PRIVACYDue terzi dei siti web italiani violano

la privacy

Cosa possiamo fare?

POLICYPRIVACY

Lezione di Privacy 2014

ANDREA CHIOZZI

Attività

Il Contesto?

Il Quadro Normativo

Sanzioni

Informativa/Consenso

Misure Minime di sicurezza

Privacy e Cookie

Privacy e Cloud/Hosting

Sommario

IL Contesto

Siti e Portali Internet

IL Contesto

Siti e Portali Internet

Perché dobbiamo preoccuparci della

privacy sui siti?

COSA FACCIAMO?

COME LO FACCIAMO?

Quadro Normativo

I Riferimenti

La direttiva e-Privacy (2002/58/CE)

modificata nel 2009 da (2009/136)

Codice in materia di protezione dei dati

personali (d.lg. 30 giugno 2003, n. 196 e, in

particolare, gli artt. 13, comma 3 e 122,

comma 1

Individuazione delle modalità semplificate

per l'informativa e l'acquisizione del

consenso per l'uso dei

cookie(Provvedimento 229 Gazzetta

Ufficiale n. 126 del 3 giugno 2014)

IL Contesto

SANZIONI

omessa informativa o di informativa inidonea, ossia che non presenti gli

elementi indicati, oltre che nelle previsioni di cui all'art. 13 del Codice,

nel presente provvedimento, è prevista la sanzione amministrativa del

pagamento di una somma da seimila a trentaseimila euro (art. 161 del

Codice

assenza del preventivo consenso degli stessi comporta, invece, la

sanzione del pagamento di una somma da diecimila a centoventimila

euro (art. 162, comma 2-bis, del Codice).

L'omessa o incompleta notificazione al Garante, infine, ai sensi di

quanto previsto dall'art. 37, comma 1, lett. d), del Codice, è sanzionata

con il pagamento di una somma da ventimila a centoventimila euro

(art. 163 del Codice).

Valgono le solite regole

Che informazioni Tratto?

Di chi sono?

Cosa Ci faccio?

Come le tratto?

WEB e Regole Generali

Valgono le solite regole

Che informazioni Tratto? -> Informativa

Di chi sono? -> Informativa

Cosa Ci faccio? -> Finalità e Consensi

Come le tratto? -> Misure Minime

WEB e Regole Generali

"Art. 13 Informativa

1) L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente

informati oralmente o per iscritto circa:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che

possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei

dati medesimi;

e) i diritti di cui all'articolo 7;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato

ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è

indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità

attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando

è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di

cui all'articolo 7, è indicato tale responsabile.

2. L'informativa di cui al comma 1 contiene anche gli elementi previsti da specifiche disposizioni

del presente codice e può non comprendere gli elementi già noti alla persona che fornisce i

dati o la cui conoscenza può ostacolare in concreto l'espletamento, da parte di un soggetto

pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato

oppure di prevenzione, accertamento o repressione di reati.

3. Il Garante può individuare con proprio provvedimento modalità semplificate per l'informativa

fornita in particolare da servizi telefonici di assistenza e informazione al pubblico.

4. Se i dati personali non sono raccolti presso l'interessato, l'informativa di cui al comma 1,

comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della

registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima

comunicazione.

……….

WEB, Informativa

Informativa e consenso

L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa la finalità e modalità del trattamento o i diritti dell’interessato

Il consenso non è richiesto, oltre che nei casi previsti nella parte II, quando

Il trattamento:è necessario per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato;

Informativa/consenso

Misure Minime SITI WEB

Sistema di autenticazione informatica

Punti 1 a 11

Sistema di autorizzazione

Punti dal 12 1 14

Altre misure di sicurezza

Punti 15 al 18

Ulteriori misure in caso di trattamento di dati sensibili o giudiziari

Punti 20 al 24

Misure di tutela e garanzia

Punti dal 25 al 26

Misure Minime

COOKIE

I COOKIE non sono altro che dei piccoli file di testo che contengono delle informazioni, in particolare un identificativo (Id) univoco, in modo da distinguere gli utenti collegati, una data di scadenza e un pattern che individua il dominio di riferimento (il sito che rilascia il cookie). Non essendo dei programmi di per sé i cookie sono incapaci di porre in essere una qualsiasi azione, possono solo essere letti dagli script dei siti web.

I COOKIE si possono distinguere in quattro tipi

Privacy e cookie

COOKIE

TIPO A: I cookie essenziali (strictly necessary) sono quei cookie che non registrano particolari

comportamenti, ma servono solamente per mantenere il collegamento tra il server e il browser

dell’utente, vengono utilizzati per registrare temporaneamente i dati dei carrelli elettronici, per

identificare e mantenere il collegamento durante la navigazione in aree riservate, impedendo

che le mie informazioni durante la navigazione vadano a finire su altri Browser.Normalmente

questi COOKIE sono di tipo non persistente LA CUI FINALITA e relativa solamente alla

navigazione personalizzata

TIPO B: i cookie di tipo Statistico (Performance cookie) sono quei cookie che permettono di

registrare comportamenti statistici ma anonimamente come ad esempio i cookie di GOOGLE

ANALYTICS o di altri motori di statistiche WEB. Sono cookie la cui FINALITA’ è STATISTICA

TIPO C: i cookie di tipi funzionale alla navigazione(Functionality cookie) sono quei cookie che

registrano le scelte dell’utente per permettergli ad esempio di ricordarsi il login, di registrare i

prodotti nel carrello e ritrovarseli la prossima sessione, per salvare la lingua selezionata

dall’utente , ovvero tutti quei cookie la cui FINALITA’ offrire una esperienza di navigazione

migliorativa e più personalizzata all’interno della erogazione di un servizio e di un accesso.

TIPO D: i cookie di tipo pubblicitario (Advertising cookie) ovvero tutti quei cookie che registrano

dati di comportamento di navigazione all’interno del sito o di acquisto per utilizzare questi dati

per proporre offerte commerciali personalizzate mentre si naviga sulle pagine, o per inviare

successivamente via mail offerte pubblicitarie

Internet, cookie

COOKIE

Provvedimento e cookie

I cookie tecnici Cookie di profilazione

COOKIE

Informativa, cookie

"Art. 122. Informazioni raccolte nei riguardi del contraente o dell'utente

1. L'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di

un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a

condizione che il contraente o l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3.

Ciò non vieta l'eventuale archiviazione tecnica o l'accesso alle informazioni già

archiviate se finalizzati unicamente ad effettuare la trasmissione di una

comunicazione su una rete di comunicazione elettronica, o nella misura

strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dal contraente o dall'utente a erogare tale servizio. Ai fini

della determinazione delle modalità semplificate di cui al primo periodo il Garante

tiene anche conto delle proposte formulate dalle associazioni maggiormente

rappresentative a livello nazionale dei consumatori e delle categorie economiche

coinvolte, anche allo scopo di garantire l'utilizzo di metodologie che assicurino

l'effettiva consapevolezza del contraente o dell'utente.

2. Ai fini dell'espressione del consenso di cui al comma 1, possono essere utilizzate

specifiche configurazioni di programmi informatici o di dispositivi che siano di facile e

chiara utilizzabilità per il contraente o l'utente.

2-bis. Salvo quanto previsto dal comma 1, è vietato l'uso di una rete di

comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio

terminale di un contraente o di un utente, per archiviare informazioni o per

monitorare le operazioni dell'utente”.

WEB, trattamenti

Deve essere indicato chiaramente:

1) che il sito utilizza cookie di profilazione per inviare messaggi

pubblicitari mirati;

2) che il sito consente anche l'invio di cookie di "terze parti", ossia

di cookie installati da un sito diverso tramite il sito che si sta

visitando;

3) un link a una informativa più ampia, con le indicazioni sull'uso

dei cookie inviati dal sito, dove è possibile negare il consenso alla

loro installazione direttamente o collegandosi ai vari siti nel caso

dei cookie di "terze parti";

4) l'indicazione che proseguendo nella navigazione (ad es.,

accedendo ad un'altra area del sito o selezionando

un'immagine o un link) si presta il consenso all'uso dei cookie

Informativa Breve, cookie

Consenso

Cookie e consenso

Nel medesimo spazio dell'informativa estesa deve essere

richiamata la possibilità per l'utente (alla quale fa

riferimento anche l'art. 122, comma 2, del Codice) di

manifestare le proprie opzioni in merito all'uso dei cookie

da parte del sito anche attraverso le impostazioni del

browser, indicando almeno la procedura da eseguire per

configurare tali impostazioni.

Qualora, poi, le tecnologie utilizzate dal sito siano

compatibili con la versione del browser utilizzata

dall'utente, l'editore potrà predisporre un collegamento

diretto con la sezione del browser dedicata alle

impostazioni stesse.

Profilazione

Cookie e Profilazione

L’uso dei cookie rientra tra i trattamenti soggetti all'obbligo

di notificazione al Garante ai sensi dell'art. 37, comma 1,

lett. d), del Codice, laddove lo stesso sia finalizzato a

"definire il profilo o la personalità dell'interessato, o ad

analizzare abitudini o scelte di consumo, ovvero

a monitorare l'utilizzo di servizi di comunicazione

elettronica con esclusione dei trattamenti tecnicamente

indispensabili per fornire i servizi medesimi agli utenti".

Cosa è il CLOUD?

Cloud

Con il termine cloud computing, o semplicemente cloud, ci si riferisce a

un insieme di tecnologie e di modalità di fruizione di servizi informatici che favoriscono l’utilizzo e l’erogazione di software, la possibilità di

conservare e di elaborare grandi quantità di informazioni.

Il cloud offre, a seconda dei casi, il trasferimento della conservazione o

dell’elaborazione dei dati dai computer degli utenti ai sistemi del

fornitore.

Il cloud consente, inoltre, di usufruire di servizi complessi senza doversi

necessariamente dotare né di computer e altri hardware avanzati, né

di personale in grado di programmare o gestire il sistema.

Tutto può essere demandato all’esterno, in outsourcing, e a un costo

potenzialmente limitato, in quanto le risorse informatiche necessarie per

i servizi richiesti possono essere condivise con altri soggetti che hanno le

stesse esigenze.

Esempi?

Cloud

Spesso utilizziamo tecnologie cloud senza neppure saperlo. Alcuni dei

più diffusi servizi di posta elettronica o di elaborazione testi sono “sulle nuvole”.

Anche molte delle funzioni offerte dai cellulari di nuova generazione (i

cosiddetti smartphone) sono basate sul cloud: ad esempio quelle che

sfruttano la geolocalizzazione consigliandoci i locali o gli esercizi

commerciali più vicini, che consentono di ascoltare musica o di

accedere a giochi on line, nonché tante altre funzioni e

“app”(applicazioni).

Google Docs è in cloud

Office 365 è in cluod

TRE MODELLI DI SERVIZI CLOUD

Cloud

Cloud Infrastructure as a Service - IaaS

(infrastruttura cloud resa disponibile come servizio)

Il fornitore del servizio cloud offre, secondo un modello “a consumo”, gli strumenti hardware e

software di base.(spazi di memoria, sistemi operativi, programmi di virtualizzazione…), cioè server virtuali

remoti che l’utente finale può utilizzare in sostituzione o in affiancamento ai sistemi già presenti nei locali

dell’azienda o dell’amministrazione.Tali fornitori sono in genere operatori di mercato

specializzati, che dispongono di un’infrastruttura tecnologica, complessa e spesso distribuita in aree

geografiche diverse.

Cloud Software as a Service - SaaS

(software erogato come servizio del cloud)

Il fornitore eroga via Internet una serie di servizi applicativi ponendoli a disposizione degli utenti

finali.Si pensi, ad esempio, ad applicazioni comunemente usate negli uffici erogate in modalità web

quali l’elaborazione di fogli di calcolo o di testi, la gestione del protocollo e delle regole per l’accesso

informatico ai documenti, la rubrica dei contatti e i calendari condivisi, ma anche ai più

avanzati servizi di posta elettronica.

Cloud Platform as a Service - PaaS

(piattaforme software fornite via Internet come servizio)

Il fornitore offre soluzioni evolute di sviluppo software che rispondono alle specifiche esigenze del

cliente. In genere questo tipo di servizi è rivolto a operatori di mercato che li utilizzano per sviluppare e

ospitare soluzioni applicative proprie (ad esempio applicativi per la gestione finanziaria, della contabilità

o della logistica), allo scopo di assolvere a esigenze interne, oppure per fornire a loro volta servizi a terzi.

Anche nel caso dei PaaS, il servizio erogato dal fornitore limita la necessità per il fruitore di doversi

dotare internamente di strumenti hardware o software specifici o aggiuntivi.

Implicazioni Privacy?

Cloud

Nel momento in cui un titolare in un trattamento (l’azienda, l’ente,

l’associazione) usufruisce di un servizio in CLOUD trasferisce in parte o del tutto i sui dati ed il relativo trattamento ad un fornitore esterno.

Diventa quindi obbligatorio come specificato anche dal Garante

Privacy che i titolare del trattamento designi il fornitore o come

Responsabile al trattamento o ci sia un contratto di affidamento dati in

cui il fornitore si impegna non solo a seguire la normativa Italiana sulla

privacy ma se ne assuma le responsabilità penali e civili.

Questo significa che il Titolare del Trattamento (cliente) dovrà sempre

prestare molta attenzione a come saranno utilizzati e conservati i dati

personali caricati sulla “nuvola”: in caso di violazioni commesse dal

fornitore, anche il titolare sarà chiamato a rispondere dell’eventuale

illecito.

Ma io sono piccolino?

Cloud

Il Titolare (cliente) di ridotte dimensioni, come una piccola impresa o un

ente locale, potrebbe tuttavia incontrare difficoltà nel contrattare adeguate condizioni per la gestione dei dati spostati “sulla nuvola”.

Anche in questo caso, non sarà però sufficiente, per giustificare una

eventuale violazione, affermare di non avere avuto possibilità di

negoziare clausole contrattuali o modalità di controllo più stringenti. Il

cliente di servizi cloud, infatti, può sempre rivolgersi ad altri fornitori che

offrono maggiori garanzie, in particolare per il rispetto della normativa

sulla protezione dei dati.

Implicazioni

Cluod

Cosa succcede se un fornitore Cloud non permette la nomina a

responsabile o non ha adeguate clausole contrattuali di affidamento?

Semplice mi assumo Io come titolare del trattamento anche le sue

responsabilità. A fronte di un illecito derivato dal provider cloud che ha

portato ad un risarcimento o ad una sanzione me ne assumerò

direttamente la responsabilità.

È importante quindi

valutare l’idoneità delle condizioni contrattuali per l’erogazione del

servizio di cloud con particolare riferimento agli obblighi e alle

responsabilità in caso di perdita e di illecita diffusione dei dati custoditi

nella “nuvola”, nonché alle eventuali modalità per il recesso dal servizio

e il passaggio ad altro fornitore.

Garanzie di qualità chiare, corredate da penali, che pongano a carico

del fornitore le eventuali inadempienze o le conseguenze di determinati

eventi (ad es. accesso non consentito

??? Quindi io che non sono un tecnico???

Cosa Fare

Fare le domande giuste

Avere il controllo sui dati.

Avere una lista di attività che preservino i

trattamenti

Centralizzare per quanto possibile il controllo

Verificare i fornitori

Privacy by Design

ignoranti quem portum petat nullus suus ventus est

Nessun vento è favorevole per il marinaio che non sa a quale

porto vuol approdare

'ogh

Grazie !