Il Garante per la protezione dei dati personali ha approvato nuove Linee guida sui cookie, con l’obiettivo di rafforzare il potere di decisione degli utenti riguardo all’uso dei loro dati personali quando navigano on line. Il provvedimento è stato adottato tenendo conto degli esiti della consultazione pubblica promossa alla fine dello scorso anno.
Clicca sull'immagine per scaricare il documento originale del Garante
L’aggiornamento delle precedenti Linee guida del 2014 si è reso necessario alla luce delle innovazioni introdotte dal Regolamento europeo in materia di privacy, ma ha le sue motivazioni anche in una serie di altri fattori: l’esperienza maturata in questi anni (in base ai numerosi reclami, segnalazioni e richieste di pareri pervenute agli Uffici) sulla non corretta attuazione delle modalità per rendere l’informativa agli utenti e per l’acquisizione del consenso all’uso dei loro dati; il crescente uso di tracciatori particolarmente invasivi; la moltiplicazione delle identità digitali degli utenti che favorisce l’incrocio dei loro dati e la creazione di profili sempre più dettagliati.
Il meccanismo di acquisizione del consenso on line dovrà innanzitutto garantire che, per impostazione predefinita, al momento del primo accesso ad un sito web, nessun cookie o altro strumento diverso da quelli tecnici venga posizionato all’interno del dispositivo dell’utente, né venga utilizzata altra tecnica di tracciamento attiva (ad esempio, cookie di terze parti) o passiva (ad esempio, il fingerprinting).
Non è quindi possibile utilizzare caselle pre-spuntate con i vari consensi.
Nel rispetto del Regolamento Ue, l’informativa agli utenti dovrà indicare anche gli eventuali altri soggetti destinatari dei dati personali e i tempi di conservazione delle informazioni. E potrà essere resa anche su più canali e con diverse modalità (ad esempio, con pop up, video, interazioni vocali).
Resta confermato l’obbligo della sola informativa per i cookie tecnici, anche inserita nell’informativa generale. Il Garante raccomanda poi che i cookie analytics, usati per valutare l’efficacia di un servizio, siano utilizzati solo a scopi statistici.
Per i cookie di profilazione rimane la necessità del consenso da richiedere attraverso un banner ben distinguibile sulla pagina web, attraverso il quale dovrà anche essere offerta agli utenti la possibilità di proseguire la navigazione senza essere in alcun modo tracciati, ad esempio chiudendo il banner cliccando sulla caratteristica X da inserire in alto a destra.
Riguardo in particolare allo scrolling, il Garante precisa che il semplice spostamento in basso del cursore (scroll down) non rappresenta una idonea manifestazione del consenso. I titolari dei siti (publisher) dovranno eventualmente inserire lo scrolling in un processo più articolato nel quale l’utente sia in grado di generare un evento, registrabile e documentabile presso il server del sito, che possa essere qualificato come azione positiva idonea a manifestare in maniera inequivoca la volontà di prestare un consenso al trattamento.
Riguardo al cookie wall, sistema che vincola gli utenti all’espressione del consenso, il Garante chiarisce che questo meccanismo è da ritenersi illegittimo, salva l’ipotesi, da verificare caso per caso, nella quale il titolare del sito consenta comunque agli utenti l’accesso a contenuti o servizi equivalenti senza richiesta di consenso all’uso dei cookie o di altri tracciatori.
L’Autorità sottolinea inoltre che la ripresentazione del banner ad ogni nuovo accesso per la richiesta di consenso agli utenti che in precedenza l’abbiano negato non trova ragione negli obblighi di legge e risulta una misura ridondante e invasiva. La scelta dell’utente, dunque, dovrà essere debitamente registrata e non più sollecitata, a meno che non mutino significativamente le condizioni del trattamento; sia impossibile sapere se un cookie sia già memorizzato nel dispositivo; siano trascorsi almeno 6 mesi. Resta fermo in ogni caso il diritto degli utenti di revocare in qualsiasi momento il consenso precedentemente prestato.
Il Garante auspica che si arrivi presto ad una codifica universalmente accettata dei cookie, oggi assente, che consenta di distinguere in maniera oggettiva i cookie tecnici da quelli analytics o da quelli di profilazione. In attesa di raggiungere questo obiettivo, il Garante richiama i publisher a rendere manifesti nell’informativa almeno i criteri di codifica dei tracciatori adottati da ciascuno.
I titolari dei siti avranno solo 6 mesi di tempo per conformarsi ai principi contenuti nelle Linee guida.
Fonte: "garanteprivacy.it"
Dopo i mesi di febbraio e marzo in quarta posizione, ad aprile l’Italia vede impennarsi ulteriormente il dato relativo agli attacchi malware Fonte: Trend Micro Milano, 31 maggio 2021 Nel 2021, l’Italia si conferma nelle prime posizioni della classifica mondiale dei Paesi maggiormente presi di mira dai malware. A gennaio era il quinto Paese più colpito, a febbraio e marzo il quarto, mentre ad aprile sale sul podio di questa speciale classifica come terza nazione maggiormente afflitta dal fenomeno malware. Il dato emerge...
Scritto da: Luigi DuraccioUno degli attacchi hacker più riusciti di questi ultimi tempi è dovuto al furto di una sola password. Certo che scoprire che tutto è stato causato da una sola password non solo fa rabbia ma fa salire, o almeno dovrebbe far salire la preoccupazione. Sì, avete capito bene, una sola password ha messo in crisi la fornitura di petrolio di mezza America. Storia di un disastro annunciato. Ma analizziamo quanto successo alla multinazionale statunitense cercando di coglierne un insegnamento. L'attacco ransomware subito da Colonial...
Scritto da: Luigi DuraccioI crimini informatici sono in costante aumento. Prestare attenzione alla protezione dei dati e rispettare le prescrizioni del gdpr, lungi dall’essere un un costo o un inutile dispendio di attività, diventa per le aziende una potente arma di difesa e uno strumento protezione nella prevenzione dei rischi. I crimini informatici sono in costante aumento. E' una affermazione che non necessità di nessuno sforzo di immaginazione: è una realtà sotto gli occhi di tutti! E lo sono perchè le occasioni di fare profitti illeciti si...
Scritto da:Il Movimento 5S e l’Associazione Rousseau risultano essere, rispettivamente, titolare e responsabile del trattamento dei dati degli iscritti al Movimento. Il Garante per la protezione dei dati personali ha ordinato all’Associazione Rousseau di consegnare al Movimento 5 Stelle tutti i dati personali degli iscritti. Il Movimento 5 Stelle aveva presentato reclamo al Garante che ha avviato una istruttoria d’urgenza. In base alla documentazione acquisita, il Movimento 5S e l’Associazione Rousseau risultano essere, rispettivamente, Titolare e Responsabile del trattamento dei dati degli iscritti al...
Scritto da: Luigi DuraccioSuperano i 292 milioni di euro le sanzioni per violazioni della privacy applicate in Europa. L'Italia è prima per importi delle sanzioni irrogate (oltre 76 milioni). Fonte: Italia Oggi del 31 maggio 2021 Superano i 292 milioni di euro le sanzioni per violazioni della privacy applicate in Europa. Sono state, secondo Privacy Affairs, 73 in Italia, che è al secondo posto per provvedimenti sanzionatori emanati. Secondo Enforcement Tracker, che fino a maggio 2021 conta un totale di 283 milioni di euro spalmati in 638 sanzioni. L'Italia però è...
Scritto da: Luigi DuraccioIl cybercrime non si ferma mai. Ecco un esempio di un diverso modo di veicolare malware e ransomware. Da diverse settimane ricevo personalmente, e ricevono anche molti dei miei clienti, delle mail di notifica provenienti dai moduli di contatto del sito web. Queste mail contengono virus e sono molto pericolose proprio perché provengono da fonte conosciuta, il proprio sito. Come sempre il successo di un attacco di questo tipo dipende dal grado di consapevolezza degli utenti, dalla capacità di riconoscere una mail fake e dall’attenzione che si pone di fronte alle comunicazioni...
Scritto da: Luigi DuraccioL’informativa è uno dei pilastri su cui si basa il GDPR che garantisce la tutale dell’esercizio dei diritti dei proprietari dei dati, gli interessati. E' anche il primo atto che deve compiere il titolare nei confronti degli interessati prima di iniziare un qualsiasi trattamento. E non è un mero adempimento formale: attraverso l’informativa gli interessati vengono a conoscenza di tutti gli elementi necessari per poter esercitare i propri diritti sulle informazioni possedute dal titolare. L’informativa non è esaustiva degli adempimenti da svolgere ai...
Scritto da:La gestione dell’attacco ransomware da parte di Bose può essere un’utile lezione per tutte le aziende vittime di un incidente informatico. Bose ha rivelato qualche giorno fa di aver subito un attacco ransomware. I criminali sono riusciti ad accedere ai dati di alcuni ex dipendenti senza conferma che fossero stati anche esfiltrati. L’azienda è stata però in grado di recuperare la piena funzionalità dei sistemi senza pagare alcun riscatto. Come ha reagito Bose Nella nota dell’azienda si legge: “Bose ha avviato protocolli di risposta agli incidenti, ha...
Scritto da: Luigi DuraccioE’ il primo caso di codice di condotta, ai sensi del GDPR, adottato in ambito privato. Il Codice di condotta è stato elaborato dall’Associazione nazionale tra le imprese di informazioni commerciali e di gestione del credito (Ancic). Con la pubblicazione sulla Gazzetta Ufficiale n. 124 del 26 maggio 2021 diventa operativo il Codice di condotta per il trattamento dei dati personali a fini di informazione commerciale. Si tratta delle informazioni e delle valutazioni che vengono fornite da soggetti privati, attraverso apposito servizio,...
Scritto da: Luigi DuraccioMartinelli S.r.l. Via Circonvallazione N/E, 98 - 41049 Sassuolo (MO) | Tel: 0536 868611 Fax: 0536 868618 | info@martinelli.it
P.Iva 02262430362 - C.F. 01413050350 - Iscriz. registro Imprese di Modena 01413050350 - Capitale Sociale 350.000 i.v.