Smau Napoli 2014 Aicel
-
Upload
smau -
Category
Technology
-
view
1.609 -
download
1
Transcript of Smau Napoli 2014 Aicel
Sito E commerce:Privacy & Cookies
Relatore: Dott.ssa Patrizia Meo
Associazione Italiana Commercio Elettronico
PrivacyIl concetto di privacy, prevalentemente non giuridico, è di origine anglosassone.
E’ partito come “diritto ad essere lasciati soli” (right to be alone) per poi essere definito quale potere di controllo sulla circolazione delle proprie informazioni personali
1890 Samuel Warren
The right to Privacy
2
3
Promozione
del sito
Ecommerce
Progetto
Sito Internet
4
Privacy
”
PERCHE’ DEVO
PREOCCUPARMI DELLA
PRIVACY SUI SITI
INTERNET?
“5
Codice Privacy
Creare e gestire un sito
ecommerce comporta
necessariamente il trattamento
dei dati personali
Il sito web deve rispettare il Codice Privacy D. Lgs.196/03
6
D.Lgs. 196/03:Terminologia
qualunque operazione o
complesso di operazioni, effettuati
anche senza l'ausilio di strumenti
elettronici, concernenti la raccolta,
la registrazione, l'organizzazione,
la conservazione, la consultazione,
l'elaborazione, la modificazione, la
selezione, l'estrazione, il raffronto,
l'utilizzo, l'interconnessione, il
blocco, la comunicazione, la
diffusione, la cancellazione e la
distruzione di dati, anche se non
registrati in una banca di dati;
il dare conoscenza dei dati
personali a uno o più
soggetti determinati
diversi dall'interessato, dal
rappresentante del titolare
nel territorio dello Stato,
dal responsabile e dagli
incaricati, in qualunque
forma, anche mediante la
loro messa a disposizione
o consultazione;
il dare conoscenza dei
dati personali a soggetti
indeterminati, in
qualunque forma, anche
mediante la loro messa
a disposizione o
consultazione;
TrattamentoComunicazion
eDiffusione
7
Trattamento dati
Il trattamento dei dati inizia nel momento in cui l’utente comincia
a navigare sul sito
8
Informativa Privacy
L’informativa costituisce un adempimento generale cui sono sottoposti tutti i titolari di trattamento.
Qualunque soggetto, pubblico o privato, è tenuto a fornire all’interessato l’informativa.
L’interessato attraverso l’informativa apprende le informazioni essenziali per l’esercizio dei suoi diritti.
diritto alla protezione dei dati diritto a controllare i propri dati
L’informativa all’interessato ed il consenso dello stesso (quando previsto) sono due requisiti fondamentali di legittimità del trattamento dei dati personali.
9
Informativa Privacy
1. L'interessato o la persona presso la quale sono raccolti i dati personali sono
previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di responsabili o
incaricati, e l'ambito di diffusione dei dati medesimi;
e) i diritti di cui all'articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio
dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato
più responsabili è indicato almeno uno di essi, indicando il sito della rete di
comunicazione o le modalità attraverso le quali è conoscibile in modo agevole
l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il
riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato
tale responsabile.
Art. 13 D.Lgs. 196/03
10
Informativa Privacy
Finalità
Natura
obbligatoria o
facoltativa del
conferimento dati
Titolare del
trattament
o
Modalit
àArt. 7
Conseguenze di
un eventuale
rifiuto a
rispondere
Soggetti ai
quali possono
essere
comunicati i
dati
Informativa privacy
11
Informativa Privacy
L’ordine del processo di legittimità del trattamento è il seguente:
INFORMATIVA
CONSENSO
RACCOLTA DATI
Non è sufficiente un’informazione generica che mettal’interessato a conoscenza dell’esistenza di un genericotrattamento di dati personali che lo riguardano. Occorreche tale avviso contenga gli elementi tassativamenteindicati dall’art. 13 Codice Privacy.
12
Privacy Policy
13
Dati di navigazione
I sistemi informatici e le procedure software preposte al funzionamento di questo sito web
acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è
implicita nell'uso dei protocolli di comunicazione di Internet.
Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma
che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da
terzi, permettere di identificare gli utenti.
In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli
utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle
risorse richieste, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la
dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal
server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all'ambiente
informatico dell'utente.
Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso del
sito e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo
l'elaborazione. I dati potrebbero essere utilizzati per l'accertamento di responsabilità in caso di
ipotetici reati informatici ai danni del sito: salva questa eventualità, allo stato i dati sui contatti
web non persistono per più di sette giorni.
Privacy Policy
14
Se il sito prevede che l’utente possa fornire dati volontariamente per accedere ad alcuni servizi:
• Iscrizione al sito
• Lista dei desideri
• Newsletter
In queste ipotesi il Titolare effettua operazioni di trattamento ulterioririspetto a quelle relative alla semplice navigazione nelle pagine del sito,quindi è necessario che l’interessato venga previamente informato circa leoperazioni cui verranno sottoposte le informazioni che vengono da luifornite.
Privacy Policy
15
MODALITA' DEL TRATTAMENTO
I dati personali sono trattati con strumenti automatizzati per il tempo strettamente necessario a
conseguire gli scopi per cui sono stati raccolti.
Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non
corretti ed accessi non autorizzati.
IL "TITOLARE" DEL TRATTAMENTO
A seguito della consultazione di questo sito possono essere trattati dati relativi a persone
identificate o identificabili.
Il "titolare" del loro trattamento è: nnnnnnn
DIRITTI DEGLI INTERESSATI
I soggetti cui si riferiscono i dati personali hanno il diritto in qualunque momento di ottenere la
conferma dell'esistenza o meno dei medesimi dati e di conoscerne il contenuto e
l'origine, verificarne l'esattezza o chiederne l'integrazione o l'aggiornamento, oppure la rettificazione
(articolo 7 del Codice in materia di protezione dei dati personali).
Informativa Privacy: sanzione amministrativa
16
Art. 161
Omessa o
Inidonea informativa
Sanzione amministrativa da € 6.000 ad € 36.000.
Nel caso di ipotesi di minore gravità conseguenti alla natura economica e sociale dell’attività svolta, i limiti minimi e massimi di cui sopra si applicano in misura pari a due quinti.
Nelle ipotesi di maggiore gravità, ad esempio quando ricorrono più violazioni della stessa norma o contemporanee violazioni di più norme commesse anche in tempi diversi in relazione a banche dati di particolare rilevanza o dimensioni, le sanzioni amministrative si applicano in misura da € 50.000 ad € 300.000. Non è ammesso il pagamento in misura ridotta.
In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni sono applicati in misura pari al doppio.
Le sanzioni possono, poi, essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore.
Può, infine, essere applicata la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica. La pubblicazione ha luogo a cura e spese del contravventore.
Consenso
15/11/2014Rev 1.9
Art. 23. Consenso
1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato.
2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.
3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13.
4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.
17
Consenso
Il consenso deve essere:
• Libero
• Specifico per un trattamento individuato
• Documentato per iscritto
• Manifestato in forma scritta per dati sensibili
• Informato (occorre informativa completa e corretta)
18
Espresso
Libero
Specifico
Informato
19
Esempio
Non è libero il consenso prestato quando la società condiziona la registrazione
al suo sito web da parte degli utenti e,
conseguentemente, anche la fruizione dei suoi servizi.
E’ Specifico per ciascuna finalità perseguita:
marketing, profilazione, comunicazione di dati a
terzi.
Esclusione Consenso
15/11/2014Rev 1.9
Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso
1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il
trattamento:
a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato;
c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;
……….
20
Esempio:Mail Marketing
• Invio di e-mail con l'intento di portare a livello più avanzato il rapporto tra un'azienda e i suoi clienti precedenti o attuali e per incoraggiarne la fidelizzazione.
• Invio di e-mail con l'intento di acquisire nuovi clienti o convincere quelli precedenti ad acquistare subito qualcosa.
• Aggiunta di elementi pubblicitari nei messaggi e-mail inviati da altre aziende ai propri clienti.……….
21
Marketing
L’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell’interessato. Invio di e-mail con l'intento di acquisire nuovi clienti o convincere quelli precedenti ad acquistare subito qualcosa.
Tale principio si applica anche a e-mail, fax, mms, sms. Il Codice Privacy ha pertanto accolto il sistema dell’opt-in, che ammette l’invio solo in presenza di consenso preventivo.
22
Linee guida in materia promozionale e
contrasto alla spam (4 luglio 2013)
Consenso
23
il form di raccolta dei dati prevede l'acquisizione di un unico e indistinto consenso, peraltro con il relativo flag gia inserito, degli utenti a fronte delle piu eterogenee finalita dichiarate nell'informativa
Raccolta di dati personali da parte di un sito specializzato per richieste di preventivi (prestiti personali) - 9 ottobre 2014
Garante Privacy
a) dichiara illecito il trattamento di dati personali posto in essere dalla società xxxxx , con sede legale in TTTT, via xxxxxx, tramite il sito Internet www.xxxxx.itper le finalità di profilazione dei clienti, di invio di comunicazioni promozionali, di comunicazione e di cessione di dati a terzi, effettuato dalla medesima senza aver ottenuto un consenso specifico e libero, e documentato per iscritto per ciascuna delle predette finalità;
Garante Privacy: Raccolta di dati via Internet per finalità promozionali: sempre necessario il consenso degli interessati - 15 luglio 2010
24
25
Associazione Italiana Commercio Elettronico
COOKIES
Garante Privacy
Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie - 8 maggio 2014
La nuova normativa per la gestione dei cookie sui siti italiani, entrata in vigore in Gazzetta Ufficiale il 3 Giugno 2014, prevede che sia necessario informare l'utente della presenza di cookie all'interno del proprio sito in modo che il visitatore possa scegliere liberamente se continuare o meno la navigazione.
Direttiva Europea cosidetta E-Privacy (2002/58/CE) modificata con la direttiva 2009/136, regolamenta l’uso delle informazioni memorizzate sul terminale (computer, tablet, telefono,ecc) dell’utente e dunque anche i cookies.
26
Cookies
27
Tempi
Entro il 2 giugno 2015 tutti i siti web
dovranno aver recepito la nuova
normativa aggiornando i propri siti con
un meccanismo che permetta la
notifica all’utente, la gestione della
scelta e la presentazione della nuova
cookie policy
Privacy
”
Come facciamo a tutelare
la privacy degli utenti
senza pregiudicare la
navigazione?
“28
Cookies
29
La normativa riguarda in pratica
chiunque abbia un sito Internet.
Avrà quindi un fortissimo impatto
su un numero enorme di soggetti,
che presentano natura e
caratteristiche profondamente
diverse tra loro.
Cookies?
30
I COOKIE non sono altro che dei piccoli file ditesto che contengono delle informazioni, inparticolare un identificativo (Id) univoco, inmodo da distinguere gli utenti collegati, unadata di scadenza e un pattern che individua ildominio di riferimento (il sito che rilascia ilcookie). Non essendo dei programmi di per séi cookie sono incapaci di porre in essere unaqualsiasi azione, possono solo essere lettidagli script dei siti web.
Tipi di Cookies
31
I cookie essenziali
(strictly necessary)
sono importanti per il
corretto
funzionamento dei
siti, consentono alle
persone di navigare
sui siti internet e di
sfruttarne le
caratteristiche. Veng
ono utilizzati per
registrare
temporaneamente i
dati dei carrelli
elettronici.
I cookie Performance
aiutano a capire come
gli utenti interagiscono
con i siti internet
fornendo informazioni
relative alle sezioni
visitate, il tempo
trascorso sul sito, e
qualsiasi questione che
sia emersa, per
esempio un messaggio
di errore.
Esempio i cookie di
GOOGLE ANALYTICS
o di altri motori di
statistiche WEB.
I cookie di tipi
funzionale alla
navigazione
(Functionality
cookie) sono quei
cookie che registrano
le scelte dell’utente
per permettergli ad es.
di ricordarsi il login, di
registrare i prodotti nel
carrello e ritrovarseli la
prossima sessione,
per salvare la lingua
selezionata
dall’utente.
I cookie di
profilazione
(Advertising
cookie) sono volti a
creare profili relativi
all'utente e vengono
utilizzati al fine di
inviare messaggi
pubblicitari in linea
con le preferenze
manifestate dallo
stesso nell'ambito
della navigazione in
rete.
Cookies
32
Nel momento in cui l'utente accede a un sito web, deve essergli presentata una prima informativa "breve", contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l'utente può accedere al sito), integrata da un'informativa
"estesa", alla quale si accede attraverso un link cliccabile dall'utente.
Individuazione delle modalità semplificateper l'informativa e l'acquisizione del
consenso per l'uso dei cookie
33
Informativa Semplificata
…..
Deve essere indicato chiaramente:
1) che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
2) che il sito consente anche l'invio di cookie di "terze parti", ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
3) un link a una informativa più ampia, con le indicazioni sull'uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di "terze parti";
4) l'indicazione che proseguendo nella navigazione (ad es., accedendo ad un'altra area del sito o selezionando un'immagine o un link) si presta il consenso all'uso dei cookie.
Informativa estesa
34
L'informativa estesa deve contenere tutti gli elementi previsti dall'art. 13 del Codice, descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all'utente di selezionare/deselezionare i singoli cookie. Deve essere raggiungibile mediante un link inserito nell'informativa breve, come pure attraverso un riferimento su ogni pagina del sito, collocato in calce alla medesima.
Informativa estesa: consenso35
Nel medesimo spazio dell'informativa estesa deve essererichiamata la possibilità per l'utente (alla quale fa riferimentoanche l'art. 122, comma 2, del Codice) di manifestare le proprieopzioni in merito all'uso dei cookie da parte del sito ancheattraverso le impostazioni del browser, indicando almeno laprocedura da eseguire per configurare tali impostazioni.
Possibilità per l’utente di deselezionare l’utilizzo delle differentitipologie di cookies (Analytics, Profilazione). Con riferimentoall’utilizzo dei cookie occorre inserire nell’informativa estesa anchelink che rinviino ai siti di terze parti.
FAQ in materia di Cookies
36
sono cookie per i quali non è necessario acquisire il consenso preventivo e informato
dell’utente:
• i cookie impiantati nel terminale dell'utente/contraente direttamente dal titolare del singolo
sito web, se non sono utilizzati per scopi ulteriori: è il caso dei cookie di sessione
utilizzati per "riempire il carrello" negli acquisti online, di quelli di autenticazione,
dei cookie per contenuti multimediali tipo flash player se non superano la durata della
sessione, dei cookie di personalizzazione (ad esempio, per la scelta della lingua di
navigazione), ecc.;
• i cookie utilizzati per analizzare statisticamente gli accessi/le visite al sito (cookie cosiddetti
"analytics") se perseguono esclusivamente scopi statistici e raccolgono informazioni in
forma aggregata; occorre però che l'informativa fornita dal sito web sia chiara e
adeguata e si offrano agli utenti modalità semplici per opporsi (opt-out) al loro impianto
(compresi eventuali meccanismi di anonimizzazione dei cookie stessi).
37
In conformità con i principi generali, è necessario in ogni casoche dell'avvenuta prestazione del consenso dell'utente siatenuta traccia da parte dell'editore, il quale potrebbe a tal fineavvalersi di un apposito cookie tecnico, sistema che non sembraparticolarmente invasivo.
Il Garante stesso suggerisce di farlo… con un cookie tecnico
Consenso
38
Si ricorda che l'uso dei cookie rientra tra i trattamenti soggettiall'obbligo di notificazione al Garante ai sensi dell'art. 37,comma 1, lett. d), del Codice, laddove lo stesso sia finalizzato a"definire il profilo o la personalità dell'interessato, o adanalizzare abitudini o scelte di consumo, ovveroa monitorare l'utilizzo di servizi di comunicazioneelettronica con esclusione dei trattamenti tecnicamenteindispensabili per fornire i servizi medesimi agli utenti".
Profilazione
39
Si ricorda che per il caso di omessainformativa o di informativa inidonea,ossia che non presenti gli elementiindicati, oltre che nelle previsioni di cuiall'art. 13 del Codice, nel presenteprovvedimento, è prevista la sanzioneamministrativa del pagamento di unasomma da seimila a trentaseimila euro(art. 161 del Codice).
L'installazione di cookie sui terminali degliutenti in assenza del preventivo consensodegli stessi comporta, invece, la sanzionedel pagamento di una somma dadiecimila a centoventimila euro (art.162, comma 2-bis, del Codice).
L'omessa o incompleta notificazione alGarante, infine, ai sensi di quanto previstodall'art. 37, comma 1, lett. d), del Codice,è sanzionata con il pagamento di unasomma da ventimila a centoventimilaeuro (art. 163 del Codice).
Sanzioni
Notifica
consenso
informativa