dig.ital r.evolution - vol. II - 5 nuove lezioni per la qualificazione delle imprese italiane
()
Info su questo ebook
Leggi altro di Enzo Maria Tripodi
DIG.ITAL R.EVOLUTION - VOL. III - 5 ulteriori lezioni per la qualificazione delle imprese italiane Valutazione: 0 su 5 stelle0 valutazionidig.ital r.evolution. 5 lezioni per la riqualificazione delle imprese italiane Valutazione: 0 su 5 stelle0 valutazioniL’utilizzo della cuffia ipotermica per il trattamento coadiuvante nella chemioterapia femminile. Una sperimentazione Valutazione: 0 su 5 stelle0 valutazioni
Correlato a dig.ital r.evolution - vol. II - 5 nuove lezioni per la qualificazione delle imprese italiane
Ebook correlati
E-Law: il diritto al tempo del digital - Elementi di diritto correlati al digital business Valutazione: 0 su 5 stelle0 valutazioniIl social media marketing per le PMI. Guida all'uso dei social media nella Piccola e Media Impresa. Valutazione: 1 su 5 stelle1/5Intellectual Property and Competition Law Valutazione: 0 su 5 stelle0 valutazioniBig Data e Giornalismo: Il data turn nelle scelte di selezione e composizione delle notizie Valutazione: 0 su 5 stelle0 valutazioniWEB MARKETING TURISTICO - Case study: MySwitzerland.com Valutazione: 0 su 5 stelle0 valutazioniIl digital per lo sviluppo delle PMI italiane Valutazione: 0 su 5 stelle0 valutazioniSmart working - guida 2021 Valutazione: 0 su 5 stelle0 valutazioniGli inganni del web social condizionamenti Valutazione: 0 su 5 stelle0 valutazioniIl capitale decentralizzato. Blockchain, NFT, Metaverso Valutazione: 0 su 5 stelle0 valutazioniI PERSUASORI DIGITALI: come difendersi dalle tecniche di vendita dei persuasori occulti sul web. Valutazione: 0 su 5 stelle0 valutazioniEnterprise Mobility: l’interazione al centro Valutazione: 0 su 5 stelle0 valutazioniCommercio elettronico e Web-marketing Valutazione: 0 su 5 stelle0 valutazioniTutela del software e diritto d'autore. Convergenze e interferenze Valutazione: 0 su 5 stelle0 valutazioniLavoro oggi: Le nuove assunzioni ai tempi dei social network Valutazione: 0 su 5 stelle0 valutazioniSocial Media Mining dei mercati esteri: Trovare informazioni nei social media per pianificare le azioni sui mercati internazionali Valutazione: 0 su 5 stelle0 valutazioniIL COMMERCIO POST MODERNO Teoria, esperienze, prospettive Valutazione: 0 su 5 stelle0 valutazioniVERSO - Valori e Responsabilità Sociale Valutazione: 0 su 5 stelle0 valutazioniFinanziamenti agevolati per le imprese Valutazione: 0 su 5 stelle0 valutazioniCloud computing. Aspetti contrattuali, risvolti normativi e tutela della privacy Valutazione: 0 su 5 stelle0 valutazioniDal Cad al Web: Il Codice dell’Amministrazione Digitale per Tutti Valutazione: 0 su 5 stelle0 valutazioniLavorare da casa con le nuove Professioni on line - Consigli, strategie, segreti per avviare un’attività in rete Valutazione: 0 su 5 stelle0 valutazioniCriminalità informatica: Minacce per navigare sul Web e sui social network Valutazione: 0 su 5 stelle0 valutazioniIntelligence Economica: Saggio di Stretegia Preventiva Valutazione: 0 su 5 stelle0 valutazioniCittadino Digitale: Quali strumenti per una "cittadinanza digitale" consapevole Valutazione: 0 su 5 stelle0 valutazioniMobile marketing Valutazione: 0 su 5 stelle0 valutazioniOpera©: Key Digital Pivot - Alta formazione per la Digital Transformation Aziendale Valutazione: 0 su 5 stelle0 valutazioniProfessione DIRIGENTE SCOLASTICO: Compendio facile per la preparazione al concorso Valutazione: 0 su 5 stelle0 valutazioniMetaverso: La Guida Pratica: Manuale di sopravvivenza giuridica al Web 3.0 Valutazione: 0 su 5 stelle0 valutazioniRealizza il tuo e-commerce - La guida per muovere i tuoi primi passi nel mondo degli shop online Valutazione: 0 su 5 stelle0 valutazioniCanapa, rame, accordi: come cambiano le reti. Valutazione: 0 su 5 stelle0 valutazioni
Diritto per voi
Esame Avvocato 2020-21. CASI DI DIRITTO PENALE: Con soluzioni schematiche dimostrte Valutazione: 3 su 5 stelle3/5AML Anti Money Laundering: le soluzioni antiriciclaggio Valutazione: 0 su 5 stelle0 valutazioniADHD e Scuola: Quaderni didattici-Percorsi per l'inclusione-5/2021 Valutazione: 0 su 5 stelle0 valutazioniDiritto pubblico Valutazione: 0 su 5 stelle0 valutazioniProntuario di diritto dell'Unione Europea Valutazione: 0 su 5 stelle0 valutazioniProntuario di diritto romano Valutazione: 0 su 5 stelle0 valutazioniFormulario del Processo Penale Valutazione: 0 su 5 stelle0 valutazioniConcorso Istruttore Enti Locali - Servizi pubblici locali: Sintesi ragionata per concorsi pubblici Valutazione: 0 su 5 stelle0 valutazioniApprendimento e competenze nelle metodologie didattiche innovative: i laboratori inclusivi: Quaderni didattici-Percorsi per l'inclusione-4/2021 Valutazione: 0 su 5 stelle0 valutazioniSerial Killer, omicidi seriali: rilievi investigativi e quadri psichiatrico-forensi Valutazione: 0 su 5 stelle0 valutazioniFisica Spirituale: Filosofia, conoscenza e tecnologia dal futuro Valutazione: 0 su 5 stelle0 valutazioniOrdinamento degli Enti Locali: Concorsi per impiegato comunale nelle Aree: Amministrativa, Tecnica, Finanziaria e Contabile, Sociale Valutazione: 0 su 5 stelle0 valutazioniDiritto civile. Lezioni e mappe concettuali Valutazione: 0 su 5 stelle0 valutazioniProntuario di diritto penale Valutazione: 0 su 5 stelle0 valutazioniL'uomo delinquente Valutazione: 5 su 5 stelle5/5Interpretazione della legge con modelli matematici. Processo, a.d.r., giustizia predittiva Valutazione: 0 su 5 stelle0 valutazioniCodice della nautica da diporto Valutazione: 0 su 5 stelle0 valutazioniProcedimento amministrativo e diritto di accesso: Sintesi aggiornata della Legge 241 del 1990 per concorsi pubblici Valutazione: 4 su 5 stelle4/5Tecniche e Metodologia della scrittura giuridica Valutazione: 0 su 5 stelle0 valutazioniLe Influenze del Codice Napoleonico e del BGB Tedesco sul Codice Civile Italiano: Sistemi Giuridici Comparati Valutazione: 0 su 5 stelle0 valutazioniProntuario sulla tutela del credito: Guida al recupero dei crediti Valutazione: 0 su 5 stelle0 valutazioniCompendio di DIRITTO COSTITUZIONALE Valutazione: 2 su 5 stelle2/5Test per i concorsi nell’Unione europea – Teoria e quiz: Guida alle procedure di selezione EPSO Valutazione: 0 su 5 stelle0 valutazioniStoria delle fonti del Diritto Canonico Valutazione: 0 su 5 stelle0 valutazioniSpirali di Energia - L'antica arte della Selfica: L'antica arte della Selfica Valutazione: 0 su 5 stelle0 valutazioniCryptotrading Pro: Fai Trading Per Guadagnare Con Strategie, Strumenti E Tecniche Di Gestione Del Rischio Valutazione: 0 su 5 stelle0 valutazioniPreparazione al Concorso per Istruttore Amministrativo Valutazione: 0 su 5 stelle0 valutazioniIl Codice di comportamento dei dipendenti pubblici: Sintesi del D.P.R. 62/2013 per concorsi pubblici Valutazione: 0 su 5 stelle0 valutazioniLinee sincroniche: Gli scorrimenti energetici del pianeta Valutazione: 5 su 5 stelle5/5
Recensioni su dig.ital r.evolution - vol. II - 5 nuove lezioni per la qualificazione delle imprese italiane
0 valutazioni0 recensioni
Anteprima del libro
dig.ital r.evolution - vol. II - 5 nuove lezioni per la qualificazione delle imprese italiane - Enzo Maria Tripodi
I.
Le informative dei siti web. Un breve prontuario (*)
SOMMARIO: 1. Premessa. Riduzione dell’ambito - 2. Sito, informativa e navigatori: un rapporto necessario - 3. Contenuti dell’informativa - 3.1. Generalità e premesse dell’informativa - 3.2. Titolare ed altri soggetti che coadiuvano l’attività del titolare - 3.3. Finalità e base giuridica del trattamento - 3.4. Luogo, modalità del trattamento e misure di sicurezza - 3.5. Profilazione - 3.6. Comunicazione e diffusione - 3.7. Destinatari o categorie di soggetti che potrebbero venire a conoscenza dei dati personali trattati - 3.8. Trasferimento di dati personali a un paese terzo o a un'organizzazione internazionale - 3.9. Periodo di conservazione - 3.10. Tutela dei diritti e modalità del loro esercizio - 3.11. Indicazioni facoltative - 4. Dati di navigazione e cookie - 4.1. Dati di navigazione - 4.2. Cookie - 4.3. Contenuti dell’informativa relativa ai cookie - 5. Segue: le recenti indicazioni del garante sui cookie – 6. Informativa e acquisizione del consenso - 7. Modalità di redazione e presentazione
delle informative – 8. Le sanzioni. Rinvio.
1. Premessa. Riduzione dell’ambito
Alcune premesse al tema oggetto di questo contributo appaiono necessarie.
Anzitutto – tranne poche limitate ipotesi – non si indugerà su una illustrazione articolata delle questioni tecnico-informatiche sottese gli argomenti di cui si tratterà (un esempio su tutti: cosa si intenda per sito web
), dando per scontato che sia possibile agevolmente reperire tali indicazioni in molte pubblicazioni specializzate. Lo stesso dicasi per una disamina, men che sommaria, delle questioni giuridiche: ciò implicherebbe affrontare, qui, buona parte del Regolamento UE n. 679/2016 (di seguito indicato come GDPR
)¹ e del D.Lgs. n. 196/2003 (Codice della privacy), come aggiornato².
Infine, vale la pena di fare presente che – ratione materiae – il tema è circoscritto alle sole informative connesse al trattamento dei dati personali e non a tutte le indicazioni che, per legge, devono essere rese disponibili nell’ambito dei siti web, siano essi di soggetti pubblici che di soggetti privati.
Le ragioni sono intuibili: le disposizioni in materia di disclosure
(si pensi ai profili inerenti la trasparenza
), di usabilità, etc., che connotano i siti web delle pubbliche amministrazioni (o, comunque, dei soggetti pubblici in genere), recano molteplici complicazioni e risvolti giuridici peculiari; lo stesso a dirsi per le numerose indicazioni che devono essere contenute nei siti web di soggetti che esercitano, per es., attività commerciali (come l’art. 7 del D.Lgs. n. 70/2003).
Nel prosieguo, tranne poche eccezioni, quanto si dirà vale per entrambi gli ambiti, posto che il GDPR, com’è noto, non pone differenziazioni in via di principio.
2. Sito, informativa e navigatori: un rapporto necessario
Su Internet, il sito (dato dalla sommatoria della home page e delle sue pagine interne, cioè, in altre parole, i contenuti allocati in uno spazio
accessibile tramite un indirizzo IP) costituisce l’interfaccia di persone fisiche o giuridiche ed enti rispetto ai navigatori
.
É, se vogliamo, la porta di accesso
a detti contenuti e, nella sua dimensione di punto di contatto
, implica necessariamente una relazione
anche qualora l’interlocutore non abbia (coscientemente) alcuna intenzione di avviarla.
Questa relazione si concretizza mediante l’utilizzo di codici comunicativi condivisi realizzato attraverso un linguaggio scritto o figurato in grado di inviare e ricevere i segnali ed i contenuti di detta comunicazione (l’importanza della versione iconografica della comunicazione è ben rappresentata, come si dirà, nell’art. 12, par. 7, del GDPR)³.
Questo scambio di comunicazioni, che possono essere unidirezionali o bidirezionali, implica, per sua natura, la presenza di dati. Non necessariamente dati qualificabili come personali
(quelli che, alquanto impropriamente, l’art. 4, n. 1), del GRPR, indica come identificativo online
) ma sicuramente dei dati: non sono personali i dati che non consentono, quantomeno, l’identificabilità di una persona fisica, così come quelli che pertengono, per esempio, ad una intelligenza artificiale alla quale, almeno per il momento, non si riconosce (giuridicamente e socialmente) la natura di persona
(di qualunque genere questa possa essere)⁴. Per i dati non personali (e misti) il riferimento è costituito dal Regolamento UE n. 1807/2018 (NPDR - Non-Personal Data Regulation).
Proprio perché ci troviamo in presenza di dati (normalmente personali), emerge l’esigenza che l’interessato, cioè il soggetto cui pertengono i dati, sia in grado di operare le sue scelte con la massima conoscenza di quanto intenda fare colui che effettua uno o più trattamenti di detti dati. Nel ‘meccanismo’ proprio del GDPR, infatti, da un lato vi è il diritto a trattare dati da parte del titolare e, dall’altra, il correlativo diritto a che ciò avvenga nel rispetto delle prescrizioni disciplinari e, soprattutto, tenuto conto delle misure tecniche ed organizzative idonee a garantire la sicurezza dei trattamenti medesimi⁵.
La rilevanza di una corretta informativa è stata sottolineata a seguito di una ricerca effettuata, nel 2017, dalla rete di cooperazione internazionale dei Garanti (GPEN - Global Privacy Enforcement Network) su 455 siti web ed applicazioni di vari settori: viaggi, sanità, banche, social media, giochi d’azzardo⁶.
Dall’analisi delle privacy policy è emerso che:
- solo il 35% delle informative sul trattamento dei dati personali menziona l’adozione di misure di sicurezza a protezione delle informazioni personali degli utenti;
- il 67% dei siti e delle applicazioni omette di specificare se ed in quale parte del mondo vengono trasferiti i dati;
- il 51% non chiarisce se e con chi questi dati vengano condivisi.
Le informative hanno, inoltre, fatto riscontrare le seguenti lacune:
- la genericità ed imprecisione delle formulazioni lessicali, con la presenza di riferimenti normativi obsoleti;
- per i soggetti che operano a livello internazionale non è indicata la normativa applicabile nei singoli Paesi;
- non è chiaramente indicato l’utilizzo che viene fatto dei dati personali;
- non viene indicato dove e come siano conservati i dati e, soprattutto, le misure di protezione (tecniche ed organizzative), adottate;
- manca la comunicazione dei diritti degli interessati (in specie: quello di accesso).
Si tratta, con tutta evidenza, di elementi di notevole criticità se si assume che la protezione dei dati personali debba essere adeguata
.
3. Contenuti dell’informativa
3.1. Generalità e premesse dell’informativa
Il manifesto
di quanto si intende fare nell’ambito del sito web – con riferimento ai dati personali – è rappresentato
nell’informativa.
Si impiega il termine informativa
, quale espressione breviloqua, invalsa nell’uso, riferita al complesso delle informazioni che il titolare è tenuto a fornire all’interessato (e questi ha diritto di ricevere), e che, nella maggior parte dei casi, sono contenute in un documento.
Il GDPR, tuttavia, non parla mai di informativa
, ma di informazioni, posto che queste ultime possono essere fornite con modalità e tecniche diverse e non necessariamente in un contesto unitario (seppur – anche per profili non secondari di manutenzione delle medesime – la tendenziale unitarietà circa la collocazione
è considerata una politica rispettosa del principio di trasparenza. Invertendo l’ordine dei fattori, diciamo che spetta al titolare provare le ragioni
di una scelta a favore della disaggregazione
, secondo il crisma dell’accountability)⁷.
Per semplicità, nella totalità dei siti web (siano essi pubblici che privati), vi è uno spazio
dedicato alla privacy policy
(unita o distinta – ed ecco un primo caso di possibile biforcazione
dell’informativa – dalla cookies policy), nell’ambito della quale, per l’appunto, è rinvenibile l’informativa.
Le informazioni da rendere all’interessato (ossia, per quanto si è detto, i contenuti dell’informativa), sono indicati negli art. 13 e 14 del GDPR. Nell’ambito dell’informativa che attiene ad un sito web si rientrerà necessariamente nel primo articolo citato poiché l’interlocutore
(interessato) è il navigatore che stabilisce una connessione
con detto sito.
Le informative che il titolare rende all’interessato sono quella diretta
, in occasione della raccolta dei dati personali direttamente presso l’interessato (art. 13), ovvero indiretta
, qualora i dati siano stati acquisiti indirettamente, oppure siano provenienti da altro titolare del trattamento (art. 14). Ai soggetti cui si riferiscono i dati personali si trasmetterà l’informativa successiva
(qualora a ciò non abbia provveduto il titolare che ha trasmesso i dati, ovvero l’interessato non sia già al corrente delle informazioni di cui ha diritto (e non sia necessario il consenso))⁸.
L’informativa, generalmente, si apre con una sorta di premessa
- non necessaria ma utile – con la quale si enuncia che le informazioni sono fornite ai sensi dell’art. 13 del Regolamento (UE) 679/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, in favore degli interessati che interagiscono con le pagine e i servizi web, accessibili per via telematica a partire dall’indirizzo del sito indicato con la URL relativa alla home-page del sito medesimo.
Questa specificazione non è peregrina come potrebbe dirsi, poiché, di solito, si fanno presenti i seguenti aspetti:
a) la policy privacy cui si riferisce questa informativa riguarda il sito nel suo complesso
;
b) possono esserci, nell’ambito del sito, altre e diverse informative, riferite, per esempio, a specifici servizi offerti. L’indicazione è opportuna sia con riferimento all’indicazione dei trattamenti che il titolare intende svolgere, quanto alle relative basi giuridiche che possono essere ben differenti;
c) la validità dell’informativa è limitata al solo sito cui si riferisce e non anche per altri siti web eventualmente consultabili dall'utente mediante collegamento ipertestuale.
Più avanti si vedrà che questa premessa
è collegata ad una serie di limitazioni di responsabilità, ovvero di diritti che il titolare fa presente di vantare sin dalla presentazione dell’informativa (anche se non si tratta, per la verità, di questioni che attengono strettamente al trattamento di dati personali). È il caso, ad esempio, delle indicazioni normative
che spesso si trovano nei siti delle Pubbliche amministrazioni in cui è chiaramente indicato che l’affidabilità
delle indicazioni è del tutto relativa e che non vale ad esonerare l’interessato da una loro verifica⁹.
3.2. Titolare ed altri soggetti che coadiuvano l’attività del titolare
Nell’informativa deve essere espressamente indicato chi sia il titolare
del trattamento, con tutti i necessari dati di contatto
(indirizzo, recapiti telefonici, indirizzo di posta elettronica ordinaria
e certificata
, etc.).
Non è escluso – seppur raro – che un sito web sia condiviso tra due o più soggetti che, quindi, potrebbero rivestire il ruolo di contitolari
del trattamento (cfr. l’art. 26 del GDPR)¹⁰. Altrettanto rara la presenza di un Rappresentante
, secondo quanto previsto dall’art. 4, n. 17), e dall’art. 27 del GDPR.
Gli altri soggetti che è opportuno indicare sono i seguenti:
a) l’avvenuta designazione – ex art. 37 del GDPR – di un Responsabile della protezione dei dati (RPD
, ovvero DPO"’ qualora ci si riferisca alla dizione anglosassone di Data Protection Officer);
b) l’esistenza di soggetti designati quali Responsabili (esterni) del trattamento, ai sensi dell’art. 28 del GDPR (in specie, quelli che gestiscono
il sito).
Quando il Titolare è un ente pubblico non solo è necessario dichiarare
questa qualità
ma è anche corretto indicare la disciplina su cui si base la sua attività istituzionale. Ciò al fine di verificare l’indicazione della base giuridica nello svolgimento delle sue attività che non tutte, necessariamente, rientrano nella mission istituzionale.
3.3. Finalità e base giuridica del trattamento
La parte più rilevante dell’informativa è l’esplicita indicazione di quali siano i dati personali soggetti al trattamento (potrebbero per es. essere "particolari, o di minori)¹¹ e, soprattutto, per quale finalità.
Com’è noto il dettato normativo, in coerenza con il principio di accountability, non stabilisce quali debbano essere gli utilizzi dei dati, rimettendo al titolare ogni decisione (fatte salve le prescrizioni di legge), circa le modalità di utilizzo dei dati, le finalità del trattamento, la scelta della base giuridica, la tipologia di dati da trattare, la loro comunicazione a terzi, la possibilità di ricorrere a responsabili del trattamento, i tempi di conservazione (c.d. Data Retention).
Per quanto riguarda la base giuridica, occorre fare riferimento, per i dati di tipo ordinario, alle possibilità indicate dall’art. 6 del GDPR.
Con riferimento alle informative dei siti web – lasciando da parte, per il momento, il tema dei cookie - la base giuridica sarà:
a) per i soggetti privati: il legittimo interesse, ai sensi dell’art. 6, par. 1, lett. f), del GDPR che risulta fisiologico nell’ambito della navigazione web;
b) per i soggetti pubblici, invece, sarà l’esecuzione dei rispettivi compiti di interesse pubblico o comunque connessi all’esercizio di pubblici poteri, ai sensi dell’art. 6, par. 1, lett. e), del GDPR. Si ricorda che a parte l’uso dei cookie indispensabili alla navigazione web (e che non sono utilizzati per alcun tracciamento oltre dette finalità necessarie), per i quali la base giuridica – anche per i soggetti pubblici - è costituita dal legittimo interesse - il GDPR esclude esplicitamente che lo svolgimento delle finalità istituzionali (quali stabilite dalla legge) possa essere fondato sul legittimo interesse (cfr. l’art. 6, par. 1, lett. f), del GDPR)¹².
3.4. Luogo, modalità del trattamento e misure di sicurezza
È rilevante l’indicazione del luogo di trattamento tenuto conto dei limiti applicativi del GDPR. In particolare, trattandosi di un sito web il gestore del sito
potrebbe essere un soggetto con sede in un paese fuori dell’Unione europea¹³. In questo caso – tranne eccezioni – la collaborazione del titolare con persone fisiche o società, richiede la nomina di queste quali Responsabili del trattamento ai sensi dell’art. 28 del GDPR. Non è obbligatoria l’indicazione del loro nominativo a condizione che l’interessato possa agevolmente ottenere questa informazione qualora la richieda.
Il trattamento avviene sia all’interno che all’esterno dell’organizzazione del titolare. Nel primo caso parliamo del personale incaricato
; nel secondo, dei Responsabili del trattamento.
Quanto alle modalità del trattamento (che deve sempre essere autorizzato
dal titolare sulla base di specifiche istruzioni), può avvenire con modalità cartacee che con strumenti informatici/telematici com’è normale parlandosi di trattamenti connessi ad un sito web.
In ogni caso il trattamento deve essere rispettoso dei principi generali indicati all’art. 5 del GDPR.
È necessario anche indicare espressamente che il titolare (e, conseguentemente, anche i responsabili esterni), ha adottato delle specifiche misure di sicurezza idonee per prevenire la perdita dei dati, usi illeciti, o non corretti, e accessi non autorizzati, nonché per ripristinare in caso di eventi dannosi, la funzionalità delle protezioni sui sistemi e sui dati trattati. Queste specifiche possono essere richieste dall’interessato (almeno come descrizione). Nel caso in cui il titolare operi per altri titolari nel ruolo di responsabile del trattamento, tali misure costituiscono condizione per l’affidamento dell’incarico ex art. 28, a meno che non abbia preventivamente ricevuto specifiche istruzioni da seguire (situazione, questa, più teorica che concreta).
3.5. Profilazione
L’informativa deve indicare se il titolare utilizza i dati personali per un processo decisionale automatizzato, ovvero effettua attività di profilazione, di cui all’art. 22 del GDPR, pur se queste non siano collegate a sistemi decisionali automatizzati. Si faccia attenzione che la profilazione
e la decisione automatizzata
corrispondono a fenomeni affatto diversi. Per profilazione
, ai sensi dell’art. 4, n. 4), del GDPR, si intende qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica
¹⁴.
Il processo decisionale automatizzato (dal quale promana una decisione in parte o totalmente automatizzata) è quello strumento che consente di prendere decisioni impiegando mezzi tecnologici (es. macchinari o algoritmi) con o senza l'intervento umano¹⁵.
Se ricorrono queste attività, il titolare deve fornire le informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato
(art. 13, par. 2, lett. f), del GDPR).
Per i cookie di profilazione v., più avanti, ai parr. 4 e 5.
3.6. Comunicazione e diffusione
Se i dati raccolti (e trattati) vengono comunicati e/o diffusi va specificato per quale finalità e, soprattutto, chi sono i destinatari. L’utilizzo, nell’ambito del sito, di social networks costituisce la tipica fattispecie di diffusione (per la quale è necessaria l’acquisizione, per ognuno di questi, del consenso ex art. 6, par. 1, lett. a), del GDPR).
3.7. Destinatari o categorie di soggetti che potrebbero venire a conoscenza dei dati personali trattati
Nell’informativa possono essere esplicitati i soggetti che vengono a conoscenza dei dati (poiché sono coinvolti nel trattamento) che sono – come detto – tanto interni, quanto esterni all’organizzazione del titolare.
Possono anche essere indicati come categoria
, come ad es., il personale dell’ufficio di contabilità
. L’indicazione di destinatari sotto la forma riassuntiva
legata ad una data categoria
non solo deve poter essere motivata dal titolare ma deve consentire all’interessato di poter comprendere quali siano effettivamente questi soggetti, rispetto ai quali può – se ritiene – richiederne l’elencazione.
Una tipica ipotesi di indicazione per categoria
è rappresentata dal diritto di conoscibilità dei dati personali da parte dell’autorità giudiziaria, amministrativa ovvero di qualsiasi altro soggetto pubblico a ciò legittimato nei casi e nelle forme previste dalla legge. Sarebbe, oltre che complicato, superfluo, indicare con esattezza quali siano queste autorità
.
3.8. Trasferimento di dati personali a un paese terzo o a un'organizzazione internazionale
Il titolare deve esplicitare tutte le informazioni se intende trasferire dati personali in un paese terzo (o ad una organizzazione internazionale) e, precisamente:
a) l’esistenza o meno di una decisione di adeguatezza da parte della Commissione europea (art. 45 del GDPR);
b) ovvero la presenza di norme vincolanti d’impresa (art. 47), o clausole tipo (art. 46, par. 2);
c) ovvero la presenza di deroghe (con le relative garanzie), di cui all’art. 49 del GDPR.
Sul sito International dimension of data protection ¹⁶, curato dalla Commissione europea, sono riportate, tra le altre:
- le regole sul trasferimento internazionale di dati personali;
- le decisioni di adeguatezza;
- le clausole contrattuali standard¹⁷;
- le Binding Corporate Rules (BCR);
- le clausole per i trasferimenti di dati nell’ambito di società multinazionali.
Al momento, sono considerate adeguate
, ai sensi dell’art. 45 del GDPR, le discipline dei seguenti Stati: Andorra, Argentina, Australia¹⁸, Canada, Fær Øer Islands, Giappone, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay e Stati Uniti d’America.
Per quanto riguarda la situazione degli Stati Uniti, a seguito della caducazione dell’Accordo sul Privacy Shield
ad opera della Corte di giustizia dell’Unione europea¹⁹, l’adeguatezza della disciplina statunitense è stata ritenuta limitatamente al trasferimento dei dati del codice di prenotazione – PNR-Passenger Name Record – da parte dei vettori aerei. Ciò ha comportato, soprattutto per le principali società americane che offrono servizi su Internet, di stabilire una sede nel territorio europeo, limitando la circolazione dei dati personali trattati all’ambito di questo territorio²⁰.
Quanto al Regno Unito, a seguito della sua uscita, dal 1° gennaio 2021, dall’Unione europea, il GDPR è rimasto comunque applicabile – fino al 30 giugno 2021 – in virtù dell’Accordo commerciale e di cooperazione del 30 dicembre 2020. Successivamente, la Commissione ha disciplinato l’adeguatezza con una specifica decisione²¹.
3.9. Periodo di conservazione
I dati personali non possono essere conservati per un periodo di tempo superiore al conseguimento delle specifiche finalità per le quali sono trattati, come richiesto dall’art. 5 del GDPR. La conservazione dipende, quindi, dalle finalità del singolo trattamento. Se non sia indicato vanno comunque definiti i criteri utilizzati per determinarlo, tenuto conto del principio di limitazione della conservazione.
Il periodo di conservazione dovrebbe essere formulato in maniera da consentire all’interessato di determinare, in merito alla sua situazione specifica illustrata chiaramente nell’informativa, quale sia il periodo di conservazione per specifici dati o per determinate finalitಲ.
Ai fini