Sito E commerce:Privacy & Cookies

Relatore: Dott.ssa Patrizia Meo

Associazione Italiana Commercio Elettronico

PrivacyIl concetto di privacy, prevalentemente non giuridico, è di origine anglosassone.

E’ partito come “diritto ad essere lasciati soli” (right to be alone) per poi essere definito quale potere di controllo sulla circolazione delle proprie informazioni personali

1890 Samuel Warren

The right to Privacy

2

3

Promozione

del sito

Ecommerce

Progetto

Sito Internet

4

Privacy

”

PERCHE’ DEVO

PREOCCUPARMI DELLA

PRIVACY SUI SITI

INTERNET?

“5

Codice Privacy

Creare e gestire un sito

ecommerce comporta

necessariamente il trattamento

dei dati personali

Il sito web deve rispettare il Codice Privacy D. Lgs.196/03

6

D.Lgs. 196/03:Terminologia

qualunque operazione o

complesso di operazioni, effettuati

anche senza l'ausilio di strumenti

elettronici, concernenti la raccolta,

la registrazione, l'organizzazione,

la conservazione, la consultazione,

l'elaborazione, la modificazione, la

selezione, l'estrazione, il raffronto,

l'utilizzo, l'interconnessione, il

blocco, la comunicazione, la

diffusione, la cancellazione e la

distruzione di dati, anche se non

registrati in una banca di dati;

il dare conoscenza dei dati

personali a uno o più

soggetti determinati

diversi dall'interessato, dal

rappresentante del titolare

nel territorio dello Stato,

dal responsabile e dagli

incaricati, in qualunque

forma, anche mediante la

loro messa a disposizione

o consultazione;

il dare conoscenza dei

dati personali a soggetti

indeterminati, in

qualunque forma, anche

mediante la loro messa

a disposizione o

consultazione;

TrattamentoComunicazion

eDiffusione

7

Trattamento dati

Il trattamento dei dati inizia nel momento in cui l’utente comincia

a navigare sul sito

8

Informativa Privacy

L’informativa costituisce un adempimento generale cui sono sottoposti tutti i titolari di trattamento.

Qualunque soggetto, pubblico o privato, è tenuto a fornire all’interessato l’informativa.

L’interessato attraverso l’informativa apprende le informazioni essenziali per l’esercizio dei suoi diritti.

diritto alla protezione dei dati diritto a controllare i propri dati

L’informativa all’interessato ed il consenso dello stesso (quando previsto) sono due requisiti fondamentali di legittimità del trattamento dei dati personali.

9

Informativa Privacy

1. L'interessato o la persona presso la quale sono raccolti i dati personali sono

previamente informati oralmente o per iscritto circa:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere

comunicati o che possono venirne a conoscenza in qualità di responsabili o

incaricati, e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'articolo 7;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio

dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato

più responsabili è indicato almeno uno di essi, indicando il sito della rete di

comunicazione o le modalità attraverso le quali è conoscibile in modo agevole

l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il

riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato

tale responsabile.

Art. 13 D.Lgs. 196/03

10

Informativa Privacy

Finalità

Natura

obbligatoria o

facoltativa del

conferimento dati

Titolare del

trattament

o

Modalit

àArt. 7

Conseguenze di

un eventuale

rifiuto a

rispondere

Soggetti ai

quali possono

essere

comunicati i

dati

Informativa privacy

11

Informativa Privacy

L’ordine del processo di legittimità del trattamento è il seguente:

INFORMATIVA

CONSENSO

RACCOLTA DATI

Non è sufficiente un’informazione generica che mettal’interessato a conoscenza dell’esistenza di un genericotrattamento di dati personali che lo riguardano. Occorreche tale avviso contenga gli elementi tassativamenteindicati dall’art. 13 Codice Privacy.

12

Privacy Policy

13

Dati di navigazione

I sistemi informatici e le procedure software preposte al funzionamento di questo sito web

acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è

implicita nell'uso dei protocolli di comunicazione di Internet.

Si tratta di informazioni che non sono raccolte per essere associate a interessati identificati, ma

che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da

terzi, permettere di identificare gli utenti.

In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli

utenti che si connettono al sito, gli indirizzi in notazione URI (Uniform Resource Identifier) delle

risorse richieste, l'orario della richiesta, il metodo utilizzato nel sottoporre la richiesta al server, la

dimensione del file ottenuto in risposta, il codice numerico indicante lo stato della risposta data dal

server (buon fine, errore, ecc.) ed altri parametri relativi al sistema operativo e all'ambiente

informatico dell'utente.

Questi dati vengono utilizzati al solo fine di ricavare informazioni statistiche anonime sull'uso del

sito e per controllarne il corretto funzionamento e vengono cancellati immediatamente dopo

l'elaborazione. I dati potrebbero essere utilizzati per l'accertamento di responsabilità in caso di

ipotetici reati informatici ai danni del sito: salva questa eventualità, allo stato i dati sui contatti

web non persistono per più di sette giorni.

Privacy Policy

14

Se il sito prevede che l’utente possa fornire dati volontariamente per accedere ad alcuni servizi:

• Iscrizione al sito

• Lista dei desideri

• Newsletter

In queste ipotesi il Titolare effettua operazioni di trattamento ulterioririspetto a quelle relative alla semplice navigazione nelle pagine del sito,quindi è necessario che l’interessato venga previamente informato circa leoperazioni cui verranno sottoposte le informazioni che vengono da luifornite.

Privacy Policy

15

MODALITA' DEL TRATTAMENTO

I dati personali sono trattati con strumenti automatizzati per il tempo strettamente necessario a

conseguire gli scopi per cui sono stati raccolti.

Specifiche misure di sicurezza sono osservate per prevenire la perdita dei dati, usi illeciti o non

corretti ed accessi non autorizzati.

IL "TITOLARE" DEL TRATTAMENTO

A seguito della consultazione di questo sito possono essere trattati dati relativi a persone

identificate o identificabili.

Il "titolare" del loro trattamento è: nnnnnnn

DIRITTI DEGLI INTERESSATI

I soggetti cui si riferiscono i dati personali hanno il diritto in qualunque momento di ottenere la

conferma dell'esistenza o meno dei medesimi dati e di conoscerne il contenuto e

l'origine, verificarne l'esattezza o chiederne l'integrazione o l'aggiornamento, oppure la rettificazione

(articolo 7 del Codice in materia di protezione dei dati personali).

Informativa Privacy: sanzione amministrativa

16

Art. 161

Omessa o

Inidonea informativa

Sanzione amministrativa da € 6.000 ad € 36.000.

Nel caso di ipotesi di minore gravità conseguenti alla natura economica e sociale dell’attività svolta, i limiti minimi e massimi di cui sopra si applicano in misura pari a due quinti.

Nelle ipotesi di maggiore gravità, ad esempio quando ricorrono più violazioni della stessa norma o contemporanee violazioni di più norme commesse anche in tempi diversi in relazione a banche dati di particolare rilevanza o dimensioni, le sanzioni amministrative si applicano in misura da € 50.000 ad € 300.000. Non è ammesso il pagamento in misura ridotta.

In altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, i limiti minimo e massimo delle sanzioni sono applicati in misura pari al doppio.

Le sanzioni possono, poi, essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore.

Può, infine, essere applicata la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica. La pubblicazione ha luogo a cura e spese del contravventore.

Consenso

15/11/2014Rev 1.9

Art. 23. Consenso

1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato.

2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso.

3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13.

4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.

17

Consenso

Il consenso deve essere:

• Libero

• Specifico per un trattamento individuato

• Documentato per iscritto

• Manifestato in forma scritta per dati sensibili

• Informato (occorre informativa completa e corretta)

18

Espresso

Libero

Specifico

Informato

19

Esempio

Non è libero il consenso prestato quando la società condiziona la registrazione

al suo sito web da parte degli utenti e,

conseguentemente, anche la fruizione dei suoi servizi.

E’ Specifico per ciascuna finalità perseguita:

marketing, profilazione, comunicazione di dati a

terzi.

Esclusione Consenso

15/11/2014Rev 1.9

Art. 24. Casi nei quali può essere effettuato il trattamento senza consenso

1. Il consenso non è richiesto, oltre che nei casi previsti nella Parte II, quando il

trattamento:

a) è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;

b) è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato;

c) riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati;

……….

20

Esempio:Mail Marketing

• Invio di e-mail con l'intento di portare a livello più avanzato il rapporto tra un'azienda e i suoi clienti precedenti o attuali e per incoraggiarne la fidelizzazione.

• Invio di e-mail con l'intento di acquisire nuovi clienti o convincere quelli precedenti ad acquistare subito qualcosa.

• Aggiunta di elementi pubblicitari nei messaggi e-mail inviati da altre aziende ai propri clienti.……….

21

Marketing

L’uso di sistemi automatizzati di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso dell’interessato. Invio di e-mail con l'intento di acquisire nuovi clienti o convincere quelli precedenti ad acquistare subito qualcosa.

Tale principio si applica anche a e-mail, fax, mms, sms. Il Codice Privacy ha pertanto accolto il sistema dell’opt-in, che ammette l’invio solo in presenza di consenso preventivo.

22

Linee guida in materia promozionale e

contrasto alla spam (4 luglio 2013)

Consenso

23

il form di raccolta dei dati prevede l'acquisizione di un unico e indistinto consenso, peraltro con il relativo flag gia inserito, degli utenti a fronte delle piu eterogenee finalita dichiarate nell'informativa

Raccolta di dati personali da parte di un sito specializzato per richieste di preventivi (prestiti personali) - 9 ottobre 2014

Garante Privacy

a) dichiara illecito il trattamento di dati personali posto in essere dalla società xxxxx , con sede legale in TTTT, via xxxxxx, tramite il sito Internet www.xxxxx.itper le finalità di profilazione dei clienti, di invio di comunicazioni promozionali, di comunicazione e di cessione di dati a terzi, effettuato dalla medesima senza aver ottenuto un consenso specifico e libero, e documentato per iscritto per ciascuna delle predette finalità;

Garante Privacy: Raccolta di dati via Internet per finalità promozionali: sempre necessario il consenso degli interessati - 15 luglio 2010

24

25

Associazione Italiana Commercio Elettronico

COOKIES

Garante Privacy

Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie - 8 maggio 2014

La nuova normativa per la gestione dei cookie sui siti italiani, entrata in vigore in Gazzetta Ufficiale il 3 Giugno 2014, prevede che sia necessario informare l'utente della presenza di cookie all'interno del proprio sito in modo che il visitatore possa scegliere liberamente se continuare o meno la navigazione.

Direttiva Europea cosidetta E-Privacy (2002/58/CE) modificata con la direttiva 2009/136, regolamenta l’uso delle informazioni memorizzate sul terminale (computer, tablet, telefono,ecc) dell’utente e dunque anche i cookies.

26

Cookies

27

Tempi

Entro il 2 giugno 2015 tutti i siti web

dovranno aver recepito la nuova

normativa aggiornando i propri siti con

un meccanismo che permetta la

notifica all’utente, la gestione della

scelta e la presentazione della nuova

cookie policy

Privacy

”

Come facciamo a tutelare

la privacy degli utenti

senza pregiudicare la

navigazione?

“28

Cookies

29

La normativa riguarda in pratica

chiunque abbia un sito Internet.

Avrà quindi un fortissimo impatto

su un numero enorme di soggetti,

che presentano natura e

caratteristiche profondamente

diverse tra loro.

Cookies?

30

I COOKIE non sono altro che dei piccoli file ditesto che contengono delle informazioni, inparticolare un identificativo (Id) univoco, inmodo da distinguere gli utenti collegati, unadata di scadenza e un pattern che individua ildominio di riferimento (il sito che rilascia ilcookie). Non essendo dei programmi di per séi cookie sono incapaci di porre in essere unaqualsiasi azione, possono solo essere lettidagli script dei siti web.

Tipi di Cookies

31

I cookie essenziali

(strictly necessary)

sono importanti per il

corretto

funzionamento dei

siti, consentono alle

persone di navigare

sui siti internet e di

sfruttarne le

caratteristiche. Veng

ono utilizzati per

registrare

temporaneamente i

dati dei carrelli

elettronici.

I cookie Performance

aiutano a capire come

gli utenti interagiscono

con i siti internet

fornendo informazioni

relative alle sezioni

visitate, il tempo

trascorso sul sito, e

qualsiasi questione che

sia emersa, per

esempio un messaggio

di errore.

Esempio i cookie di

GOOGLE ANALYTICS

o di altri motori di

statistiche WEB.

I cookie di tipi

funzionale alla

navigazione

(Functionality

cookie) sono quei

cookie che registrano

le scelte dell’utente

per permettergli ad es.

di ricordarsi il login, di

registrare i prodotti nel

carrello e ritrovarseli la

prossima sessione,

per salvare la lingua

selezionata

dall’utente.

I cookie di

profilazione

(Advertising

cookie) sono volti a

creare profili relativi

all'utente e vengono

utilizzati al fine di

inviare messaggi

pubblicitari in linea

con le preferenze

manifestate dallo

stesso nell'ambito

della navigazione in

rete.

Cookies

32

Nel momento in cui l'utente accede a un sito web, deve essergli presentata una prima informativa "breve", contenuta in un banner a comparsa immediata sulla home page (o altra pagina tramite la quale l'utente può accedere al sito), integrata da un'informativa

"estesa", alla quale si accede attraverso un link cliccabile dall'utente.

Individuazione delle modalità semplificateper l'informativa e l'acquisizione del

consenso per l'uso dei cookie

33

Informativa Semplificata

…..

Deve essere indicato chiaramente:

1) che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;

2) che il sito consente anche l'invio di cookie di "terze parti", ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;

3) un link a una informativa più ampia, con le indicazioni sull'uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente o collegandosi ai vari siti nel caso dei cookie di "terze parti";

4) l'indicazione che proseguendo nella navigazione (ad es., accedendo ad un'altra area del sito o selezionando un'immagine o un link) si presta il consenso all'uso dei cookie.

Informativa estesa

34

L'informativa estesa deve contenere tutti gli elementi previsti dall'art. 13 del Codice, descrivere in maniera specifica e analitica le caratteristiche e le finalità dei cookie installati dal sito e consentire all'utente di selezionare/deselezionare i singoli cookie. Deve essere raggiungibile mediante un link inserito nell'informativa breve, come pure attraverso un riferimento su ogni pagina del sito, collocato in calce alla medesima.

Informativa estesa: consenso35

Nel medesimo spazio dell'informativa estesa deve essererichiamata la possibilità per l'utente (alla quale fa riferimentoanche l'art. 122, comma 2, del Codice) di manifestare le proprieopzioni in merito all'uso dei cookie da parte del sito ancheattraverso le impostazioni del browser, indicando almeno laprocedura da eseguire per configurare tali impostazioni.

Possibilità per l’utente di deselezionare l’utilizzo delle differentitipologie di cookies (Analytics, Profilazione). Con riferimentoall’utilizzo dei cookie occorre inserire nell’informativa estesa anchelink che rinviino ai siti di terze parti.

FAQ in materia di Cookies

36

sono cookie per i quali non è necessario acquisire il consenso preventivo e informato

dell’utente:

• i cookie impiantati nel terminale dell'utente/contraente direttamente dal titolare del singolo

sito web, se non sono utilizzati per scopi ulteriori: è il caso dei cookie di sessione

utilizzati per "riempire il carrello" negli acquisti online, di quelli di autenticazione,

dei cookie per contenuti multimediali tipo flash player se non superano la durata della

sessione, dei cookie di personalizzazione (ad esempio, per la scelta della lingua di

navigazione), ecc.;

• i cookie utilizzati per analizzare statisticamente gli accessi/le visite al sito (cookie cosiddetti

"analytics") se perseguono esclusivamente scopi statistici e raccolgono informazioni in

forma aggregata; occorre però che l'informativa fornita dal sito web sia chiara e

adeguata e si offrano agli utenti modalità semplici per opporsi (opt-out) al loro impianto

(compresi eventuali meccanismi di anonimizzazione dei cookie stessi).

37

In conformità con i principi generali, è necessario in ogni casoche dell'avvenuta prestazione del consenso dell'utente siatenuta traccia da parte dell'editore, il quale potrebbe a tal fineavvalersi di un apposito cookie tecnico, sistema che non sembraparticolarmente invasivo.

Il Garante stesso suggerisce di farlo… con un cookie tecnico

Consenso

38

Si ricorda che l'uso dei cookie rientra tra i trattamenti soggettiall'obbligo di notificazione al Garante ai sensi dell'art. 37,comma 1, lett. d), del Codice, laddove lo stesso sia finalizzato a"definire il profilo o la personalità dell'interessato, o adanalizzare abitudini o scelte di consumo, ovveroa monitorare l'utilizzo di servizi di comunicazioneelettronica con esclusione dei trattamenti tecnicamenteindispensabili per fornire i servizi medesimi agli utenti".

Profilazione

39

Si ricorda che per il caso di omessainformativa o di informativa inidonea,ossia che non presenti gli elementiindicati, oltre che nelle previsioni di cuiall'art. 13 del Codice, nel presenteprovvedimento, è prevista la sanzioneamministrativa del pagamento di unasomma da seimila a trentaseimila euro(art. 161 del Codice).

L'installazione di cookie sui terminali degliutenti in assenza del preventivo consensodegli stessi comporta, invece, la sanzionedel pagamento di una somma dadiecimila a centoventimila euro (art.162, comma 2-bis, del Codice).

L'omessa o incompleta notificazione alGarante, infine, ai sensi di quanto previstodall'art. 37, comma 1, lett. d), del Codice,è sanzionata con il pagamento di unasomma da ventimila a centoventimilaeuro (art. 163 del Codice).

Sanzioni

Notifica

consenso

informativa

Grazie!

www.aicel.org

patrizia.meo@aicel.org

www.patriziameo.it

info@patriziameo.it