privacy web

Privacy e web: i requisiti per un sito a prova di legge

Privacy e web: un’accoppiata che raramente va d’accordo. Il rispetto della privacy su Internet, infatti, è ancora materia oggetto di molte discussioni sia da parte delle Autorità di Settore e del Garante, sia da parte di quei soggetti che operano nella Rete e che spesso faticano ad adeguarsi alle norme previste. E il problema non riguarda solo le piccole aziende, ma anche i colossi come Google: basti pensare che nel dicembre 2013 il Garante della Privacy ha contestato a Google ben 850 violazioni amministrative e deciso sanzioni per oltre 4 milioni di euro. Google sarebbe stata colpevole di aver violato le norme del Codice della Privacy “concernente la non idoneità dell’informativa resa agli interessati con riferimento ad una banca dati di particolari dimensioni in occasione della raccolta di dati effettuata dalla società mediante le cosiddette Google cars nell’ambito del servizio denominato Street View”.

Privacy e web: i dati italiani

In Italia il rapporto tra privacy e web è complesso, o meglio, le norme non vengono rispettate: due terzi dei siti italiani violano il codice della privacy (Dlgs 196/2003) poiché non possiedono un’idonea informativa sul trattamento dei dati personali, che permette all’interessato di scegliere se prestare o meno il proprio consenso. La maggior parte dei siti web, inoltre, contiene form da compilare con le proprie informazioni personali per accedere a materiale da scaricare o per utilizzare determinati servizi online: nella maggior parte dei casi però, non viene mai specificato come saranno utilizzati questi dati. Una ricerca condotta da Federprivacy fornisce un quadro chiaro della situazione tra privacy e web in Italia: su un campione di 2500 siti web di enti e imprese, oltre il 67% non si è attenuto all’obbligo di informare l’utente su come saranno trattati i suoi dati personali. Il 55% delle violazioni proviene da piccole e medie imprese, mentre il 17% da siti che operano nell’ambito dell’healthcare e che hanno a che fare con dati sensibili. Subito dopo si collocano le web agency e le aziende informatiche.

Le sanzioni per chi non rispetta le regole vanno dai 10 mila ai 400 mila euro e possono aumentare se le violazioni coinvolgono molti interessati o se il contravventore è un soggetto “facoltoso”. Sono tre le tipologie di reati:

  • omissione o inidoneità dell’informativa;
  • assenza preventiva del consenso;
  • omessa o incompleta notificazione al Garante.

La Cookie Law

Se si parla di privacy e web non si può non fare riferimento alla Cookie Law entrata in vigore in Italia il 3 giugno 2015, a seguito di quanto disposto in sede europea con la direttiva comunitaria 2009/136/CE. I cookie sono dei piccoli file di testo che vengono creati nel computer di chi visualizza un sito e hanno lo scopo di registrare alcune informazioni relative alla visita. Tramite i cookie un sito web riesce a riconoscere uno specifico utente e gli associa informazioni di varia natura. C’è da specificare però, che i cookie sono dati pseudonimi, ovvero dati personali dove gli elementi identificativi sono stati sostituiti da stringhe di testo e numeri. Questi dati sono comunque ritenuti dati personali perché, se incrociati con altre informazioni, consentono di giungere all’identificazione della persona: anche i cookie, dunque, devono essere soggetti a consenso.

Secondo la normativa italiana, nel sito web l’utilizzo dei cookie deve essere preventivamente accettato dell’utente, che viene informato tramite un apposito banner contenente:

  • un avviso circa l’utilizzo dei cookie di profilazione che potrebbero essere trasmessi da “terze parti”;
  • un link alla pagina che contiene la cookie policy per esteso;
  • l’indicazione che la prosecuzione della navigazione implica l’accettazione all’uso dei cookie;
  • l’indicazione circa la facoltatività del consenso.

Privacy e web, la Cookie Law

Cookie e Google Analytics

La questione tra privacy e web si fa spinosa quando si parla di cookie analitici di terze parti, soprattutto quelli di Google Analytics, utilizzati per analizzare i dati di traffico. A tal proposito, il Garante della Privacy ha pubblicato un documento contenente dei chiarimenti sulle questioni più spinose della Cookie Law, ribadendo che i gestori del sito non sono tenuti ad alcun adempimento a due condizioni:

  • i cookie analitici devono essere in parte “mascherati”;
  • la terza parte deve impegnarsi ad utilizzare i cookie solo per la fornitura del servizio, a conservarli separatamente e a non incrociarli con altre informazioni.

Google Analytics consente di anonimizzare gli IP tramite un’apposita procedura e disabilitare la condivisione dei dati raccolti con altri servizi di Google. I gestori dei siti che vorranno continuare ad utilizzare questo servizio, dunque, dovranno integrare l’informativa breve (banner) e registrare il consenso dell’utente.

Lo scenario futuro

Per i “furbetti” della rete, quindi, si prospettano tempi difficili. I controlli da parte delle autorità competenti procedono senza sosta e chi non ha ancora provveduto a mettersi in regola sarebbe bene che lo faccia al più presto.

La questione privacy e web è cruciale anche a livello europeo: è notizia recente che gli organi dell’Unione sarebbero a lavoro su un nuovo provvedimento per colmare alcune lacune presenti nella normativa della privacy. In particolare, dal documento pubblicato il 10 gennaio 2017, si evince come per la Commissione Europea risulti ingiustificato che le norme in materia di protezione dei dati si applichino solo ai servizi di comunicazione “tradizionale” e non a quei soggetti che offrono servizi “Over The Top”, non soggetti alla ePrivacy Directive.