Schema di atto di designazione del Responsabile della Protezione dei Dati /DPO
Modello indicato dal Garante da utilizzare per la nomina del DPO.
L’incarico dovrà essere comunicato al Garante (procedura ancora non disponibile).
…a proposito di cookie
Ricordo che ci sono principalmente quattro tipi di cookies che possono essere presenti su un sito:
- tecnici: quelli “strettamente necessari per la navigazione”
- preferenze: servono per memorizzare le “preferenze” degli utenti, quindi alla “profilazione”
- statistiche: sono utilizzati per fare statistiche sul comportamento dell’utente
- marketing: gestiti spesso da plug-in esterni servono per attività di cross-marketing, pubblicità e simili
“Ad una lettura attenta della normativa” sarebbe concessa l’attivazione di default solo del primo tipo, mentre per gli altri dovrebbe essere richiesto il consenso esplicito dell’utente…
E qui si apre un mondo… tecnico ed informatico, di comunicazioni più o meno nascoste tra i siti e funzionalità specifiche introdotte da plug-in di terzi ormai diffusissimi. Se interessati scrivete… tratteremo in maniera più approfondita l’argomento…
Per chi avesse voglia ancora di leggere qualcosa riguardo ai cookies rimando alle FAQ sui cookie del Garante della Privacy.
Cosa è necessario fare sul sito? Giusto un promemoria…
Premesso che ogni situazione va valutata caso per caso, questa una breve lista di “cose da fare” relativamente ai siti aziendali che raccolgono informazioni personali.
- Aggiornare la privacy policy
- Inserire un consenso esplicito quando si raccolgono i dati (che devono essere quelli “strettamente necessari”) specificando il motivo per cui vengono raccolti, in modo chiaro e trasparente
- Consentire la possibilità di de-registrarsi completamente dalla banca dati dell’azienda
- Se la gestione del sito è affidata ad un’agenzia web quest’ultima deve essere nominata come “responsabile esterno” per il trattamento dei dati
- “Non sarebbe male” avvisare tutti i vecchi utenti della modifica all’informativa e dare loro la possibilità di cancellarsi
- Se il sito si rivolge ad utenti minorenni, minori di 16 o 13 anni deve esserci la possibilità di fornire l’autorizzazione da parte di un genitore
- “Non dimenticarsi” della “cookie policy”
- Indicare se il trattamento dei dati raccolti viene gestito da terzi (ad esempio per campagne marketing, sia manuali che automatiche), che dovranno essere nominati quali “responsabili esterni” per il trattamento dei dati
- Se ci sono integrazioni con plug-in social “fare attenzione” allo scambio dei dati che avviene tra il sito stesso ed i social, in maniera da evitare profilazioni degli utenti non desiderate
- Attenzione nella gestione corretta dei dati raccolti per campagne pubblicitarie on-line in genere, DEM (Direct Email Marketing), newsletter, lead generation, utilizzo di plug-in per profilazione, remarketing, raccolta Clienti ecc…
Schematizzazione della mappatura di una valutazione di impatto sulla privacy / PIA “Privacy Impact Assessment”
La figura seguente riporta una possibile schematizzazione della mappatura degli esiti di una valutazione di impatto sulla privacy o “privacy impact assessment” (PIA). In pratica possiamo riassumere i casi in funzione della “probabilità del rischio” e della “gravità del rischio”, andando ad individuare
quattro casi: Trascurabile, Limitato, Importante, Elevato (o Massimo).
In base alla posizione del caso specifico nella precedente mappa sarà necessario effettuare un livello diverso di analisi ed azioni volte a ridurre il rischio di violazione della privacy.
Qual’è il ciclo di una “Valutazione di impatto sulla privacy” o “Privacy Impact Assessment” (PIA)?
La figura riporta il ciclo di attività legate alla valutazione di impatto sulla privacy (PIA).