Cookie e Privacy tra regole e business
SERVIZI SEO SEM SMM SEA WEB DESIGN E-COMMERCE E-MAIL MARKETING PEC HOSTING
CERTIFICAZIONI
SEDI UFFICI ITALIA Via del Commercio, 1/N 46030 San Giorgio di Mantova (MN) tel. +39 0376 369728 fax. +39 0376 287580 UFFICI USA 7083 Hollywood Blvd Los Angeles, CA 90028 tel +1 310 3101797
Cookie. Nasce l esigenza di regolamentarne l utilizzo: quadro normativo
Direttiva Madre 95/46/CE del 24 Ottobre 1995 (Recepita in maniera diversa dai 27 Paesi Membri)
E in Italia? Recepita la Direttiva con la Legge 675/96 (Legge promulgata in maniera frettolosa per onorare gli impegni derivanti dagli Accordi di Schengen) D.Lgs. 196/03 del 30 Giugno 2003 in vigore dal 1 Gennaio 2004 + Provvedimenti del Garante Privacy Semplificazioni D.L. 6/2011 Salva Italia: persone Giuridiche, Enti e Associazioni non rientrano nel campo di applicabilità D.L. 9 Febbraio 2012, n.5 Decreto Sviluppo: viene abolito l obbligo di presentazione del D.P.S. e di formazione del personale
E per i Cookie? Se ne parla nella Direttiva 2002/58/CE, modificata dalla Direttiva 2009/136/CE Recepita in Italia dal D.Lgs. 69/2012 (non vengono fornite le modalità per il rilascio dell informativa semplificata) Provvedimento del Garante Privacy 8 Maggio 2014 Chiarimenti in merito all attuazione della Normativa in materia di Cookie (5/06/2015) Infografica. Il tuo sito/blog installa cookie? Cosa devi fare (10/06/2015)
Perchè la Normativa si occupa dei Cookie? 1. Perché alcune tipologie di cookie sono il mezzo informatico per attuare il trattamento di profilazione dell interessato 2. Per profilazione si intende la definizione delle linee di tendenza, di gusti, di orientamenti, di schemi di comportamento riferibili a un certo soggetto 3. La profilazione è considerato un trattamento che può presentare rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell interessato Semplificazione e banalizzazione della personalità dell individuo
Come profilare rispettando la Normativa? 1. Il Titolare del trattamento deve rilasciare un informativa dove vengono chiaramente descritte le finalità per le quali i profili vengono creati e utilizzati 2. E necessario richiedere il consenso espresso libero e informato all interessato 3. E necessario produrre la Notifica al Garante quando la profilazione viene effettuata mediante strumenti elettronici
SANZIONI Omessa informativa o informativa inidonea, ossia non presenti gli elementi indicati è prevista la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro (art. 161 del Codice) Assenza del preventivo consenso degli stessi comporta, invece, la sanzione del pagamento di una somma da diecimila a centoventimila euro (art. 162, comma2-bis del Codice) L omessa o incompleta notificazione al Garante, ai sensi di quanto previsto dall Art. 37 del Codice, è sanzionata con il pagamento di una somma da ventimila a centoventimila euro (Art. 163 del Codice)
Cosa sono i Cookie e come funzionano?
I cookie sono informazioni sugli utenti Internet che il browser scambia con il server. Permettono di raccogliere (come fossero briciole) una serie di dettagli sull utente che ha visitato una determinata pagina web.
A seconda del loro utilizzo, i Cookie si dividono in tre categorie diverse: #1 Cookie tecnici #2 Cookie analitici #3 Cookie di profilazione
Cookie tecnici Sono cookie di prima parte basilari, che hanno lo scopo di far funzionare correttamente il sito.
Cookie tecnici Tra le altre cose permettono di: #1 memorizzare preferenze dell utente #2 identificare un utente loggato #3 sapere se l utente ha accettato o meno l informativa sulla privacy
Cookie tecnici COME SEGNALARLI SUL SITO
Cookie tecnici Questi cookie non sono soggetti al blocco preventivo e al banner sul sito, ma devono essere dichiarati nell informativa.
Cookie tecnici Esempio Cookie di sessione Informazione contenente un codice identificativo che serve al server per identificare il client (l utente o il browser). Ad esempio si utilizza per riconoscere un utente loggato.
Cookie analitici I cookie analitici si dividono in: #1 Cookie analitici di PRIMA PARTE #2 Cookie analitici di TERZE PARTI
Cookie analitici di PRIMA PARTE I cookie analitici di prima parte sono quelli memorizzati direttamente dal gestore del sito web visitato. I dati raccolti sono ad esclusiva disposizione del titolare del sito web.
Cookie analitici di PRIMA PARTE Tra le altre cose permettono di: #1 analizzare il comportamento dell utente #2 memorizzare i dati in un database di proprietà dell azienda #3 non permettono di condividere i dati con terze parti
Cookie analitici di PRIMA PARTE COME SEGNALARLI SUL SITO
Cookie analitici di PRIMA PARTE Questi cookie non sono soggetti al blocco preventivo e al banner sul sito, ma devono essere dichiarati nell informativa.
Cookie analitici di PRIMA PARTE Esempio Piwik Un software per l analisi web in tempo reale che fornisce statistiche, report e informazioni sui visitatori. I dati memorizzati non vengono condivisi con terzi.
Cookie analitici di TERZE PARTI Vengono utilizzati per raccogliere informazioni sull'utilizzo del sito da parte dei visitatori. Vengono inviati al sito stesso da domini di terze parti.
Cookie analitici di TERZE PARTI Tra le altre cose permettono di: #1 raccogliere informazioni sulle parole chiave usate per raggiungere il sito #2 raccogliere informazioni sui siti Web da cui provengono i visitatori #3 compilare report e statistiche attraverso strumenti esterni
Cookie analitici di TERZE PARTI COME SEGNALARLI SUL SITO
Cookie analitici di TERZE PARTI Questi cookie vanno bloccati preventivamente (necessitano del banner) e occorre inviare notifica al garante a meno che: #1 venga ridotto il loro potere identificativo (anonimizzazione dell IP) #2 la terza parte non incroci le informazioni raccolte con altri servizi
Cookie analitici di TERZE PARTI Dal pannello di amministrazione di Google Analytics è possibile accettare il Data Processing Agreement, documento in cui Google si impegna a non incrociare i dati tranne che su esplicita richiesta.
Cookie analitici di TERZE PARTI Esempio Google Analytics software di analisi del traffico interno, i cui cookie per l analisi degli utenti vengono installati da Google e quindi sono da considerarsi di terze parti.
Cookie analitici di TERZE PARTI Per avere informazioni accurate sulla geolocalizzazione degli utenti, è necessario visualizzare l intero indirizzo IP degli utenti. Questo non è possibile nel caso in cui si decida di anonimizzare gli IP.
Cookie analitici di TERZE PARTI Esempio Widget Social Sono Iframe che permettono la condivisione delle pagine web sui social. Attraverso essi i social possono installare cookie di profilazione, quindi vanno bloccati preventivamente.
Cookie analitici di TERZE PARTI Esempio Wordpress.com Wordpress.com è una società che permette di affittare siti web che restano però di sua proprietà. Su questi siti il sistema offre degli strumenti per adattarsi alla normativa, ma è compito del titolare del sito adeguarsi.
Cookie di profilazione Sono i cookie utilizzati per tracciare la navigazione dell'utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc.
Cookie di profilazione Tra le altre cose permettono di: #1 memorizzare dati specifici e dettagliati #2 creare profili completi per ogni utente #3 inviare pubblicità mirate agli utenti (remarketing)
Cookie di profilazione COME SEGNALARLI SUL SITO
Cookie di profilazione Questi cookie devono essere bloccati a livello preventivo (necessitano del banner). Essendo utilizzati a scopi di marketing questi devono essere notificati da chiunque abbia accesso ai dati (per la maggioranza dei casi le terze parti).
Cookie di profilazione Esempio Google AdWords piattaforma per la gestione degli annunci pubblicitari su Google che permette di inviare pubblicità mirate agli utenti. Questa piattaforma richiede il blocco con o senza remarketing attivo.
Cookie di profilazione Esempio Google AdSense piattaforma gestita da Google per ospitare i banner pubblicitari di altre aziende sul proprio sito. Questa piattaforma richiede il blocco preventivo.
Cookie di remarketing COSA SONO E COME FUNZIONANO?
Cookie di remarketing L utente visita il tuo sito Il cookie gli assegna un codice
Cookie di remarketing L utente lascia il sito per visitarne altri Trova l annuncio del tuo sito sugli altri siti
Cookie di remarketing Grazie ai cookie l utente può tornare sul tuo sito e acquistare il tuo prodotto
Perché i Cookie possono essere pericolosi per la privacy?
I cookie identificano ogni utente con un determinato codice che, in assenza di adeguati sistemi di sicurezza, può essere scoperto e utilizzato per il furto dei dati ad esso associati.
Esistono numerosi sistemi di sicurezza appositamente creati per salvaguardare i dati sensibili rilevati dai cookie. Il loro utilizzo per fini di marketing non rappresenta una minaccia per la privacy degli utenti.
Cookie Law. Le differenze a livello Europeo L attuazione della Cookie Law varia da Paese a Paese, in quanto la normativa delega la regolamentazione di dettaglio ai Garanti nazionali. Questo ha determinato un estrema frammentazione, con notevoli disparità di applicazione.
Regno Unito Consenso preventivo. Occorre informativa chiara della presenza dei cookie e di come disabilitarli ma non è previsto alcun blocco preventivo, se l utente, dopo aver ricevuto l informativa, continua a navigare il sito è considerato consenso implicito.
Francia Consenso espresso e informato (opt in valido per 13 mesi) ad eccezione dei cookie tecnici. Per quelli di analytics è sufficiente non accettare se è presente un informativa chiara con istruzioni per la disabilitazione. Il consenso può essere anche implicito (con la prosecuzione della navigazione).
Germania Non esistono leggi di recepimento, il governo ritiene che l attuale normativa sia conforme e prevede che ogni Land abbia un proprio Garante, che può imporre regole diverse. Esistono solo specifiche regole per casi particolari (profilazione).
Spagna È richiesta un informativa chiara e visibile. È ritenuto conforme il consenso implicito, purché sia legato ad una specifica azione dell utente. Il gestore del sito deve chiedere il consenso anche per i cookie di terze parti. La Spagna è stato il primo paese ad imporre una multa (3.500 euro) per violazione della Cookie Law.
Come funziona negli stati fuori dall UE? La legge è stata progettata per proteggere la privacy degli individui all'interno dell'ue. Qualsiasi sito web utilizzato dai cittadini dell'unione Europea, deve rispettare le suddette regole, a prescindere dal titolare il sito web. (Un sito americano visitato da un utente italiano dovrà avere il banner se necessario, mentre non lo avrà se visitato da un utente cinese)
Il sito web come vetrina dell azienda in internet
OBBLIGO DI INFORMAZIONI SOCIETARIE 1.Ragione sociale e indirizzo completo della sede legale della società 2. Codice fiscale e Partita IVA 3. Numero di iscrizione e Ufficio del registro delle imprese a cui la Società è iscritta 4. Numero REA 5. Capitale sociale 6. Eventuale stato di liquidazione della società 7. Società o ente alla cui attività di direzione e di coordinamento la società è soggetta Sanzioni: tra 206,00 e 2065,00
OBBLIGO DI INFORMATIVA Art. 13 D.Lgs. 196/03 Finalità e modalità del trattamento dei dati Natura obbligatoria o facoltativa del conferimento dei dati Soggetti ai quali vengono comunicati i dati Diritti dell interessato Estremi identificativi del Titolare e del Responsabile, se designato Sanzioni: tra 6000 e 36000
OBBLIGO DI INFORMATIVA Art. 13 D.Lgs. 196/03 Una spiegazione generale di cosa sono i cookies e della gestione degli stessi tramite le impostazioni dei browser (fornire i link) GARANTIRE L OPT-OUT Spiegazione di come viene prestato il consenso (ovvero scroll, tasto ok, ecc) Descrizione dei cookie di profilazione di prima parte con il relativo modulo di consenso
OBBLIGO DI INFORMATIVA Art. 13 D.Lgs. 196/03 Descrizione delle finalità dei cookie di terza parte. Per ogni terza parte che installa cookie occorre fornire la descrizione delle finalità dei cookie e il link all informativa e al modulo di consenso Qualora fosse difficile individuare tutte le terze parti (catene di redirect advertising) si potrà inserire il link al sito www.youronlinechoices.com Sanzioni: tra 6000 e 36000
OBBLIGO DI INFORMATIVA BREVE Tramite banner, di dimensione adeguata (ben visibile), con colore del fondo contrastante rispetto allo sfondo del sito Indicare l utilizzo di cookie di profilazione e/o di terze parti (statistici o profilanti) es. «Questo sito utilizza cookie, anche di terze parti, per inviarti pubblicità e servizi in linea con le tue preferenze. «Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie clicca QUI. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all uso dei cookie»
OBBLIGO DI INFORMATIVA BREVE Richiedere il consenso all uso dei cookie (anche solo con un click nella pagina del sito o con azione di scroll) Indicare un link all informativa estesa, specificandone l uso per eventuale negazione al consenso Sanzioni: tra 60000 e 120000
Rapporti tra azienda e web-agency. L importanza di un contratto strutturato
Alla base di un buon contratto Chiarire chi è il proprietario del sito web Assicurarsi che venga garantita la portabilità del sito Assicurarsi che la web agency applichi correttamente tutte le misure minime di sicurezza previste dal Garante
Alla base di un buon contratto Vengono fatti i backup? Sono gratuiti in caso di disaster recovery? Chi è il Provider? E presente uno SLA (Service Level Agreement), in particolare per trasferimento dati all estero? In caso di sanzioni per inadempimenti alla Normativa, chi ne risponde?
Alla base di un buon contratto La web agency è stata nominata Responsabile esterno del trattamento, Amministratore di sistema, Titolare autonomo o Responsabile della manutenzione?
Titolarità del sito web La titolarità di un sito web dipende dal contratto stipulato tra l azienda e la web agency.
Con il CMS proprietario si riserva i diritti d autore e la proprietà dei file sorgente dei siti web. Il legale rappresentante del sito web è titolare e responsabile di tutti i contenuti presenti sul sito.
Portabilità del sito web I siti realizzati da Nur possono essere trasferiti in modo completo. Nur rimane proprietario del codice sorgente del CMS (coperto da copyright) che non può essere riutilizzato o modificato. Questo vale sia per siti vetrina che per i siti e-commerce.
Misure minime per la tutela dei dati Le misure minime obbligatorie ai sensi dell'articolo 58, comma 3, sono: autenticazione informatica; adozione di procedure di gestione delle credenziali di autenticazione; utilizzazione di un sistema di autorizzazione; aggiornamento periodico dell'individuazione dell'ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.
Modalità di backup RAID: insieme di dischi ridondanti che garantisce il funzionamento del sito in caso di guasto HARD DISK ESTERNI: vengono fatti backup con scadenza regolare (1 al giorno, 1 a settimana, 1 mese) BACKUP STORICI: salvataggio delle informazioni sul server interno di Nur
Perché è importante fare il backup dei dati del sito web? Violazione e attacco di cracker Dimenticanze nelle scadenze dei servizi web Inavvertita manomissione dei file Modifiche da parte di terzi Recuperare i dati originali in caso di errori Avere una copia sempre aggiornata dei file e quindi modificarli
Chi deve inviare la notifica al Garante? La notifica al Garante deve essere inviata dal titolare dei contenuti del sito, quindi dall azienda.
Chi deve inviare la notifica al Garante? Nur informa i suoi clienti tramite PEC offrendo due alternative: 1. La notifica può essere effettuata in maniera autonoma dal cliente al costo base di 150,00 2. Nur si occupa di effettuare la notifica aggiungendo ai 150,00 i costi di lavorazione
Fare chiarezza sui ruoli È compito del cliente nominare la web agency con il ruolo che ritiene adeguato. Nur per alcuni clienti ricopre il ruolo di AMMINISTRATORE DI SISTEMA
AMMINISTRATORE DI SISTEMA Il responsabile del trattamento si obbliga al rispetto delle misure minime di sicurezza previste dall Allegato B del codice della Privacy. Con riferimento agli Amministratori di Sistema e, in relazione al Provvedimento Generale del Garante del 27 Novembre 2008, il Responsabile del trattamento si obbliga al rispetto delle misure previste, in particolare identificando e designando gli Amministratori di sistema e registrando gli accessi sistematici con modalità tali da assicurare la completezza, l integrità a l inalterabilità degli access log. Il Responsabile, ove richiesto, si impegna sotto la propria responsabilità a comunicare l elenco dei soggetti preposti all amministrazione dei sistemi informatici della società in questione.
CRITICITA DEL PROVVEDIMENTO Applicabilità della Normativa ai siti di Paesi Extra UE Difficoltà tecniche dell applicazione che comporta un aumento dei costi di gestione Piccoli blog rischiano la chiusura Ma l utente è consapevole delle sue operazioni?
VERSO IL NUOVO REGOLAMENTO PRIVACY Normativa uguale per tutti i Paesi membri Introduzione del Data Protection Officer Cancellazione dell obbligo di Notifica Portabilità dei dati
VERSO IL NUOVO REGOLAMENTO PRIVACY Obbligo di segnalazione per il Data Breach Aumento delle sanzioni fino al 2% del fatturato mondiale Introduzione del concetto di privacyby-design Maggior controllo sui Big Data
Q&A Rinaldo Zambello Nur Internet Marketing Direttore commerciale rinaldo.zambello@nur.it https://www.linkedin.com/in/rinaldozambello Armando Iovino PQA Progetto Qualità Ambiente Data protection officer armando.iovino@pqa.it https://www.linkedin.com/pub/armando-iovino/5a/97/a83
NUR S.r.l. Via del Commercio, 1/N - 46030 San Giorgio di Mantova (MN) P.IVA 01902640208 - C.F. 01902640208 - Capitale sociale 19.365,00 i.v. Reg. Imprese di Mantova n. 01902640208 - REA n. 207494 Tel. +39 0376 369728 - Fax. +39 0376 287580 E-mail: info@nur.it Progetto Qualità e Ambiente S.r.l. P.IVA e C.F. 02345100206 Via Parigi n. 38, 46047 Porto Mantovano (MANTOVA) Tel. 0376 387408 - Fax 0376 387385 Apindustria Mantova - Associazione Piccole e Medie Industrie di Mantova e Provincia Via Ilaria Alpi, 4 46100 Mantova (MN) Tel. 0376221823 Fax 0376221815