DOMANDE FREQUENTI
Privacy Policy di un Sito Web o di un'App

INDICE
•  In quale lingua va redatta la Privacy Policy, la Cookie Policy e i Termini e Condizioni di un sito multilingua?
•  Quando è necessario il consenso dell’utente per trattare i suoi dati personali?
•  Cosa sono i cookie?
•  Quali sono le tipologie di cookie?
•  Cosa si intende per processo decisionale automatizzato (anche profilazione)
•  Quando si possono trasferire i dati all’estero?

È sempre opportuno che la Privacy Policy e/o la Cookie Policy che vengono pubblicate su un sito/app siano disponibili in tutte le lingue in cui il sito/app è stato tradotto.

La funzione di questi documenti è infatti quella di informare l’utente sull’utilizzo dei dati e dei cookie e l’informativa rientra fra gli obblighi del titolare.

Se tali documenti non fossero disponibili in una delle lingue in cui è reso disponibile il sito, potrebbe essere contestato al titolare di non aver correttamente informato l'utente.

Quanto ai Termini e Condizioni anche questi si consiglia di caricarli tradotti in tutte lingue in cui il sito/app è disponibile. Questo per consentire all'utente di comprendere ed accettare le condizioni di vendita dei prodotti e/o di erogazione dei servizi forniti dal sito/app.

Esempio: un utente che accede a un sito in lingua italiana potrebbe non essere correttamente informato se la privacy policy fosse disponibile solo in inglese.

Esempio: un sito solo in inglese con una privacy policy scritta solo in inglese non sarebbe un problema perché per utilizzare il sito l'utente dovrebbe per forza conoscere la lingua inglese.

Quando è necessario il consenso dell’utente per trattare i suoi dati personali?

Il consenso al trattamento dei dati personali deve essere richiesto

  • per finalità diverse da quelle di erogazione del servizio da parte del sito (per es. finalità di marketing);
  • quando si usa un processo decisionale automatizzato (per es. profilazione)
  • per l'uso di dati sensibili (dati relativi alla salute, alla sfera sessuale, religiosa, politica, alla origine razziale o etnica, all'appartenenza sindacale, nonché dati genetici, dati biometrici, etc.)
  • per il trasferimento dei dati personali a Paese extra UE od organizzazione internazionale in assenza di decisione di adeguatezza e di garanzie adeguate.

Il consenso non va richiesto quando i dati vengono raccolti:

  • da una persona fisica solo per scopi personali o domestici;
  • esclusivamente per l’esecuzione di un contratto (es. indirizzo di consegna per un prodotto acquistato);
  • per obbligo di legge/pubblica utilità (es. richiesta dei dati di fatturazione);
  • per esercitare un interesse legittimo (es. difendersi in giudizio);
  • nel caso in sui si voglia salvaguardare gli interessi vitali dell’interessato o di altra persona fisica.

I cookie sono stringhe di testo di piccole dimensioni che i siti vistati dall’utente inviano al suo terminale dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita dell’utente.

I cookie sono usati per accedere più rapidamente ai servizi online e per migliorare l’esperienza di navigazione dell’utente (monitoraggio di sessioni, memorizzazione di informazioni degli utenti, caricamento più rapido dei contenuti, etc.).

Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (chiamati “terze parti”), sui quali possono risiedere alcuni elementi (immagini, mappe, link, etc.) presenti sul sito che l'utente sta visitando.

Tipologie di cookie

Il Grante per la Privacy distingue i cookie in 3 tipologie:

1. Cookie tecnici: utilizzati al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione
elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente
richiesto dall'abbonato o all'utente a erogare tale servizio". I cookie tecnici ricomprendono:

  • Cookie di sessione: sono utilizzati per la tracciatura di sessioni e memorizzazione di informazioni specifiche riguardanti gli
    utenti che accedono al sito, garantendo la normale navigazione e fruizione del servizio (permettendo, ad esempio, di
    realizzare un acquisto o autenticarsi per accedere ad aree riservate);
  • Cookie di funzionalità: permettono all'utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la
    lingua, i prodotti selezionati per l'acquisto) al fine di migliorare il servizio reso allo stesso;
  • Cookie analitici: utilizzati per raccogliere informazioni, in forma aggregata e anonima, per finalità statistiche sul numero
    degli utenti e su come questi visitano il sito stesso.

2. Cookie di profilazione: usati per creare profili relativi all’utente al fine di inviare messaggi pubblicitari in linea con le
preferenze manifestate durante la navigazione. Data la loro particolare invasività nella sfera privata degli utenti, la normativa
europea e italiana prevede che l'utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere il proprio
consenso.

3. Cookie di terze parti: sono cookie impostati da un sito diverso da quello che si sta visitando. Ad esempio: il sito “Lexdo.it”
potrebbe contenere al suo interno un pulsante “Mi piace” di Facebook. Quel pulsante imposterà un cookie che può essere letto
da Facebook.

Cosa si intende per processo decisionale automatizzato (anche profilazione)

Un processo decisionale automatizzato è inteso come uno strumento che consente al Titolare di assumere decisioni attraverso mezzi tecnologici, senza il coinvolgimento umano, con effetti giuridici o altri effetti significativi simili che riguardano l'utente o che incidano significativamente sulla sua persona.
Ad esempio, quando si raccolgono dati forniti direttamente da un soggetto attraverso la compilazione di un questionario online o ricavati da un “profilo” creato in precedenza sul medesimo sito web (es. credit scoring) che porti al rifiuto automatico di una domanda di credito online. Questo processo automatizzato produce effetti giuridici che lo riguardano o incidono in modo analogo significativamente sulla sua persona.

La profilazione è anch'essa un tipo di trattamento automatizzato, ma finalizzato alla raccolta di informazioni personali dell'interessato per suddividerlo in gruppi a seconda del suo comportamento.
Per stabilire se si fa profilazione si deve verificare se viene eseguito un trattamento automatizzato senza l'intervento umano su dati personali che produca effetti giuridici. Per esempio, è profilazione il tracciamento che valuta il diritto di un cittadino a ottenere un passaporto o a iscriversi a un corso universitario, magari a numero chiuso.

Quindi non si deve trattare di un semplice "tracciamento" del soggetto delle sue abitudini, preferenze, etc. ma di un'analisi finalizzata a prendere decisioni che lo riguardano. In tali casi, il titolare deve fornire al soggetto un’informativa e raccogliere il suo consenso esplicito. 

L'interessato ha il diritto di non essere sottoposto ad un processo decisionale automatizzato tranne quando:

  1. si è autorizzati dal diritto dell'Unione o Stato membro cui è soggetto il titolare del trattamento (ad esempio, il trattamento automatizzato per la prevenzione delle frodi e dell'evasione fiscale);
  2. è necessario per la conclusione o l'esecuzione di un contratto. In tal caso si deve dimostrare che la profilazione è necessaria e che non sono disponibili metodi meno invasivi;
  3. c'è il consenso esplicito dell'interessato.

Negli ultimi due casi, il titolare del trattamento deve però attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’utente, e l'utente deve avere il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

Quando si possono trasferire i dati all’estero?

Si possono liberamente trasferire i dati all'estero in:

  1. Paesi appartenenti all'Unione Europea o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein
  2. Paesi extra UE per i quali è stata emanata una decisione di adeguatezza, quali: Andorra, Argentina, Australia, Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, USA (con certificazione privacy shield).
    Sono in corso le trattative con Giappone e Sud Corea. Gli esiti possono essere monitorati al seguente link.

Nel caso in cui non siano state emanate decisioni di adeguatezza è possibile trasferire i dati extra UE nei seguenti casi:

  • sulla base di accordi contrattuali, stipulati tra il titolare stabilito in Unione Europea e i soggetti destinatari dei dati stabiliti fuori dall’Unione Europea, che forniscano garanzie adeguate agli utenti (esempio l’esercizio da parte di questi dei diritti a loro accordati dal GDPR). Per la conclusione di tali accordi contrattuali, la Commissione Europea ha emanato dei modelli standard;
  • per i gruppi di imprese, il trasferimento deve avvenire sulla base di binding corporate rules che devono essere approvate dall’autorità competente (in Italia, il Garante privacy);
  • se l’utente ha espresso esplicitamente il proprio consenso al trasferimento ed è stato informato dal titolare dell’assenza di una decisione di adeguatezza e dei conseguenti rischi per l'utente;
  • il trasferimento è necessario per l’esecuzione di un contratto concluso tra l’utente e il titolare stabilito in Unione Europea su richiesta dell’utente.
Crea il tuo documento in minuti con la nostra intervista guidata
CREA IL TUO DOCUMENTOCREA IL TUO DOCUMENTO
Crea il tuo documento in minuti con la nostra intervista guidata
CREA IL TUO DOCUMENTOCREA IL TUO DOCUMENTO