31/10/23, 12:24 LEGGE SULLA PRIVACY, UNA COMPLETA SINTESI AGGIORNATA

LEGGE SULLA PRIVACY, PRIMA E DOPO IL 10 GENNAIO 2022

La legge sulla privacy in vigore nel 2021 si rifà al regolamento generale per la protezione
dei dati, il GDPR, l’acronimo inglese che sta per l’espressione General Data Protection
Regulation.

Adottato il 27 aprile 2016, e pubblicato sulla Gazzetta ufficiale dell’Unione Europea il 4

maggio 2016, è ad oggi il riferimento normativo comunitario fondamentale in materia.

Operativo dal 25 maggio 2018, tutti gli Stati membri della Comunità hanno dovuto adeguarsi
tramite il recepimento della norma.

Tra i grandi vantaggi del GDPR vi è il sensibile miglioramento del trattamento dei dati
personali degli utenti dell’UE, e soprattutto, come detto, quello di uniformare le regole già
presenti nei singoli Stati comunitari.

Si tratta poi di una risposta, necessarie e urgente, alle sfide poste dagli sviluppi tecnologici (a
inizio ottobre 2017 il WP29 ha adottato tre fondamentali provvedimenti che hanno avuto
importanti ricadute su punti essenziali del GDPR proprio sul tema dell’innovazione
tecnologica) e dai nuovi modelli di crescita economica, tenendo conto delle esigenze di
tutela dei dati personali sempre più avvertite dai cittadini Ue.

Per meglio specificare:

GDPR, ossia il regolamento generale sulla protezione dei dati, pubblicato nel 2016 ed
entrato in vigore a livello europeo il 25 Maggio 2018, sebbene ad oggi molte aziende
italiane non si siano ancora adattate alle regolamentazioni inserite. Composto da 99
articoli, il GDPR è essenziale per archiviare e custodire nel modo corretto i dati
personali che vengono affidati ad una azienda, attraverso dichiarazioni cruciali quali il
consenso informato, la garanzia di sicurezza e le finalità dei dati raccolti.
Codice privacy, Decreto legislativo 196/2003, modificato D.L. 8 ottobre 2021, n. 139,
convertito, con modificazioni, dalla L. 3 dicembre 2021, n. 205, recante “Codice in
materia di protezione dei dati personali, recante disposizioni per l’adeguamento
dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e
del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con
riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e
che abroga la direttiva 95/46/CE”.

Ormai, a causa della velocissima digitalizzazione degli ultimi anni, i termini Privacy
Policy e Cookie Policy sono sempre più utilizzati e le aziende, che devono conformarne l’uso
alle normative previste dal GDPR.

Dal 10 Gennaio 2022, però, le aziende che hanno sede in Italia o che si rivolgono a utenti con
sede in Italia, hanno l’obbligo di adeguarsi alle nuove direttive previste dal GDPR.

Le linee guida contengono i principi chiave che i proprietari dei siti web devono osservare
quando cercano il consenso degli utenti:

https://www.abinnovationconsulting.com/blog/legge-sulla-privacy-una-completa-sintesi-aggiornata/ 1/6
31/10/23, 12:24 LEGGE SULLA PRIVACY, UNA COMPLETA SINTESI AGGIORNATA

Se il sito web utilizza solo cookie tecnici deve dare l’informazione in home page o
nell’informativa del sito
Se, invece, il sito web utilizza anche altri cookie “non tecnici” deve mostrare un banner
a comparsa immediata e di adeguate dimensioni
I banner devono contenere: – Un comando per accettare tutti i cookie o anche altre
tecniche di tracciamento – Un comando per chiudere il banner senza prestare il
consenso all’uso dei cookie (ad esempio: una “X” in alto a destra) – Il link
all’informativa completa
Il sito web dovrà riproporre il banner per il consenso agli utenti che lo hanno negato
solo in alcuni casi (ad esempio: se cambiano le condizioni del servizio o sono trascorsi
almeno 6 mesi dall’ultima richiesta)
Lo scrolling sulla CMP (Consent Management Platforms), ossia la piattaforma di
gestione del consenso, non è automaticamente considerata una forma di consenso
all’uso dei cookie
Non si può essere costretti ad esprimere il consenso per fruire dei contenuti di un sito
(illecito il cosiddetto Cookie Wall).

Nel 2023 arriverà la nuova legge sulla protezione dei dati, infatti il 1° settembre 2023
entreranno in vigore la nuova legge e la nuova ordinanza sulla protezione dei dati.

PRIVACY POLICY E GDPR: I PROTETTORI DEI DATI PERSONALI

In un panorama mondiale sempre più intangibile e immediato, la moneta di scambio più

forte è diventata il dato: i Big e Small Data, infatti, sono alla base di qualsiasi strategia legata
alla vendita di un prodotto o di un servizio.

Big Data e Small Data, cioè i dati quantitativi (che fanno numero) e quelli qualitativi (“pochi
ma buoni”), sono relativi agli utenti che ogni giorno vanno online e navigano attraverso
internet.

La raccolta, il monitoraggio, l’analisi e la condivisione di questi dati consentono di progettare

delle strategie di marketing sempre più mirate ed efficaci, che vadano a toccare le corde
giuste dei consumatori.

Allo stesso modo, anche i siti web che tengono traccia delle visite al sito sono un esempio di
raccolta e impiego dei dati spesso supportati dall’uso dei Cookie, in questo caso effettuati da
strumenti di analisi come Google Analytics 4

Sull’applicazione della normativa vigila l’Autorità Garante per la protezione dei dati personali,
istituita sin dalla L. 675/1996, poi confermata anche dal Testo Unico del 2003.

Considerato il valore crescente che i dati stanno assumendo all’interno della società
moderna, quindi, è emerso quanto sia vitale regolamentare la raccolta dei dati così da
favorire la consona protezione delle informazioni, affinché la persona fisica venga tutelata a
livello legale.

https://www.abinnovationconsulting.com/blog/legge-sulla-privacy-una-completa-sintesi-aggiornata/ 2/6
31/10/23, 12:24 LEGGE SULLA PRIVACY, UNA COMPLETA SINTESI AGGIORNATA

Da qui, hanno preso piede i pilastri della Privacy Policy e della Cookie Policy, amministrate
dal GDPR.

In breve, un’azienda deve identificare quali tipologie di dati tratta e quali attività va a
compiere con i dati raccolti, rispettando i termini di Privacy Policy e le normative del GDPR
attraverso:

La richiesta di consenso chiaro ed esplicito dell’interessato

Il monitoraggio e la gestione di un registro delle attività sempre aggiornato
La nomina di una figura che assuma il ruolo di responsabile della protezione dei dati
La denuncia dei data breach (le eventuali violazioni del regolamento) entro le 72 ore
dall’infrazione.

Nel momento esatto in cui un’azienda archivia dei dati personali di una persona fisica, entra
in possesso di un database da tutelare per legge, anche quando si tratta di informazioni
relative a un singolo dipendente o a un singolo cliente.

COOKIE SOLUTION: ECCO COSA È CAMBIATO DOPO IL 10 GENNAIO 2022

Qual è la differenza tra Privacy Policy e Cookie Policy?

Spesso considerate un tutt’uno quando si parla di tutela dei dati, in realtà questi due testi
trattano di argomenti differenti.

La Privacy Policy è il documento che spiega nel dettaglio il trattamento dei dati
personali, ovvero tutte le operazioni che coinvolgono in qualsiasi modo i dati personali,
quindi quali dati vengono raccolti, come e perché, chi avrà accesso alle informazioni e
per quanto tempo. Inoltre, contiene indicazioni dettagliate sui diritti degli utenti, sul
proprietario del sito o dell’app che ha richiesto i dati e la data effettiva dell’acquisizione
delle informazioni.
La Cookie Policy, invece, può essere inserita all’interno della Privacy Policy o essere un
documento a sé stante ed è un dossier contenente l’elenco di tutti i cookie utilizzati
(suddivisi per tipologie) e gli obiettivi finali dei cookie integrati. Deve includere, in
aggiunta, la lista completa dei soggetti terzi che gestiscono eventuali cookie impiegati
nel sito dell’azienda, come, per esempio, Google Analytics e Google Fonts.

I cookie non sono altro che frammenti di dati che tengono traccia dei movimenti dell’utente
durante la sua navigazione online e servono per personalizzare la sua esperienza sulla base
degli interessi mostrati.

Ecco perché è importante segnalarne l’uso e lo scopo attraverso una Cookie Policy accurata.

Il 10 luglio 2021, il Garante per la Protezione dei Dati Personali si è espresso al pubblico
sottolineando l’importanza sempre più rilevante dell’identità digitale, soggetta a
un’evoluzione tecnologica in costante e veloce mutamento che necessita di aggiunte da

https://www.abinnovationconsulting.com/blog/legge-sulla-privacy-una-completa-sintesi-aggiornata/ 3/6
31/10/23, 12:24 LEGGE SULLA PRIVACY, UNA COMPLETA SINTESI AGGIORNATA

apportare al regolamento, così da rafforzare la sicurezza dei dati online e quella dei cittadini
europei.

Le normative introdotte sono entrate in vigore il 10 gennaio 2022.

Le nuove indicazioni, che coinvolgeranno non solo i siti web di nuova produzione ma anche
tutte le attività online fino ad ora presenti su internet, hanno riguardato soprattutto la
Cookie Solution saranno volte a garantire una privacy online ancora più efficace.

In particolare, il Cookie Banner, il trafiletto che richiede il consenso all’uso dei cookie e che
compare nel momento stesso in cui l’utente entra nel sito o nell’applicazione, deve
contenere:

il pulsante “accetta”, il pulsante “rifiuta” e la possibilità di personalizzare il consenso

attraverso la scelta granulare dei cookie (per dare la possibilità agli utenti di decidere
quali cookie accettare e quali no)
una breve informativa sull’uso e sugli obiettivi dei cookie presenti sul sito
il link che porta alla Cookie Policy

Anche l’acquisizione del consenso deve venire registrato attraverso una dichiarazione
semplice, chiara ed esplicita, raccolta in un database organizzato e accessibile in qualunque
momento, così che la verifica del consenso ottenuto sarà sempre possibile.

LEGGE SULLA PRIVACY, COSA SUCCEDERÀ NEL 2023

Il 1° settembre 2023 entreranno in vigore la nuova legge e la nuova ordinanza sulla

protezione dei dati.

Entrerà in vigore la revisione completa della legge federale sulla protezione dei dati (LPD) e
dell’ordinanza sulla protezione dei dati (OPDa), già approvata dal Parlamento nel settembre
del 2020.

Inizialmente, la Confederazione aveva previsto l’entrata in vigore di questi ordinamenti

giuridici già nella seconda metà del 2022, salvo poi decidere di andare incontro alle aziende
e ai relativi responsabili della protezione dei dati e di concedere loro il tempo sufficiente per
prepararsi.

La legge sulla protezione dei dati e la relativa ordinanza si applicano al trattamento dei dati
personali da parte di privati (e organi federali).

Di conseguenza, a essere interessate sono le aziende private, le associazioni e, in linea

generale, anche le persone private.

Mentre di norma le aziende e le associazioni non possono eludere l’osservanza della legge
sulla protezione dei dati, le persone private sono esentate dal rispetto dei requisiti in materia
di protezione dei dati, purché trattino i dati personali esclusivamente per scopi privati.

https://www.abinnovationconsulting.com/blog/legge-sulla-privacy-una-completa-sintesi-aggiornata/ 4/6
31/10/23, 12:24 LEGGE SULLA PRIVACY, UNA COMPLETA SINTESI AGGIORNATA

Tuttavia, la deroga “per uso personale” si applica solo alle attività di trattamento dei dati
nell’ambito della vita privata e familiare (famiglia ristretta e amici), nel quale normalmente
non rientra un sito web pubblico.

Di conseguenza, i gestori privati di siti web, al pari di quelli commerciali, sono di regola
interessati dalla nuova LPD e OPDa.

L’accesso ai dati personali dovrebbe essere consentito solo alle persone (come collaboratori
o membri di associazioni) che ne hanno realmente bisogno, ad esempio per l’esercizio delle
proprie funzioni.

L’osservanza di tali disposizioni dovrebbe essere garantita tramite l’adozione di misure

tecniche e organizzative (TOMs).

I siti web e gli altri sistemi IT dovrebbero essere tenuti aggiornati da un punto di vista
tecnico, in modo da evitare lacune nella sicurezza che potrebbero avere conseguenze
devastanti.

Tuttavia, qualora venga violata la riservatezza, l’integrità o la disponibilità dei dati personali,
con conseguente rischio elevato per le persone interessate, tale violazione deve essere
segnalata all’incaricato federale della protezione dei dati e della trasparenza (IFPDT).

Il Consiglio federale prevede inoltre di introdurre l’obbligo di segnalare ciberattacchi a

infrastrutture critiche. In questi casi, si dovrebbe informare anche il Centro nazionale per la
cibersicurezza (NCSC) e sarebbe bene farsi consigliare per agire correttamente.

PERCHÉ E COME ADEGUARSI ALLE DIRETTIVE DEL GDPR

Ignorare gli obblighi normativi legati alla tutela dei dati personali significa andare incontro a
sanzioni più o meno pesanti a seconda della gravità dell’inadempienza.

Considerata la consapevolezza sempre più profonda che hanno gli utenti riguardo i rischi e i
diritti legati alla privacy, non è un caso che proprio loro esigano delle punizioni severe per il
mancato rispetto delle direttive.

Le multe assegnate per queste irregolarità possono ammontare a 20.000.000 di euro,

oppure al 2% del fatturato mondiale annuo delle imprese.

Ecco perché, per le aziende, è importante non solo rispettare ma anche conoscere la
regolamentazione della privacy, così da essere preparate, specie quando si introducono
nuovi progetti all’interno della strategia di comunicazione propria o di un cliente.

Il trattamento dei dati, quindi le operazioni che coinvolgono in qualsiasi modo i dati
personali, viene comunicato agli utenti attraverso la Privacy Policy, l’informativa che
interessa quelle tre figure che ricoprono un ruolo primario nella tutela dei dati:

https://www.abinnovationconsulting.com/blog/legge-sulla-privacy-una-completa-sintesi-aggiornata/ 5/6
31/10/23, 12:24 LEGGE SULLA PRIVACY, UNA COMPLETA SINTESI AGGIORNATA

Interessato (art. 4 par. 1, punto 1 del GDPR): si tratta della persona fisica che rilascia i
dati. Può trattarsi di un cliente o di un dipendente
Titolare del trattamento (art. 4, par. 1, punto 7): è la persona fisica o giuridica (quindi
l’azienda) che determina le finalità e le modalità del trattamento dei dati personali
degli utenti.
Responsabile del trattamento, identificato anche come DPO, Data Protection Officer
(art. 4, par. 1, punto 8): si tratta della persona giuridica o fisica che gestisce e
supervisiona il trattamento dei dati per conto del titolare

QUALI SONO LE SANZIONI PREVISTE DAL GDPR?

Violazioni che prevedono un’ammenda fino a 10 milioni di euro o fino al 2% del

fatturato dell’anno precedente per le imprese (da intendersi come gruppo) che, ad
esempio, non comunicano un data breach all’Autorità garante, violano le condizioni sul
consenso dei minori oppure trattano in maniera illecita i dati personali degli utenti;
Violazioni che prevedono un’ammenda fino a 20 milioni di euro o 4% del fatturato per
le imprese nei casi, ad esempio, di trasferimento illecito di dati personali ad altri Paesi
o di inosservanza di un ordine imposto dal Garante.

Inoltre, ai sensi dell’articolo 84, i singoli Stati possono definire ulteriori sanzioni.

In relazione alla punibilità, si deve tener conto in particolare del fatto che, a partire dal 1°
settembre 2023, la violazione di alcuni obblighi comporterà una punibilità che, a differenza
del RGPD, non riguarda l’azienda, ma la persona fisica responsabile.

In ultimo possiamo specificare che le persone responsabili possono essere membri della
direzione o altre persone con poteri decisionali all’interno dell’azienda, ma anche persone
che hanno commesso una violazione degli obblighi (ad es. violazione della segretezza).

https://www.abinnovationconsulting.com/blog/legge-sulla-privacy-una-completa-sintesi-aggiornata/ 6/6