La gestione della privacy in azienda: tra semplificazioni e criticità Confindustria Vicenza, 10...
96
La gestione della privacy in azienda: tra semplificazioni e criticità Confindustria Vicenza, 10 Ottobre 2013 Dr. Riccardo Larese Gortigo Le slides sono scaricabili anche dal sito di Confindustria Vicenza, Area Tematica “Diritto d’Impresa”
La gestione della privacy in azienda: tra semplificazioni e criticità Confindustria Vicenza, 10 Ottobre 2013 Dr. Riccardo Larese Gortigo Le slides sono
La gestione della privacy in azienda: tra semplificazioni e
criticit Confindustria Vicenza, 10 Ottobre 2013 Dr. Riccardo Larese
Gortigo Le slides sono scaricabili anche dal sito di Confindustria
Vicenza, Area Tematica Diritto dImpresa
Slide 2
La disciplina dei sistemi di videosorveglianza
Slide 3
Fonte normativa specifica Provvedimento Generale del Garante
della Privacy sullutilizzo dei sistemi di videosorveglianza dell8
aprile 2010 L 300/70 (Statuto del Lavoro) in ambito aziendale
Slide 4
Principi generali La raccolta, la registrazione, la
conservazione e, in generale, l'utilizzo di immagini configura un
trattamento di dati personali (art. 4, comma 1, lett. b), del
Codice). considerato dato personale, infatti, qualunque
informazione relativa a persona fisica identificata o
identificabile, anche indirettamente, mediante riferimento a
qualsiasi altra informazione. Finalit: Protezione e incolumit
individui Protezione della propriet Rilevazione infrazioni
(soggetti pubblici) Acquisizione di prove
Slide 5
Principi generali La necessit di garantire, in particolare, un
livello elevato di tutela dei diritti e delle libert fondamentali
rispetto al trattamento dei dati personali consente la possibilit
di utilizzare sistemi di videosorveglianza, purch ci non determini
un'ingerenza ingiustificata nei diritti e nelle libert fondamentali
degli interessati. Naturalmente l'installazione di sistemi di
rilevazione delle immagini deve avvenire nel rispetto, oltre che
della disciplina in materia di protezione dei dati personali, anche
delle altre disposizioni dell'ordinamento applicabili, quali ad es.
le vigenti norme dell'ordinamento civile e penale in materia di
interferenze illecite nella vita privata, sul controllo a distanza
dei lavoratori, in materia di sicurezza presso stadi e impianti
sportivi, o con riferimento a musei, biblioteche statali e archivi
di Stato, in relazione ad impianti di ripresa sulle navi da
passeggeri adibite a viaggi nazionali e, ancora, nell'ambito dei
porti, delle stazioni ferroviarie, delle stazioni delle ferrovie
metropolitane e nell'ambito delle linee di trasporto urbano.
Slide 6
Principi generali E necessario che: il trattamento dei dati
attraverso sistemi di videosorveglianza sia fondato su uno dei
presupposti di liceit che il Codice prevede espressamente per i
soggetti pubblici da un lato (svolgimento di funzioni
istituzionali: artt. 18-22 del Codice) e, dall'altro, per soggetti
privati ed enti pubblici economici (es. adempimento ad un obbligo
di legge, provvedimento del Garante di c.d. "bilanciamento di
interessi" o consenso libero ed espresso: artt. 23-27 del Codice).
ciascun sistema informativo ed il relativo programma informatico
vengano conformati gi in origine in modo da non utilizzare dati
relativi a persone identificabili quando le finalit del trattamento
possono essere realizzate impiegando solo dati anonimi (principio
di necessit) l'attivit di videosorveglianza venga effettuata nel
rispetto del c.d. principio di proporzionalit nella scelta delle
modalit di ripresa e dislocazione
Slide 7
Principi generali - Il bilanciamento di interessi Il
provvedimento d attuazione allistituto del bilanciamento di
interessi, individuando i casi in cui la rilevazione delle immagini
pu avvenire senza consenso, qualora, con le modalit stabilite nel
provvedimento, sia effettuata nell'intento di perseguire un
legittimo interesse del titolare o di un terzo attraverso la
raccolta di mezzi di prova o perseguendo fini di tutela di persone
e beni rispetto a possibili aggressioni, furti, rapine,
danneggiamenti, atti di vandalismo, o finalit di prevenzione di
incendi o di sicurezza del lavoro.
Slide 8
Principi generali - Il bilanciamento di interessi
Videosorveglianza con o senza registrazione delle immagini:i
trattamenti sono ammessi in presenza di concrete situazioni che
giustificano l'installazione, a protezione delle persone, della
propriet o del patrimonio aziendale. Nell'uso delle apparecchiature
volte a riprendere, con o senza registrazione delle immagini, aree
esterne ad edifici e immobili perimetrali, adibite a parcheggi o a
carico/scarico merci, accessi, uscite di emergenza), resta fermo
che il trattamento debba essere effettuato con modalit tali da
limitare l'angolo visuale all'area effettivamente da proteggere,
evitando, per quanto possibile, la ripresa di luoghi circostanti e
di particolari che non risultino rilevanti (vie, edifici, esercizi
commerciali, istituzioni ecc.).
Slide 9
Videosorveglianza Adempimenti
Slide 10
Adempimenti - Informativa Gli interessati devono essere sempre
informati che stanno per accedere in una zona videosorvegliata A
tal fine, il Garante ritiene che si possa utilizzare lo stesso
modello semplificato di informativa "minima", indicante il titolare
del trattamento e la finalit perseguita, gi individuato ai sensi
dell'art. 13, comma 3, del Codice nel provvedimento del 2004 e
riportato in fac-simile nell'allegato n. 1 al presente
provvedimento.
Slide 11
Adempimenti - Informativa In presenza di pi telecamere, in
relazione alla vastit dell'area oggetto di rilevamento e alle
modalit delle riprese, potranno essere installati pi cartelli. Il
supporto con l'informativa: deve essere collocato prima del raggio
di azione della telecamera, anche nelle sue immediate vicinanze e
non necessariamente a contatto con gli impianti; deve avere un
formato ed un posizionamento tale da essere chiaramente visibile in
ogni condizione di illuminazione ambientale, anche quando il
sistema di videosorveglianza sia eventualmente attivo in orario
notturno; pu inglobare un simbolo o una stilizzazione di esplicita
e immediata comprensione, eventualmente diversificati al fine di
informare se le immagini sono solo visionate o anche
registrate.
Slide 12
Adempimenti - Informativa Il Garante ritiene auspicabile che
l'informativa, resa in forma semplificata avvalendosi del predetto
modello, poi rinvii a un testo completo contenente tutti gli
elementi di cui all'art. 13, comma 1, del Codice, disponibile
agevolmente senza oneri per gli interessati, con modalit facilmente
accessibili anche con strumenti informatici e telematici (in
particolare, tramite reti Intranet o siti Internet, affissioni in
bacheche o locali, avvisi e cartelli agli sportelli per gli utenti,
messaggi preregistrati disponibili digitando un numero telefonico
gratuito). In ogni caso il titolare, anche per il tramite di un
incaricato, ove richiesto tenuto a fornire anche oralmente
un'informativa adeguata, contenente gli elementi individuati
dall'art. 13 del Codice.
Slide 13
Videosorveglianza Prescrizioni specifiche La verifica
preliminare
Slide 14
Verifica preliminare Immagini biometriche I trattamenti di dati
personali nell'ambito di una attivit di videosorveglianza devono
essere effettuati rispettando le misure e gli accorgimenti
prescritti da questa Autorit come esito di una verifica preliminare
attivata d'ufficio o a seguito di un interpello del titolare (art.
17 del Codice), quando vi sono rischi specifici per i diritti e le
libert fondamentali, nonch per la dignit degli interessati, in
relazione alla natura dei dati o alle modalit di trattamento o agli
effetti che pu determinare. In tali ipotesi devono ritenersi
ricompresi i sistemi di raccolta delle immagini associate a dati
biometrici. L'uso generalizzato e incontrollato di tale tipologia
di dati pu comportare, in considerazione della loro particolare
natura, il concreto rischio del verificarsi di un pregiudizio
rilevante per l'interessato, per cui si rende necessario prevenire
eventuali utilizzi impropri, nonch possibili abusi.
Slide 15
Verifica preliminare Sistemi intelligenti Un analogo obbligo
sussiste con riferimento a sistemi c.d. intelligenti, che non si
limitano a riprendere e registrare le immagini, ma sono in grado di
rilevare automaticamente comportamenti o eventi anomali,
segnalarli, ed eventualmente registrarli. In linea di massima tali
sistemi devono considerarsi eccedenti rispetto alla normale attivit
di videosorveglianza, in quanto possono determinare effetti
particolarmente invasivi sulla sfera di autodeterminazione
dell'interessato e, conseguentemente, sul suo comportamento. Il
relativo utilizzo risulta comunque giustificato solo in casi
particolari, tenendo conto delle finalit e del contesto in cui essi
sono trattati, da verificare caso per caso sul piano della
conformit ai principi di necessit, proporzionalit, finalit e
correttezza (artt. 3 e 11 del Codice). UTILIZZO DI SISTEMI DI
MOTION DETECTION ???
Slide 16
Verifica preliminare Non conformit e conservazione oltre i
sette giorni Deve essere sottoposto a verifica preliminare
l'utilizzo di sistemi integrati di videosorveglianza nei casi in
cui le relative modalit di trattamento non corrispondano a quelle
individuate nei punti 4.6 e 5.4 del presente provvedimento.
Ulteriori casi in cui si rende necessario richiedere una verifica
preliminare riguardano l'allungamento dei tempi di conservazione
dei dati delle immagini registrate oltre il previsto termine
massimo di sette giorni derivante da speciali esigenze di ulteriore
conservazione, a meno che non derivi da una specifica richiesta
dell'autorit giudiziaria o di polizia giudiziaria in relazione a
un'attivit investigativa in corso (v. punto 3.4).
Notificazione (eventuale) Al di fuori di trattamenti per
esclusive finalit di sicurezza o di tutela delle persone o del
patrimonio ancorch relativi a comportamenti illeciti o fraudolenti,
quando immagini o suoni raccolti siano conservati temporaneamente,
il trattamento, che venga effettuato tramite sistemi di
videosorveglianza e che sia riconducibile a quanto disposto
dall'art. 37 del Codice, deve essere preventivamente notificato. La
mancata o incompleta notificazione ai sensi degli artt. 37 e 38 del
Codice punita con la sanzione amministrativa prevista dall'art. 163
(sanzione amministrativa del pagamento di una somma da ventimila
euro a centoventimila euro)
Slide 19
Videosorveglianza Misure di sicurezza
Slide 20
I dati raccolti mediante sistemi di videosorveglianza devono
essere protetti con idonee e preventive misure di sicurezza,
riducendo al minimo i rischi di distruzione, di perdita, anche
accidentale, di accesso non autorizzato, di trattamento non
consentito o non conforme alle finalit della raccolta, anche in
relazione alla trasmissione delle immagini (artt. 31 e ss. del
Codice). Devono quindi essere adottate specifiche misure tecniche
ed organizzative che consentano al titolare di verificare l'attivit
espletata da parte di chi accede alle immagini o controlla i
sistemi di ripresa (se soggetto distinto dal titolare medesimo, nel
caso in cui questo sia persona fisica).
Slide 21
Misure di sicurezza Credenziali a)in presenza di differenti
competenze specificatamente attribuite ai singoli operatori devono
essere configurati diversi livelli di visibilit e trattamento delle
immagini (v. punto 3.3.2). Laddove tecnicamente possibile, in base
alle caratteristiche dei sistemi utilizzati, i predetti soggetti,
designati incaricati o, eventualmente, responsabili del
trattamento, devono essere in possesso di credenziali di
autenticazione che permettano di effettuare, a seconda dei compiti
attribuiti ad ognuno, unicamente le operazioni di propria
competenza;
Slide 22
Misure di sicurezza Accesso alle registrazioni b)laddove i
sistemi siano configurati per la registrazione e successiva
conservazione delle immagini rilevate, deve essere altres
attentamente limitata la possibilit, per i soggetti abilitati, di
visionare non solo in sincronia con la ripresa, ma anche in tempo
differito, le immagini registrate e di effettuare sulle medesime
operazioni di cancellazione o duplicazione; UTILIZZO DI SISTEMI DI
PROFILI DI AUROTIZZAZIONE
Slide 23
Misure di sicurezza Cancellazione registrazioni c)per quanto
riguarda il periodo di conservazione delle immagini devono essere
predisposte misure tecniche od organizzative per la cancellazione,
anche in forma automatica, delle registrazioni, allo scadere del
termine previsto (v. punto 3.4);
Slide 24
Misure di sicurezza Manutenzione del sistema d)nel caso di
interventi derivanti da esigenze di manutenzione, occorre adottare
specifiche cautele; in particolare, i soggetti preposti alle
predette operazioni possono accedere alle immagini solo se ci si
renda indispensabile al fine di effettuare eventuali verifiche
tecniche ed in presenza dei soggetti dotati di credenziali di
autenticazione abilitanti alla visione delle immagini; ATTENZIONE:
PRESENZA DI PERSONALE INTERNO PER LE ATTIVITA DI MANUTENZIONE!
Slide 25
Misure di sicurezza Protezione perimetrale (firewall) e)qualora
si utilizzino apparati di ripresa digitali connessi a reti
informatiche, gli apparati medesimi devono essere protetti contro i
rischi di accesso abusivo di cui all'art. 615-ter del codice
penale;
Slide 26
Misure di sicurezza - Criptazione f) la trasmissione tramite
una rete pubblica di comunicazioni di immagini riprese da apparati
di videosorveglianza deve essere effettuata previa applicazione di
tecniche crittografiche che ne garantiscano la riservatezza; le
stesse cautele sono richieste per la trasmissione di immagini da
punti di ripresa dotati di connessioni wireless (tecnologie wi-fi,
wi-max, Gprs). ATTENZIONE: COLLEGAMENTO A CENTRI DI CONTROLLO
ESTERNI!
Slide 27
Misure di sicurezza - Sanzioni Il mancato rispetto di quanto
previsto nelle lettere da a) ad f) del punto 3.3.1 comporta
l'applicazione della sanzione amministrativa stabilita dall'art.
162, comma 2-ter, del Codice. (pagamento di una somma da trentamila
euro a centottantamila euro) L'omessa adozione delle misure minime
di sicurezza comporta l'applicazione della sanzione amministrativa
stabilita dall'art. 162, comma 2-bis (somma da diecimila euro a
centoventimila euro), ed integra la fattispecie di reato prevista
dall'art. 169 del Codice (arresto fino a due anni)
Slide 28
Videosorveglianza Registrazione e conservazione Delle
immagini
Slide 29
Registrazione e conservazione delle immagini Nei casi in cui
sia stato scelto un sistema che preveda la conservazione delle
immagini, in applicazione del principio di proporzionalit (v. art.
11, comma 1, lett. e),del Codice), anche l'eventuale conservazione
temporanea dei dati deve essere commisurata al tempo necessario - e
predeterminato - a raggiungere la finalit perseguita.
Slide 30
Registrazione e conservazione delle immagini La conservazione
deve essere limitata a poche ore o, al massimo, alle ventiquattro
ore successive alla rilevazione, fatte salve speciali esigenze di
ulteriore conservazione in relazione a festivit o chiusura di
uffici o esercizi, nonch nel caso in cui si deve aderire ad una
specifica richiesta investigativa dell'autorit giudiziaria o di
polizia giudiziaria. Solo in alcuni casi, per peculiari esigenze
tecniche (mezzi di trasporto) o per la particolare rischiosit
dell'attivit svolta dal titolare del trattamento (ad esempio, per
alcuni luoghi come le banche pu risultare giustificata l'esigenza
di identificare gli autori di un sopralluogo nei giorni precedenti
una rapina), pu ritenersi ammesso un tempo pi ampio di
conservazione dei dati che, sulla scorta anche del tempo massimo
legislativamente posto per altri trattamenti, si ritiene non debba
comunque superare la settimana.
Slide 31
Registrazione e conservazione delle immagini In tutti i casi in
cui si voglia procedere a un allungamento dei tempi di
conservazione per un periodo superiore alla settimana, una
richiesta in tal senso deve essere sottoposta ad una verifica
preliminare del Garante (v. punto 3.2.1), e comunque essere
ipotizzato dal titolare come eccezionale nel rispetto del principio
di proporzionalit. La congruit di un termine di tempo pi ampio di
conservazione va adeguatamente motivata con riferimento ad una
specifica esigenza di sicurezza perseguita, in relazione a concrete
situazioni di rischio riguardanti eventi realmente incombenti e per
il periodo di tempo in cui venga confermata tale eccezionale
necessit. La relativa congruit pu altres dipendere dalla necessit
di aderire ad una specifica richiesta di custodire o consegnare una
copia specificamente richiesta dall'autorit giudiziaria o dalla
polizia giudiziaria in relazione ad un'attivit investigativa in
corso.
Slide 32
Registrazione e conservazione delle immagini Fino a 24 ore (con
prolungamenti per le chiusure od altri casi particolari) Rispetto
del principio di proporzionalit Fino a una settimana Casi di
particolare rischiosit (ad es. banche) Oltre la settimanaObbligo di
verifica preliminare motivata
Slide 33
Registrazione e conservazione delle immagini Il sistema
impiegato deve essere programmato in modo da operare al momento
prefissato l'integrale cancellazione automatica delle informazioni
allo scadere del termine previsto da ogni supporto, anche mediante
sovraregistrazione, con modalit tali da rendere non riutilizzabili
i dati cancellati. In presenza di impianti basati su tecnologia non
digitale o comunque non dotati di capacit di elaborazione tali da
consentire la realizzazione di meccanismi automatici di expiring
dei dati registrati, la cancellazione delle immagini dovr comunque
essere effettuata nel pi breve tempo possibile per l'esecuzione
materiale delle operazioni dalla fine del periodo di conservazione
fissato dal titolare.
Slide 34
Conservazione - Sanzioni Il mancato rispetto dei tempi di
conservazione delle immagini raccolte e del correlato obbligo di
cancellazione di dette immagini oltre il termine previsto comporta
lapplicazione della sanzione amministrativa stabilita dall'art.
162, comma 2-ter, del Codice (somma da trentamila euro a
centottantamila euro). ATTENZIONE: ESTREMA CAUTELA PER LA
CONSERVAZIONE OLTRE LE 24 ORE E FINO A UNA SETTIMANA
Slide 35
Videosorveglianza Diritti degli interessati
Slide 36
I diritti degli interessati Deve essere assicurato agli
interessati identificabili l'effettivo esercizio dei propri diritti
in conformit al Codice, in particolare quello di accedere ai dati
che li riguardano, di verificare le finalit, le modalit e la logica
del trattamento (art. 7 del Codice). La risposta ad una richiesta
di accesso a dati conservati deve riguardare tutti quelli attinenti
al richiedente identificabile e pu comprendere eventuali dati
riferiti a terzi solo nei limiti previsti dal Codice, ovvero nei
soli casi in cui la scomposizione dei dati trattati o la privazione
di alcuni elementi renda incomprensibili i dati personali relativi
all'interessato (art. 10, comma 5, del Codice).
Slide 37
Videosorveglianza Rapporti di lavoro
Slide 38
Videosorveglianza e rapporti di lavoro Nelle attivit di
sorveglianza occorre rispettare il divieto di controllo a distanza
dell'attivit lavorativa, pertanto vietata l'installazione di
apparecchiature specificatamente preordinate alla predetta finalit.
Non devono quindi essere effettuate riprese al fine di verificare
l'osservanza dei doveri di diligenza stabiliti per il rispetto
dell'orario di lavoro e la correttezza nell'esecuzione della
prestazione lavorativa (ad es. orientando la telecamera sul
badge)
Slide 39
Videosorveglianza e rapporti di lavoro Vanno poi osservate le
garanzie previste in materia di lavoro quando la videosorveglianza
resa necessaria da esigenze organizzative o produttive, ovvero
richiesta per la sicurezza del lavoro: in tali casi, ai sensi
dell'art. 4 della l. n. 300/1970, gli impianti e le
apparecchiature, "dai quali pu derivare anche la possibilit di
controllo a distanza dell'attivit dei lavoratori, possono essere
installati soltanto previo accordo con le rappresentanze sindacali
aziendali, oppure, in mancanza di queste, con la commissione
interna. In difetto di accordo, su istanza del datore di lavoro,
provvede l'Ispettorato del lavoro, dettando, ove occorra, le
modalit per l'uso di tali impianti" (v., altres, artt. 113 e 114
del Codice; art. 8 l. n. 300/1970 cit.; art. 2 d.lg. n.
165/2001).
Slide 40
Videosorveglianza e rapporti di lavoro Tali garanzie vanno
osservate sia all'interno degli edifici, sia in altri contesti in
cui resa la prestazione di lavoro, come, ad esempio, nei cantieri
edili o con riferimento alle telecamere installate su veicoli
adibiti al servizio di linea per il trasporto di persone (artt. 82,
85-87, d.lg. 30 aprile 1992, n. 285, "Nuovo codice della strada") o
su veicoli addetti al servizio di noleggio con conducente e
servizio di piazza (taxi) per trasporto di persone (le quali non
devono riprendere in modo stabile la postazione di guida, e le cui
immagini, raccolte per finalit di sicurezza e di eventuale
accertamento di illeciti, non possono essere utilizzate per
controlli, anche indiretti, sull'attivit lavorativa degli
addetti).
Slide 41
Videosorveglianza e rapporti di lavoro Il mancato rispetto di
quanto sopra prescritto comporta l'applicazione della sanzione
amministrativa stabilita dall'art. 162, comma 2-ter, del Codice
(somma da trentamila euro a centottantamila euro). L'utilizzo di
sistemi di videosorveglianza preordinati al controllo a distanza
dei lavoratori o ad effettuare indagini sulle loro opinioni integra
la fattispecie di reato prevista dall'art. 171 del Codice (art. 38
legge 300).
Slide 42
Videosorveglianza Sistemi integrati di videosorveglianza
Slide 43
a)gestione coordinata di funzioni e servizi tramite
condivisione, integrale o parziale, delle immagini riprese da parte
di diversi e autonomi titolari del trattamento, i quali utilizzano
le medesime infrastrutture tecnologiche; in tale ipotesi, i singoli
titolari possono trattare le immagini solo nei termini strettamente
funzionali al perseguimento dei propri compiti istituzionali ed
alle finalit chiaramente indicate nell'informativa, nel caso dei
soggetti pubblici, ovvero alle sole finalit riportate
nell'informativa, nel caso dei soggetti privati
Slide 44
Sistemi integrati di videosorveglianza b)collegamento
telematico di diversi titolari del trattamento ad un "centro" unico
gestito da un soggetto terzo; tale soggetto terzo, designato
responsabile del trattamento ai sensi dell'art. 29 del Codice da
parte di ogni singolo titolare, deve assumere un ruolo di
coordinamento e gestione dell'attivit di videosorveglianza senza
consentire, tuttavia, forme di correlazione delle immagini raccolte
per conto di ciascun titolare;
Slide 45
Sistemi integrati di sorveglianza In recenti provvedimenti il
Garante ha ricordato che le imprese che svolgono servizi di
sorveglianza (e videosorveglianza) devono disporre
dellAutorizzazione del Prefetto (registrazione nellalbo delle
aziende abilitate) E quindi necessario: Richiedere copia di tale
autorizzazione O, quanto meno, richiedere, allinterno della nomina
a Responsabile del Trattamento, lattestazione della iscrizione
Slide 46
Sistemi integrati di videosorveglianza (organi di polizia)
c)sia nelle predette ipotesi, sia nei casi in cui l'attivit di
videosorveglianza venga effettuata da un solo titolare, si pu anche
attivare un collegamento dei sistemi di videosorveglianza con le
sale o le centrali operative degli organi di polizia. L'attivazione
del predetto collegamento deve essere reso noto agli interessati. A
tal fine, il Garante ritiene che si possa utilizzare il modello
semplificato di informativa "minima - indicante il titolare del
trattamento, la finalit perseguita ed il collegamento con le forze
di polizia individuato ai sensi dell'art. 13, comma 3, del Codice e
riportato in fac-simile nell'allegato n. 2 al provvedimento. Tale
collegamento deve essere altres reso noto nell'ambito del testo
completo di informativa reso eventualmente disponibile agli
interessati
Slide 47
Sistemi integrati di videosorveglianza
Slide 48
Sistemi integrati Ulteriori misure di sicurezza 1)adozione di
sistemi idonei alla registrazione degli accessi logici degli
incaricati e delle operazioni compiute sulle immagini registrate,
compresi i relativi riferimenti temporali, con conservazione per un
periodo di tempo congruo all'esercizio dei doveri di verifica
periodica dell'operato dei responsabili da parte del titolare,
comunque non inferiore a sei mesi; 2)separazione logica delle
immagini registrate dai diversi titolari. ATTENZIONE: LOG ACCESSI E
OPERAZIONI!!!
Slide 49
Sistemi integrati Sanzioni Il mancato rispetto delle misure
previste ai punti 1) e 2) comporta l'applicazione della sanzione
amministrativa stabilita dall'art. 162, comma 2-ter, del Codice
(somma da trentamila euro a centottantamila euro) Fuori dalle
predette ipotesi, in tutti i casi in cui i trattamenti effettuati
tramite sistemi integrati di videosorveglianza hanno natura e
caratteristiche tali per cui le misure e gli accorgimenti sopra
individuati non siano integralmente applicabili, in relazione alla
natura dei dati o alle modalit del trattamento o agli effetti che
possono determinare, il titolare del trattamento tenuto a
richiedere una verifica preliminare al Garante.
Slide 50
I sistemi di geolocalizzazione
Slide 51
Fonti normative Provvedimento Generale del Garante Sistemi di
localizzazione dei veicoli nell'ambito del rapporto di lavoro - 4
ottobre 2011 L 300/70 (Statuto del Lavoro)
Slide 52
Definizione Con frequenza crescente sistemi di localizzazione e
di comunicazione (anche in tempo reale) della posizione rilevata
sono installati a bordo dei veicoli impiegati da datori di lavoro
pubblici e privati per soddisfare esigenze organizzative e
produttive ovvero per la sicurezza sul lavoro nell'ambito della
fornitura di servizi di trasporto di persone o cose nonch per dare
esecuzione ad ulteriori prestazioni, con riflessi sulla possibilit
di localizzare la posizione dei lavoratori assegnatari dei veicoli
medesimi.
Slide 53
Definizione I dati relativi all'ubicazione dei veicoli, in
quanto (direttamente o indirettamente) associati ai lavoratori,
costituiscono per anche informazioni personali riferibili a questi
ultimi (art. 4, comma 1, lett. b), del Codice) con la conseguenza
che al trattamento di tali informazioni trova applicazione la
disciplina contenuta nel Codice. Ci, anche nel caso in cui i dati
di localizzazione del veicolo non siano associati immediatamente
dal sistema informativo al nominativo dei lavoratori interessati,
atteso che il datore di lavoro, titolare del trattamento, di regola
in condizione di risalire in ogni momento al lavoratore di volta in
volta assegnatario di ciascun veicolo
Slide 54
Il parere del Gruppo di lavoro articolo 29 "il datore di lavoro
deve [] evitare il monitoraggio costante [ e che i] dispositivi di
tracciamento dei veicoli non sono dispositivi di tracciamento del
personale, bens la loro funzione consiste nel rintracciare o
monitorare l'ubicazione dei veicoli sui quali sono installati. I
datori di lavoro non dovrebbero considerarli come strumenti per
seguire o monitorare il comportamento o gli spostamenti di autisti
o di altro personale, ad esempio inviando segnali d'allarme in
relazione alla velocit del veicolo".
Slide 55
Finalit lecite per soddisfare esigenze logistiche (consentendo
di impartire tempestive istruzioni al conducente del veicolo
oggetto di localizzazione); ad es. individuare il soggetto pi
prossimo per fornire servizi di assistenza urgente; Adempiere ad
obblighi contrattuali verso terzi elaborare rapporti di guida allo
scopo di commisurare il tempo di lavoro del conducente per
commisurare i costi da imputare alla clientela per assicurare una
pi efficiente gestione e manutenzione del parco veicoli, con
effetti vantaggiosi anche sulla sicurezza sul lavoro e per la
sicurezza della collettivit
Slide 56
Geolocalizzazione e diritto del lavoro In tali ipotesi,
considerato che la localizzazione dei veicoli pu comportare una
forma di controllo a distanza dell'attivit dei lavoratori, oltre
alla disciplina di protezione dei dati personali, deve altres
essere rispettata la disciplina dettata dall'art. 4 della legge 20
maggio 1970, n. 300 (Norme sulla tutela della libert e dignit dei
lavoratori, della libert sindacale e nell'attivit sindacale nei
luoghi di lavoro e norme sul collocamento) peraltro richiamata
dagli artt. 11, comma 1, lett. a) e (espressamente) 114 nonch, per
i profili sanzionatori, 171 del Codice
Slide 57
Esclusione del consenso Se sono adottate le garanzie previste
dall'art. 4, comma 2, l. n. 300/1970, i datori di lavoro privati e
gli enti pubblici economici possono effettuare lecitamente il
trattamento dei dati personali (diversi da quelli sensibili)
relativi all'ubicazione dei propri dipendenti per soddisfare
esigenze organizzative e produttive ovvero per la sicurezza sul
lavoro (oltre che sulla base di uno degli altri presupposti di cui
all'art. 24 del Codice), anche in assenza del consenso degli
interessati, per effetto del presente provvedimento che, in
applicazione della disciplina sul c.d. bilanciamento di interessi
(art. 24, comma 1, lett. g), del Codice), individua un legittimo
interesse al trattamento di tale tipologia di dati.
Slide 58
Non richiedere quindi mai il consenso? Il principio del
bilanciamento di interessi viene applicato in quanto si suppone che
i soggetti interessati siano in numero elevato e possano essere
diversi (autisti), e quindi diventa molto complesso raccogliere il
consenso Se non ci sono queste condizioni (autovetture in uso
esclusivo) la raccolta del consenso comunque opportuna Anche avendo
raccolto in consenso laccordo sindacale (o lautorizzazione del DTL)
comunque necessario
Slide 59
Dati che possono essere trattati Principio di proporzionalit
Localizzazione dei veicolo la distanza percorsa, i tempi di
percorrenza, il carburante consumato, nonch la velocit media del
veicolo Nel rispetto del principio di necessit (artt. 3 e 11, comma
1, lett. d), del Codice), la posizione del veicolo di regola non
dovrebbe essere monitorata continuativamente dal titolare del
trattamento, ma solo quando ci si renda necessario per il
conseguimento delle finalit legittimamente perseguite.
Slide 60
Principio di necessit Con riguardo all'identificazione dei dati
personali che possono essere trattati e alla determinazione degli
eventuali tempi di loro conservazione, trova generale applicazione
l'art. 3 del Codice secondo cui "i sistemi informativi e i
programmi informatici sono configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo
da escluderne il trattamento quando le finalit perseguite nei
singoli casi possono essere realizzate mediante, rispettivamente,
dati anonimi od opportune modalit che permettano di identificare
l'interessato solo in caso di necessit".
Slide 61
Principio di non eccedenza Anche in base al principio di
pertinenza e non eccedenza (art. 11, comma 1. lett. e), del Codice)
i tempi di conservazione delle diverse tipologie di dati personali
eventualmente trattati devono essere commisurati tenendo conto di
ciascuna delle finalit in concreto perseguite.
Slide 62
Tempi di conservazione (casi tipici) Tenuta libro unico del
lavoro 5 anni, relativamente alle sole informazioni necessarie
Altri casi se i dati di localizzazione sono utilizzati al solo
scopo di rendere una determinata prestazione contrattuale, gli
stessi devono essere cancellati o resi anonimi una volta che alla
stessa stata data esecuzione. Finalit di sicurezza: cancellati
immediatamente alla riconsegna (interpretazione)
Slide 63
Informativa Tenuto conto delle diverse finalit perseguite, ai
lavoratori dovranno essere forniti gli elementi informativi
prescritti dall'art. 13 del Codice unitamente a compiuti ragguagli
sulla natura dei dati trattati e sulle caratteristiche del sistema
s che risulti chiaramente che il veicolo soggetto a
localizzazione.
Slide 64
Informativa (2) A tal fine, considerato che il Garante, ai
sensi dell'art. 154, comma 1, lett. c), del Codice, pu altres
prescrivere al titolare del trattamento l'adozione di misure
opportune per assicurare che il trattamento sia effettuato nel
rispetto dei principi di protezione dei dati personali, i datori di
lavoro che si avvalgano di sistemi di localizzazione sui veicoli
utilizzati per l'esecuzione di prestazioni lavorative dovranno
anche collocare all'interno dei veicoli vetrofanie recanti la
dizione "VEICOLO SOTTOPOSTO A LOCALIZZAZIONE" o comunque avvisi ben
visibili che segnalino la circostanza della geolocalizzazione del
veicolo, anche avvalendosi del modello riportato in fac-simile
nell'allegato n. 1 al presente provvedimento.
Slide 65
La vetrofania
Slide 66
Gli incaricati Presso il titolare del trattamento, in conformit
all'art. 30 del Codice, i dati relativi alla localizzazione dei
veicoli devono essere trattati unicamente dagli incaricati che, in
ragione delle mansioni svolte, devono poter accedere a tali
informazioni per dare attuazione ai propri compiti (quali il
personale incaricato di gestire la logistica, i servizi di
magazzino e di manutenzione del parco veicoli, ovvero quello
operante nell'ambito della gestione delle risorse umane). Vi quindi
lobbligo di fornire le prescritte istruzioni scritte agli
incaricati individuati
Slide 67
I responsabili del trattamento Considerato che i trattamenti
dei dati di localizzazione sono di regola effettuati con l'ausilio
di operatori economici che forniscono i servizi di localizzazione
del veicolo e di trasmissione della posizione del medesimo e tenuto
conto che tali soggetti sono terzi rispetto al titolare del
trattamento, questi ultimi devono essere designati responsabili del
trattamento ai sensi dell'art. 29 del Codice e i titolari del
trattamento sono tenuti ad impartire le necessarie istruzioni in
ordine all'utilizzo legittimo dei dati raccolti per le sole finalit
previste dall'accordo che regola la fornitura del servizio di
localizzazione, determinando altres le tipologie di dati da
trattare nonch le modalit e i tempi della loro eventuale
conservazione.
Slide 68
La notifica e la verifica preliminare il trattamento dei dati
di localizzazione deve formare oggetto di notificazione al Garante
(cfr. art. 37, comma 1, lett. a), del Codice) trattamenti di dati
di localizzazione non considerati nel presente provvedimento e che
possono presentare rischi specifici per i diritti e le libert
fondamentali, nonch per la dignit di interessati diversi dai
lavoratori possano essere sottoposti a verifica preliminare ai
sensi dell'art. 17, comma 2 del Codice.
Slide 69
Sintesi delle prescrizioni quale misura necessaria, nel
rispetto del principio di necessit, che la posizione del veicolo
non sia di regola monitorata continuativamente dal titolare del
trattamento, ma solo quando ci si renda necessario per il
conseguimento delle finalit legittimamente perseguite quale misura
necessaria, in base al principio di pertinenza e non eccedenza, che
i tempi di conservazione delle diverse tipologie di dati personali
eventualmente trattati siano commisurati tenendo conto di ciascuna
delle finalit in concreto perseguite quale misura necessaria, la
designazione quali responsabili del trattamento ai sensi dell'art.
29 del Codice degli operatori economici che forniscono i servizi di
localizzazione del veicolo quale misura opportuna, un modello
semplificato di informativa, quale quello individuato nell'allegato
1, utilizzabile alle condizioni indicate in motivazione, al fine di
rendere noto agli interessati il trattamento effettuato mediante il
sistema di localizzazione del veicolo
Slide 70
La regolarizzazione del sito internet
Slide 71
Lidentificazione dellazienda Ai sensi dellart. 2250 del CC il
sito internet equivale a corrispondenza aziendale Pertanto deve
permettere lidentificazione dellazienda che avvieme mediante
presenza delle seguenti informazioni: la ragione sociale della
societ; la sede della societ; lufficio del registro delle imprese
presso il quale la societ iscritta; il numero di iscrizione al
registro delle imprese; il capitale versato delle societ per
azioni, delle societ in accomandita per azioni e delle societ a
responsabilit limitata secondo quanto risulta esistente dallultimo
bilancio; lo stato di liquidazione dopo lo scioglimento delle
societ; la presenza di un socio unico per le societ per azioni e
per le societ a responsabilit limitata.
Slide 72
Lidentificazione dellazienda Dove inserire le informazioni
aziendali? Soluzioni possibili e suggerite: In tutte le pagine del
sito Nella home page In una pagina Dati aziendali accessibile
mediante un link nella home page PS: il sito registrato a nome
dellazienda?
Slide 73
I form di raccolta delle informazioni I form pi frequentemente
presenti sono: Raccolta dati curriculari Richiesta di informazioni
(marketing) Richiesta di contatto (marketing) Richiesta di
iscrizione alla newsletter (marketing) Registrazione in aree
riservate del sito Ogni form implica una raccolta di dati
personali, quindi un trattamento, e pertanto deve contenere: Un
informativa completa ai sensi dellart. 13 Un consenso validamente
prestato ai sensi dellart. 23
Slide 74
Lobbligo di informativa ai sensi dellart. 13 del Codice 1.
L'interessato o la persona presso la quale sono raccolti i dati
personali sono previamente informati oralmente o per iscritto
circa: a) le finalit e le modalit del trattamento cui sono
destinati i dati; b) la natura obbligatoria o facoltativa del
conferimento dei dati; c) le conseguenze di un eventuale rifiuto di
rispondere; d) i soggetti o le categorie di soggetti ai quali i
dati personali possono essere comunicati o che possono venirne a
conoscenza in qualit di responsabili o incaricati, e l'ambito di
diffusione dei dati medesimi; e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del
rappresentante nel territorio dello Stato ai sensi dell'articolo 5
e del responsabile. Quando il titolare ha designato pi responsabili
indicato almeno uno di essi, indicando il sito della rete di
comunicazione o le modalit attraverso le quali conoscibile in modo
agevole l'elenco aggiornato dei responsabili. Quando stato
designato un responsabile per il riscontro all'interessato in caso
di esercizio dei diritti di cui all'articolo 7, indicato tale
responsabile.
Slide 75
Linformativa nei form Ogni form indirizzato ad una diversa
categoria di interessati, ed ha una diversa finalit Pertanto
linformativa deve contenere in particolare le informazioni sul/sui
trattamenti che si intende porre in essere a seguito della
compilazione In ogni caso le finalit secondarie (ad es. invio di
newsletter per chi richiede un altro servizio) devono essere
indicate analiticamente, indicandone la facoltativit Le eventuali
finalit di profilazione devono essere evidenziate separatamente
Linformativa deve essere integralmente accessibile prima della
compilazione del form, meglio se scaricabile Deve essere posta la
massima cura nel garantire la chiarezza del testo Sono da escludere
ipotesi di modalit di trattamento che non ragionevole supporre (ad
es. comunicazione a terzi)
Slide 76
Il consenso Per ognuna delle finalit indicate deve essere
presente uno specifico campo di espressione del consenso Il campo
abitualmente un campo di spunta ( ) da attivare da parte dellutente
Nessun consenso deve essere pre-impostato Il consenso relativo alla
finalit principale deve essere obbligatorio (se non viene fornito
non deve essere possibile la registrazione) Il consenso per le
finalit secondarie deve essere facoltativo, e non deve pregiudicare
la fornitura dei servizi principali richiesti ovviamente si potr
procedere solo ai trattamenti relativi alle finalit per cui stato
ricevuto il consenso!!!
Slide 77
La privacy policy del sito
Slide 78
Il significato ed i contenuti La privacy policy del sito
esprime i trattamenti che vengono svolti per il semplice fatto che
si naviga nel sito (anche se non si registra in alcuna sezione)
Comprende tutti i trattamenti che vengono effettuati a seguito
della navigazione (prevalentamente in forma anonima) Pu richiamare
(auspicabile) linformativa sullutilizzo dei cookies Di norma
consultabile mediante un link nella home page
Slide 79
Lutilizzo dei cookies
Slide 80
Il D. Lgs. 69 del 28 maggio 2012 Con il D. Lgs. 28 maggio 2012
n. 69 nella G.U.R.I. 31 maggio 2012 n. 126 vengono apportate
modifiche e integrazioni al D. Lgs. 30 giugno 2003, n. 196, recante
codice in materia di protezione dei dati personali, in attuazione
delle direttive 2009/136/CE, in materia di trattamento dei dati
personali e tutela della vita privata nel settore delle
comunicazioni elettroniche, e 2009/140/CE in materia di reti e
servizi di comunicazione elettronica e del regolamento (CE) n.
2006/2004 sulla cooperazione tra le autorita nazionali responsabili
dellesecuzione della normativa a tutela dei consumatori.
Slide 81
Le modifiche Le modifiche si applicano (tra laltro) alla nuova
pi rigorosa disciplina dellarchiviazione delle informazioni
nellapparecchio terminale di un contraente o di un utente o
laccesso a informazioni gia archiviate (cd. cookies, cio i processi
informatici che consentono autenticazioni automatiche,
registrazioni di sessioni web e memorizzazione di informazioni
specifiche riguardanti gli utenti che accedono al server, come ad
esempio siti web preferiti o, in caso di acquisti on-line, il
contenuto dei loro carrelli della spesa), che ora pu avvenire solo
previo consenso informato del contraente e con la precisazione che,
in generale, al di fuori dellambito consentito, e vietato luso di
una rete di comunicazione elettronica per accedere a informazioni
archiviate nellapparecchio terminale di un contraente o di un
utente, per archiviare informazioni o per monitorare le operazioni
dellutente (v. art. 122 riformulato)
Slide 82
Il nuovo art. 122 del Codice Art. 122. (Informazioni raccolte
nei riguardi dellabbonato o dellutente) 1. Larchiviazione delle
informazioni nellapparecchio terminale di un contraente o di un
utente o laccesso a informazioni gia archiviate sono consentiti
unicamente a condizione che il contraente o lutente abbia espresso
il proprio consenso dopo essere stato informato con le modalita
semplificate di cui allarticolo 13, comma 3. Cio non vieta
leventuale archiviazione tecnica o laccesso alle informazioni gia
archiviate se finalizzati unicamente ad effettuare la trasmissione
di una comunicazione su una rete di comunicazione elettronica, o
nella misura strettamente necessaria al fornitore di un servizio
della societa dellinformazione esplicitamente richiesto dal
contraente o dallutente a erogare tale servizio. Ai fini della
determinazione delle modalita semplificate di cui al primo periodo
il Garante tiene anche conto delle proposte formulate dalle
associazioni maggiormente rappresentative a livello nazionale dei
consumatori e delle categorie economiche coinvolte, anche allo
scopo di garantire lutilizzo di metodologie che assicurino
leffettiva consapevolezza del contraente o dellutente.
Slide 83
Il nuovo art. 122 del Codice 2. Ai fini dellespressione del
consenso di cui al comma 1, possono essere utilizzate specifiche
configurazioni di programmi informatici o di dispositivi che siano
di facile e chiara utilizzabilita per il contraente o lutente.
2-bis. Salvo quanto previsto dal comma 1, e vietato luso di una
rete di comunicazione elettronica per accedere a informazioni
archiviate nellapparecchio terminale di un contraente o di un
utente, per archiviare informazioni o per monitorare le operazioni
dellutente..
Slide 84
Il nuovo articolo 122 Come si pu desumere dal primo comma, la
nuova stesura dellarticolo 122 introduce per quanto riguarda i
cookies il definitivo passaggio dal regime dell OPT OUT a quello
ben pi severo e di difficile attuazione dellOPT IN - che prevede la
necessit per il titolare di ottenere il consenso preventivo da
parte dellutente. In altre parole, lutente dovr essere informato in
modo chiaro e completo in merito a finalit e modalit del
trattamento dei propri dati, per poi esprimere il proprio consenso
affinch i cookies vengano attivati durante la navigazione
Slide 85
Il nuovo articolo 122 Luso dei cookies di norma possibile sono
a seguito del consenso dellutente Ovviamente il consenso
validamente espresso se stata fornita la relativa informativa, che
documenti la presenza di eventuali cookies nelle diverse sezioni
del sito Linformativa dovrebbe essere presente: Nella pagina della
Privacy Policy del sito In tutte le pagine in cui si utilizzano
cookies specifici (soprattutto se di tipo persistente)
Slide 86
Lesclusione dal consenso Non sono vietate leventuale
archiviazione tecnica e/o laccesso alle informazioni gi archiviate
Criterio A) se finalizzate unicamente ad effettuare la trasmissione
di una comunicazione su una rete di comunicazione elettronica,
oppure Criterio B) nella misura strettamente necessaria al
fornitore di un servizio della societ dellinformazione
esplicitamente richiesto dal contraente o dallutente a erogare tale
servizio
Slide 87
Lesclusione dal consenso Linclusione della locuzione al solo
scopo nel CRITERIO A limita drasticamente i tipi di operazioni che
possono essere intraprese utilizzando i cookie. Lutilizzo di un
cookie per aiutare, accelerare o regolare la trasmissione di una
comunicazione su una rete di comunicazione elettronica non
sufficiente: per rientrare nel Criterio A, la trasmissione della
comunicazione non deve essere possibile senza luso del cookie. Per
quanto attiene, invece, al CRITERIO B, il cookie deve soddisfare i
due seguenti requisiti: il servizio della societ dellinformazione
stato esplicitamente richiesto dallutente: lutente (o abbonato) si
fatto parte attiva per richiedere un servizio ben definito. il
cookie strettamente necessario per consentire il servizio della
societ dellinformazione: se i cookie sono disattivati, il servizio
non funzioner.
Slide 88
Aspetti tecnici dellutilizzo dei cookies
Slide 89
I cookies Cookies temporanei (di sessione) Di norma utilizzati
per identificare la sessione che identifica dal punto di vista
tecnico la navigazione Si cancellano dal terminale dellutente al
termine della navigazione Cookies persistenti Rimangono presenti
sul terminale dellutente anche dopo il termine della navigazione,
per un tempo prestabilito o illimitatamente Permettono, con scopi
diversi, il riconoscimento dellutente nelle successive sessioni di
navigazione
Slide 90
Alcuni tipi di cookies Nelle slides che seguono sono elencati
alcune delle pi diffuse tipologie di cookie Lesempio deve essere
considerato indicativo e non esaustivo Lidentificazione della
necessit o meno di raccogliere il consenso per le diverse tipologie
assolutamente indicativa: la definizione degli obblighi applicabili
deve essere il risultato di una specifica analisi tecnica
Slide 91
Alcuni tipi di cookies User-input cookies Gli user-input cookie
sono cookie di sessione che vengono utilizzati per tenere traccia
degli input dellutente in una serie di scambi di informazione con
un fornitore di servizi. Di regola sono first party cookies basati
su una Session-ID temporanea. Essi sono in genere utilizzati per
tenere traccia di informazioni inserite dallutente in caso di
compilazione di moduli on-line su pi pagine, come avviene di regola
nei siti di e-commerce. Questi cookies sono chiaramente necessari
per fornire un servizio esplicitamente richiesto dallutente, quindi
non necessario richiedere il consenso ai sensi di quanto previsto
dal CRITERIO BCRITERIO B
Slide 92
Alcuni tipi di cookies Authentication cookies I cookie di
autenticazione vengono utilizzati per identificare lutente una
volta che ha effettuato il log-in in un sito. Questi cookie sono
necessari per consentire agli utenti di autenticarsi per le
successive visite al sito e per accedere al contenuto autorizzato
(si pensi, ad esempio, ad un sito di home banking). Di solito sono
cookie di sessione ma, a determinate condizioni, possibile il
ricorso a cookies persistenti. Quando un utente accede un
determinato sito, richiede esplicitamente laccesso al contenuto o
alle funzionalit per cui egli autorizzato. Senza il ricorso a
cookie di autenticazione lutente sarebbe costretto a fornire le
credenziali di autenticazione per la navigazione in ogni nuova
pagina. Di conseguenza questi cookie sono una parte essenziale del
servizio della societ dellinformazione esplicitamente richiesto
dallutente e, come tali, essi sono esentati dal consenso in base al
CRITERIO B.CRITERIO B Nel caso in cui, invece, il sito faccia
ricorso a cookie persistenti (ad esempio quando nel form di
autenticazione sia presente un flag del tipo Ricordami), necessario
ottenere il consenso informato dellutente. Ovviamente, per il loro
utilizzo, deve essere fornita una specifica informativa, presente
nelle pagine interessate, in cui venga evidenziata la necessit di
scaricare il cookie sul terminale dellutente
Slide 93
Alcuni tipi di cookies Multimedia player session cookies Questi
cookie vengono utilizzati per memorizzare i dati tecnici necessari
per riprodurre contenuti multimediali. Dato che non vi alcuna
necessit di memorizzazione a lungo termine per questo tipo di
informazioni, questi cookie dovrebbero scadere al termine della
singola sessione. Anche in questo caso, e sempre che il cookie
tratti solo le informazioni strettamente necessarie per la
riproduzione del contenuto multimediale, non necessario richiedere
il consenso in base al CRITERIO B.CRITERIO B.
Slide 94
Alcuni tipi di cookies Social plug-in content sharing cookies
Molti social network propongono questi cookie che i webmaster
possono integrare nel loro sito per consentire agli utenti delle
community di condividere i contenuti che preferiscono con i loro
amici (e proporre altre funzionalit connesse, quali la
pubblicazione di commenti, ecc.). Per capire il regime applicabile
a questi cookie importante distinguere: 1.utenti registrati ad un
social network e attualmente loggati; 2.utenti non registrati al
social network; 3.utenti registrati ma attualmente non loggati.
Dato che per definizione i plug-in sociali sono destinati a membri
di un particolare social network, non sono di alcuna utilit per gli
utenti non registrati: per questo motivo non si rientra nellambito
di applicazione del CRITERIO B. Questo vale anche per i membri di
un social network che non siano loggati al loro account, e che
quindi non si aspettano di essere connessi al social network. In
entrambi i casi, quindi, necessario ottenere il consenso
dellutente. CRITERIO B Per quanto riguarda, invece, gli utenti di
cui al punto 1), il cookie strettamente necessario per una
funzionalit espressamente richiesta dallutente per cui si applica
il CRITERIO B.CRITERIO B Bisogna, invece, prestare attenzione ai
Social plug-in tracking cookies, che possono essere utilizzati per
monitorare gli individui, registrati o meno, per scopi ulteriori
quali la profilazione o il compimento di analisi o ricerche di
mercato: per utilizzare queste tipologie di cookie sempre
necessario richiedere il consenso informato dellutente.
Slide 95
Considerazioni finali sui cookies Dato che la realizzazione del
sito spesso affidata a terzi, necessario che siano questi a fornire
i chiarimenti tecnici necessari E opportuno evitare lutilizzo di
cookies persistenti, a meno che non siano necessari E opportuno
richiedere comunque il consenso per i cookies di tipo persistente E
vietato lutilizzo di qualsiasi forma di cookie (o di altro
software) che permetta il tracciamento della navigazione al di
fuori del sito Se di utilizzano cookies persistenti bene che la
loro durata non sia illimitata, ma che ne venga prevista la
automatica cancellazione se non si accede al sito per un periodo di
tempo sufficientemente breve (ad esempio entro 15 giorni) La
Privacy Policy del sito dovrebbe ricordare la possibilit di
utilizzare i parametri di configurazione del browser o del sistema
operativo per inibire o cancellare i cookies scaricati nella
navigazione
Slide 96
Grazie per lattenzione! Domande e risposte Dr. Riccardo Larese
Gortigo [email protected]