LEGGE SULLA PRIVACY, UNA COMPLETA

SINTESI AGGIORNATA
Tra le tematiche più popolari vi è senza dubbio la protezione
dei dati personali, argomento che sta a cuore a molti, in
particolar modo nell’ottica della tutela delle informazioni verso
il loro utilizzo da parte di aziende e privati. L’interrogativo da
porsi è: cosa dice la normativa europea aggiornata al 2021
sull’argomento? Vediamo come l’Italia ha recepito il GDPR con
la propria legge sulla privacy e le modifiche previste nel 2023.
LEGGE SULLA PRIVACY, PRIMA E DOPO IL 10 GENNAIO 2022
La legge sulla privacy in vigore nel 2021 si rifà al regolamento generale per
la protezione dei dati, il GDPR, l’acronimo inglese che sta per l’espressione
General Data Protection Regulation.

Adottato il 27 aprile 2016, e pubblicato sulla Gazzetta ufficiale dell’Unione

Europea il 4 maggio 2016, è ad oggi il riferimento normativo comunitario
fondamentale in materia.

Operativo dal 25 maggio 2018, tutti gli Stati membri della Comunità hanno
dovuto adeguarsi tramite il recepimento della norma.

Tra i grandi vantaggi del GDPR vi è il sensibile miglioramento del trattamento

dei dati personali degli utenti dell’UE, e soprattutto, come detto, quello di
uniformare le regole già presenti nei singoli Stati comunitari.

Si tratta poi di una risposta, necessarie e urgente, alle sfide poste dagli sviluppi
tecnologici (a inizio ottobre 2017 il WP29 ha adottato tre fondamentali
provvedimenti che hanno avuto importanti ricadute su punti essenziali del
GDPR proprio sul tema dell’innovazione tecnologica) e dai nuovi modelli di
crescita economica, tenendo conto delle esigenze di tutela dei dati personali
sempre più avvertite dai cittadini Ue.

Per meglio specificare:

• GDPR, ossia il regolamento generale sulla protezione dei dati,

pubblicato nel 2016 ed entrato in vigore a livello europeo il 25
Maggio 2018, sebbene ad oggi molte aziende italiane non si siano
ancora adattate alle regolamentazioni inserite. Composto da 99
articoli, il GDPR è essenziale per archiviare e custodire nel modo
corretto i dati personali che vengono affidati ad una azienda,
 attraverso dichiarazioni cruciali quali il consenso informato, la
garanzia di sicurezza e le finalità dei dati raccolti.
• Codice privacy, Decreto legislativo 196/2003, modificato D.L. 8
ottobre 2021, n. 139, convertito, con modificazioni, dalla L. 3
dicembre 2021, n. 205, recante “Codice in materia di protezione dei
dati personali, recante disposizioni per l’adeguamento
dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del
Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla
protezione delle persone fisiche con riguardo al trattamento dei dati
personali, nonché alla libera circolazione di tali dati e che abroga la
direttiva 95/46/CE”.
Ormai, a causa della velocissima digitalizzazione degli ultimi anni, i
termini Privacy Policy e Cookie Policy sono sempre più utilizzati e le aziende,
che devono conformarne l’uso alle normative previste dal GDPR.

Dal 10 Gennaio 2022, però, le aziende che hanno sede in Italia o che si
rivolgono a utenti con sede in Italia, hanno l’obbligo di adeguarsi alle nuove
direttive previste dal GDPR.

Le linee guida contengono i principi chiave che i proprietari dei siti web devono
osservare quando cercano il consenso degli utenti:

• Se il sito web utilizza solo cookie tecnici deve dare l’informazione in

home page o nell’informativa del sito
• Se, invece, il sito web utilizza anche altri cookie “non tecnici” deve
mostrare un banner a comparsa immediata e di adeguate
dimensioni
• I banner devono contenere: – Un comando per accettare tutti i
cookie o anche altre tecniche di tracciamento – Un comando per
chiudere il banner senza prestare il consenso all’uso dei cookie (ad
esempio: una “X” in alto a destra) – Il link all’informativa completa
• Il sito web dovrà riproporre il banner per il consenso agli utenti che
lo hanno negato solo in alcuni casi (ad esempio: se cambiano le
condizioni del servizio o sono trascorsi almeno 6 mesi dall’ultima
richiesta)
• Lo scrolling sulla CMP (Consent Management Platforms), ossia la
piattaforma di gestione del consenso, non è automaticamente
considerata una forma di consenso all’uso dei cookie
• Non si può essere costretti ad esprimere il consenso per fruire dei
contenuti di un sito (illecito il cosiddetto Cookie Wall).
Nel 2023 arriverà la nuova legge sulla protezione dei dati, infatti il 1° settembre
2023 entreranno in vigore la nuova legge e la nuova ordinanza sulla protezione
dei dati.
PRIVACY POLICY E GDPR: I PROTETTORI DEI DATI
PERSONALI
In un panorama mondiale sempre più intangibile e immediato, la moneta di
scambio più forte è diventata il dato: i Big e Small Data, infatti, sono alla base di
qualsiasi strategia legata alla vendita di un prodotto o di un servizio.

Big Data e Small Data, cioè i dati quantitativi (che fanno numero) e quelli
qualitativi (“pochi ma buoni”), sono relativi agli utenti che ogni giorno vanno
online e navigano attraverso internet.

La raccolta, il monitoraggio, l’analisi e la condivisione di questi dati consentono

di progettare delle strategie di marketing sempre più mirate ed efficaci, che
vadano a toccare le corde giuste dei consumatori.

Allo stesso modo, anche i siti web che tengono traccia delle visite al sito sono un
esempio di raccolta e impiego dei dati spesso supportati dall’uso dei Cookie, in
questo caso effettuati da strumenti di analisi come Google Analytics 4

Sull’applicazione della normativa vigila l’Autorità Garante per la protezione dei

dati personali, istituita sin dalla L. 675/1996, poi confermata anche dal Testo
Unico del 2003.

Considerato il valore crescente che i dati stanno assumendo all’interno della

società moderna, quindi, è emerso quanto sia vitale regolamentare la raccolta
dei dati così da favorire la consona protezione delle informazioni, affinché la
persona fisica venga tutelata a livello legale.

Da qui, hanno preso piede i pilastri della Privacy Policy e della Cookie Policy,
amministrate dal GDPR.

In breve, un’azienda deve identificare quali tipologie di dati tratta e quali attività
va a compiere con i dati raccolti, rispettando i termini di Privacy Policy e le
normative del GDPR attraverso:

• La richiesta di consenso chiaro ed esplicito dell’interessato

• Il monitoraggio e la gestione di un registro delle attività sempre
aggiornato
• La nomina di una figura che assuma il ruolo di responsabile della
protezione dei dati
• La denuncia dei data breach (le eventuali violazioni del
regolamento) entro le 72 ore dall’infrazione.
Nel momento esatto in cui un’azienda archivia dei dati personali di una persona
fisica, entra in possesso di un database da tutelare per legge, anche quando si
tratta di informazioni relative a un singolo dipendente o a un singolo cliente.
COOKIE SOLUTION: ECCO COSA È CAMBIATO DOPO IL 10
GENNAIO 2022
Qual è la differenza tra Privacy Policy e Cookie Policy?

Spesso considerate un tutt’uno quando si parla di tutela dei dati, in realtà questi
due testi trattano di argomenti differenti.

• La Privacy Policy è il documento che spiega nel dettaglio il

trattamento dei dati personali, ovvero tutte le operazioni che
coinvolgono in qualsiasi modo i dati personali, quindi quali dati
vengono raccolti, come e perché, chi avrà accesso alle informazioni
e per quanto tempo. Inoltre, contiene indicazioni dettagliate sui diritti
degli utenti, sul proprietario del sito o dell’app che ha richiesto i dati
e la data effettiva dell’acquisizione delle informazioni.
• La Cookie Policy, invece, può essere inserita all’interno della
Privacy Policy o essere un documento a sé stante ed è un dossier
contenente l’elenco di tutti i cookie utilizzati (suddivisi per tipologie)
e gli obiettivi finali dei cookie integrati. Deve includere, in aggiunta,
la lista completa dei soggetti terzi che gestiscono eventuali cookie
impiegati nel sito dell’azienda, come, per esempio, Google Analytics
e Google Fonts.
I cookie non sono altro che frammenti di dati che tengono traccia dei movimenti
dell’utente durante la sua navigazione online e servono per personalizzare la
sua esperienza sulla base degli interessi mostrati.

Ecco perché è importante segnalarne l’uso e lo scopo attraverso una Cookie

Policy accurata.

Il 10 luglio 2021, il Garante per la Protezione dei Dati Personali si è espresso al

pubblico sottolineando l’importanza sempre più rilevante dell’identità digitale,
soggetta a un’evoluzione tecnologica in costante e veloce mutamento che
necessita di aggiunte da apportare al regolamento, così da rafforzare la
sicurezza dei dati online e quella dei cittadini europei.

Le normative introdotte sono entrate in vigore il 10 gennaio 2022.

Le nuove indicazioni, che coinvolgeranno non solo i siti web di nuova

produzione ma anche tutte le attività online fino ad ora presenti su internet,
hanno riguardato soprattutto la Cookie Solution saranno volte a garantire una
privacy online ancora più efficace.

In particolare, il Cookie Banner, il trafiletto che richiede il consenso all’uso dei

cookie e che compare nel momento stesso in cui l’utente entra nel sito o
nell’applicazione, deve contenere:

• il pulsante “accetta”, il pulsante “rifiuta” e la possibilità di

personalizzare il consenso attraverso la scelta granulare dei cookie
 (per dare la possibilità agli utenti di decidere quali cookie accettare e
quali no)
• una breve informativa sull’uso e sugli obiettivi dei cookie presenti sul
sito
• il link che porta alla Cookie Policy
Anche l’acquisizione del consenso deve venire registrato attraverso una
dichiarazione semplice, chiara ed esplicita, raccolta in un database organizzato
e accessibile in qualunque momento, così che la verifica del consenso ottenuto
sarà sempre possibile.
LEGGE SULLA PRIVACY, COSA SUCCEDERÀ NEL 2023
Il 1° settembre 2023 entreranno in vigore la nuova legge e la nuova ordinanza
sulla protezione dei dati.

Entrerà in vigore la revisione completa della legge federale sulla protezione dei
dati (LPD) e dell’ordinanza sulla protezione dei dati (OPDa), già approvata dal
Parlamento nel settembre del 2020.

Inizialmente, la Confederazione aveva previsto l’entrata in vigore di questi

ordinamenti giuridici già nella seconda metà del 2022, salvo poi decidere di
andare incontro alle aziende e ai relativi responsabili della protezione dei dati e
di concedere loro il tempo sufficiente per prepararsi.

La legge sulla protezione dei dati e la relativa ordinanza si applicano al

trattamento dei dati personali da parte di privati (e organi federali).

Di conseguenza, a essere interessate sono le aziende private, le associazioni e,

in linea generale, anche le persone private.

Mentre di norma le aziende e le associazioni non possono eludere l’osservanza

della legge sulla protezione dei dati, le persone private sono esentate dal
rispetto dei requisiti in materia di protezione dei dati, purché trattino i dati
personali esclusivamente per scopi privati.

Tuttavia, la deroga “per uso personale” si applica solo alle attività di trattamento
dei dati nell’ambito della vita privata e familiare (famiglia ristretta e amici), nel
quale normalmente non rientra un sito web pubblico.

Di conseguenza, i gestori privati di siti web, al pari di quelli commerciali, sono di

regola interessati dalla nuova LPD e OPDa.

L’accesso ai dati personali dovrebbe essere consentito solo alle persone (come
collaboratori o membri di associazioni) che ne hanno realmente bisogno, ad
esempio per l’esercizio delle proprie funzioni.
L’osservanza di tali disposizioni dovrebbe essere garantita tramite l’adozione di
misure tecniche e organizzative (TOMs).

I siti web e gli altri sistemi IT dovrebbero essere tenuti aggiornati da un punto di
vista tecnico, in modo da evitare lacune nella sicurezza che potrebbero avere
conseguenze devastanti.

Tuttavia, qualora venga violata la riservatezza, l’integrità o la disponibilità dei

dati personali, con conseguente rischio elevato per le persone interessate, tale
violazione deve essere segnalata all’incaricato federale della protezione dei dati
e della trasparenza (IFPDT).

Il Consiglio federale prevede inoltre di introdurre l’obbligo di segnalare

ciberattacchi a infrastrutture critiche. In questi casi, si dovrebbe informare anche
il Centro nazionale per la cibersicurezza (NCSC) e sarebbe bene farsi
consigliare per agire correttamente.
PERCHÉ E COME ADEGUARSI ALLE DIRETTIVE DEL GDPR
Ignorare gli obblighi normativi legati alla tutela dei dati personali significa andare
incontro a sanzioni più o meno pesanti a seconda della gravità
dell’inadempienza.

Considerata la consapevolezza sempre più profonda che hanno gli utenti

riguardo i rischi e i diritti legati alla privacy, non è un caso che proprio loro
esigano delle punizioni severe per il mancato rispetto delle direttive.

Le multe assegnate per queste irregolarità possono ammontare a 20.000.000 di

euro, oppure al 2% del fatturato mondiale annuo delle imprese.

Ecco perché, per le aziende, è importante non solo rispettare ma anche

conoscere la regolamentazione della privacy, così da essere preparate, specie
quando si introducono nuovi progetti all’interno della strategia di comunicazione
propria o di un cliente.

Il trattamento dei dati, quindi le operazioni che coinvolgono in qualsiasi modo i

dati personali, viene comunicato agli utenti attraverso la Privacy Policy,
l’informativa che interessa quelle tre figure che ricoprono un ruolo primario nella
tutela dei dati:

• Interessato (art. 4 par. 1, punto 1 del GDPR): si tratta della persona

fisica che rilascia i dati. Può trattarsi di un cliente o di un dipendente
• Titolare del trattamento (art. 4, par. 1, punto 7): è la persona fisica o
giuridica (quindi l’azienda) che determina le finalità e le modalità del
trattamento dei dati personali degli utenti.
 • Responsabile del trattamento, identificato anche come DPO, Data
Protection Officer (art. 4, par. 1, punto 8): si tratta della persona
giuridica o fisica che gestisce e supervisiona il trattamento dei dati
per conto del titolare
QUALI SONO LE SANZIONI PREVISTE DAL GDPR?
• Violazioni che prevedono un’ammenda fino a 10 milioni di euro o
fino al 2% del fatturato dell’anno precedente per le imprese (da
intendersi come gruppo) che, ad esempio, non comunicano un data
breach all’Autorità garante, violano le condizioni sul consenso dei
minori oppure trattano in maniera illecita i dati personali degli utenti;
• Violazioni che prevedono un’ammenda fino a 20 milioni di euro o
4% del fatturato per le imprese nei casi, ad esempio, di
trasferimento illecito di dati personali ad altri Paesi o di inosservanza
di un ordine imposto dal Garante.
Inoltre, ai sensi dell’articolo 84, i singoli Stati possono definire ulteriori
sanzioni.

In relazione alla punibilità, si deve tener conto in particolare del fatto che, a
partire dal 1° settembre 2023, la violazione di alcuni obblighi comporterà una
punibilità che, a differenza del RGPD, non riguarda l’azienda, ma la persona
fisica responsabile.

In ultimo possiamo specificare che le persone responsabili possono essere

membri della direzione o altre persone con poteri decisionali all’interno
dell’azienda, ma anche persone che hanno commesso una violazione degli
obblighi (ad es. violazione della segretezza).