativi (alias, numero progressivo, ecc.).

La pseudonimizzazione consente quindi di elaborare i dati delle persone senza poterle identificare direttamente. In pratica però, spesso è possibile risalire alla propria identità utilizzando dati di terze parti: i dati in questione conservano quindi un carattere personale. Anche l’operazione di pseudonimizzazione è reversibile, a differenza dell’anonimizzazione.

La pseudonimizzazione è una delle misure raccomandate dal GDPR per limitare i rischi associati al trattamento dei dati personali.

Perché rendere anonimi i dati personali

Il Regolamento generale sulla protezione dei dati (GDPR) non prevede un obbligo generale di anonimizzazione. Questa è una soluzione, tra le altre, per poter utilizzare i dati personali nel rispetto dei diritti e delle libertà delle persone.

In effetti, l’anonimizzazione apre la possibilità di riutilizzare i dati inizialmente vietati a causa della natura personale e quindi consente ai Titolari del trattamento di utilizzare e condividere il loro “pool” di dati, senza violare la privacy delle persone. Consente inoltre di conservare i dati oltre il loro periodo di conservazione.

In tal caso non si applica più la normativa sulla protezione dei dati, poiché la diffusione o il riutilizzo di dati anonimizzati non ha alcun impatto sulla privacy degli interessati.

Come rendere anonimi dei dati, preservandone il più possibile l’utilità

Poiché il processo di anonimizzazione mira ad eliminare ogni possibilità di reidentificazione, lo sfruttamento futuro dei dati è quindi limitato a determinate tipologie di utilizzo. Questi vincoli devono essere presi in considerazione dall’inizio del progetto.

Per costruire un processo di anonimizzazione pertinente, si raccomanda quindi:

  1. identificare le informazioni da conservare in base alla loro rilevanza;
  2. rimuovere elementi di identificazione diretta nonché valori rari che potrebbero consentire una facile reidentificazione delle persone (ad esempio, la presenza dell’età delle persone può rendere molto facile l’identificazione di persone centenarie);
  3. distinguere le informazioni importanti da quelle secondarie o inutili (cioè cancellabili);

Questi prerequisiti consentono di determinare il processo di anonimizzazione da applicare, ovvero la sequenza delle tecniche di anonimizzazione da implementare. Questi possono essere raggruppati in due famiglie: randomizzazione e generalizzazione.

  • La randomizzazione è il processo di modifica degli attributi in un set di dati, in modo tale che siano meno precisi, pur mantenendo la distribuzione complessiva. Questa tecnica protegge il set di dati dal rischio di inferenza (vedi sotto).

Esempio: è possibile permutare i dati relativi alla data di nascita delle persone fisiche in modo da alterare la veridicità delle informazioni contenute in una banca dati.

  • La generalizzazione consiste nel modificare la scala degli attributi dei set di dati o il loro ordine di grandezza, per garantire che siano comuni a un insieme di persone. Questa tecnica consente di evitare l’individualizzazione di un set di dati. Limita anche le possibili correlazioni del set di dati con altri (vedi sotto).

Esempio: in un fascicolo contenente la data di nascita delle persone, è possibile sostituire questa informazione con il solo anno di nascita.

Come verificare l’efficacia dell’anonimizzazione?

Le autorità europee per la protezione dei dati definiscono tre criteri per garantire che un set di dati sia veramente anonimo:

  1. individualizzazione: non deve essere possibile isolare un individuo nel dataset;

Esempio: un database di CV in cui solo il nome e il cognome di una persona sono stati sostituiti da un numero (che corrisponde solo a loro) consente di individuare questa persona. In questo caso, questo database è considerato pseudonimizzato e non anonimo.

  1. correlazione: non deve essere possibile collegare tra loro serie separate di dati riguardanti lo stesso individuo;

Esempio: una banca dati cartografica contenente gli indirizzi delle abitazioni delle persone, non può essere considerata anonima se altre banche dati, esistenti altrove, contengono questi stessi indirizzi con altri dati che consentono l’identificazione delle persone.

  1. inferenza: non deve essere possibile dedurre, con quasi certezza, nuove informazioni su un individuo.

Esempio: se un presunto set di dati anonimo contiene informazioni sull’importo delle tasse delle persone che hanno risposto a un questionario, dove tutti gli uomini di età compresa tra i 20 e i 25 anni che hanno risposto non sono tassabili, sarà possibile detrarre, se sappiamo che il sig. X, un uomo di 24 anni, ha risposto al questionario, che quest’ultimo non è tassabile.

Come proteggersi dai rischi associati all’anonimizzazione

Non soddisfacendo pienamente questi tre criteri, il titolare del trattamento che desidera rendere anonimo un set di dati deve dimostrare, attraverso una valutazione approfondita dei rischi di identificazione, che il rischio di reidentificazione con mezzi ragionevoli è nullo.

Poiché le tecniche di anonimizzazione e reidentificazione sono suscettibili di una continua evoluzione, è essenziale che qualsiasi titolare del trattamento interessato svolga un monitoraggio regolare al fine di preservare, nel tempo, l’anonimato dei dati prodotti. Tale monitoraggio deve tener conto dei mezzi tecnici disponibili nonché delle altre fonti di dati che possono consentire di revocare l’anonimato delle informazioni.