Studio Legale Facondini

21/02/2025

PIANO ISPETTIVO DEL GARANTE PRIVACY 2025
Con deliberazione del 19 dicembre 2024, il Garante ha individuato gli ambiti sui quali concentrerà la propria attività ispettiva nel semestre gennaio/giugno 2025.

Sorvegliate speciali saranno sicuramente le banche dati, in considerazione dei data breach verificatisi negli ultimi mesi. In particolare, i controlli si concentreranno sulla verifica dei sistemi di sicurezza adottati, sui profili di accessibilità, sull'utilizzo illegittimo di banche dati ed indirizzari da parte di imprese che gestiscono call center e servizi di email marketing e sulle banche dati degli istituti di credito con particolare riferimento ai data breach oggetto di notificazione al Garante e alle misure per rilevarli tempestivamente e/o prevenirli.

Sì segnalano, inoltre, le verifiche su specifici progetti in ambito statistico implicanti l'utilizzo di big data e dati sintetici, sull'attivazione di contratti non richiesti nel settore energetico e sull'utilizzo di dati biometrici per l'ammissione agli esami della patente di guida presso gli uffici della Motorizzazione Civile.

Proseguono, infine, gli accertamenti in materia di utilizzo dei cookie di profilazione, sistemi di videoallarme, trattamento dei dati attraverso i registri elettronici tenuti dagli istituti scolastici.

Sono attualmente in programma almeno 40 accertamenti ispettivi, che verranno effettuati anche a mezzo della Guardia di Finanza.

Foto di Pete Linforth da Pixabay

23/02/2024

10 consigli per siti web a norma di legge 👇

19/12/2023

💡Condominio e privacy #1
Videosorveglianza in condominio: cosa prevede la normativa privacy? Vediamo alcune indicazioni del Garante

Il caso: un amministratore aveva provveduto ad installare due telecamere pur in assenza di delibera dell'assemblea di condominio, limitandosi ad avvisare i condomini per email e riservandosi di adottare la delibera alla prima occasione utile.

La posizione del Garante Privacy:
👉🏻La delibera deve determinare modalità e finalità del trattamento dei dati personali, i tempi di conservazione delle immagini riprese e i soggetti autorizzati a visionare le immagini.

👉🏻Tali determinazioni devono essere assunte prima di procedere al trattamento dei dati personali.

👉🏻La delibera deve essere approvata con la maggioranza di cui all'art. 1136, co. 2°, c.c. (un numero di voti che rappresenti la maggioranza degli intervenuti e almeno la metà del valore dell' edificio).

👉🏻Gli interessati devono sempre essere informati che stanno per accedere ad un'area videosorvegliata mediante apposito cartello opportunamente compilato (nel caso di specie le indicazioni sul titolare del trattamento erano state lasciate in bianco).

👉🏻Il cartello deve essere collocato all'altezza degli occhi e in un punto tale da essere visibile prima di entrare nell'area videosorvegliata.

(Garante Privacy, provvedimento n. 502 del 26 ottobre 2023)

30/08/2023

Chiunque operi nell'ambito dei social media conosce la pratica dello shadow ban, l'attività di moderazione che consiste nel limitare la visibilità di contenuti e profili social all'insaputa dell'interessato.

Lo shadow ban può danneggiare l'azienda o la persona che ne è colpita, compromettendo l'efficacia della sua strategia di comunicazione.

Reagire ad uno shadow ban non è sempre facile perché:
1. Chi lo subisce non è detto che ne sia consapevole
2. Il motivo del ban è ignoto, dunque è necessario procedere per tentativi, modificando i contenuti, rimuovendo hashtag e così via, nella speranza che la restrizione venga rimossa.

📌 Ebbene, questa pratica di moderazione è destinata a cambiare perché, grazie al DSA (Digital Services Act), applicabile a partire dal 17 febbraio 2024, gli utenti potranno conoscere le ragioni del ban e contestare la decisione.

Le piattaforme online, infatti, dovranno fornire agli interessati una motivazione chiara e specifica dell'attività di moderazione dei contenuti, entro la data a partire dalla quale verrà messa in atto, precisando:
- il tipo di restrizione applicata (es. retrocessione o limitazione della visibilità dei contenuti), la durata e la sua portata territoriale;
- i fatti e le circostanze su cui si basa la restrizione, specificando se il contenuto è stato segnalato;
- se la decisione è stata adottata ricorrendo a strumenti automatizzati;
- il motivo del ban, ovvero l'illegalità del contenuto o la violazione delle condizioni generali di servizio della piattaforma. Nel secondo caso la piattaforma dovrà indicare la clausola che ritiene violata;
- i mezzi per ricorrere contro la restrizione (es. reclamo interno alla piattaforma o ricorso per via giudiziaria).

L'obbligo di motivazione viene meno in due casi:
1. l'uso ingannevole del servizio, ad esempio mediante bot o account falsi
2. l'ordine dell'autorità giudiziaria o amministrativa di contrastare un contenuto illegale.

Diverse piattaforme si stanno già adeguando. Sarà la fine dello shadow ban?

15/11/2022

Prima di entrare nello specifico di GA4 facciamo un piccolo passo indietro.

Il 9 giugno il Garante privacy italiano (ma prima di lui si erano espresse l'autorità di controllo austriaca e francese) ha dichiarato la non conformità di Google Analytics al GDPR. Il citato servizio di Google, infatti, raccoglie, mediante cookie, dati personali e metadati (indirizzo IP, informazioni sul browser, sul sistema operativo, sulla risoluzione dello schermo, sulla lingua selezionata nonché data e ora della visita al sito web).

Il problema non è lo strumento Google Analytics in sé ma in quanto i dati personali da esso raccolti vengono trasferiti negli Stati Uniti, paese che, a seguito dell'invalidazione del Privacy Shield avvenuta nel luglio 2020, è considerato non in grado di offrire un livello di protezione adeguato ai dati personali.

⚠️ Il Garante italiano ha poi precisato che le considerazioni svolte riguardano esclusivamente Google Analytics versione 3 (Universal Analytics).

👉🏻 Di qui il dubbio: Google Analytics versione 4 (GA4) è conforme al GDPR?

Sul punto è intervenuta l'autorità di controllo danese con le FAQ pubblicate il 21 settembre. Ecco una sintesi dei punti principali.

❓È possibile configurare GA4 in modo tale che non trasferisca dati personali negli Stati Uniti?

❌ Come dichiarato da Google, tutti i dati raccolti tramite Google Analytics vengono elaborati ed archiviati negli Stati Uniti. Ad oggi non risulta che Google abbia previsto un diverso tipo di setup.

❓È possibile configurare GA4 in modo tale che non raccolga dati personali?

❌ Da qualche tempo Google Analytics ha messo a disposizione alcune impostazioni che permettono di non raccogliere dati personali relativi, ad esempio, al browser e al sistema operativo del visitatore.
Inoltre è possibile disattivare servizi come Data Sharing e Google Signals, che consentono di condividere dati con Google rispettivamente allo scopo di migliorare i prodotti Google e di fornire pubblicità mirata.
Tuttavia, anche configurando GA4 in modo da raccogliere il minor numero possibile di dati, non si può impedire che vengano raccolti l'identificatore univoco assegnato al visitatore e dati relativi alle interazioni con il sito web, alla data e all'ora della visita e alla posizione dell'utente. Tali dati, anche se non consentono di risalire al nome o all'identità della persona, devono comunque essere considerati dati personali a norma del GDPR in quanto permettono di effettuare il c.d. single-out ovvero di identificare un soggetto all'interno di un gruppo.

❓Se il titolare di un sito web riuscisse a configurare GA4 in modo da non raccogliere dati personali potrebbe continuare ad utilizzare tale servizio senza violare la legge?

✅ Sì. L'uso di Google Analytics non è di per sé vietato. In tal caso il titolare dovrà documentare le impostazioni adottate in modo da poter dimostrare la loro conformità al GDPR.

❓La pseudonimizzazione dei dati è una misura aggiuntiva sufficiente a rendere lecito l'uso di GA4?

❌ La pseudonimizzazione è il processo a seguito del quale i dati personali non possono essere attribuiti ad uno specifico soggetto senza l'utilizzo di informazioni aggiuntive.
Affinché la pseudonimizzazione sia realmente efficace occorre considerare quali informazioni aggiuntive (in particolare l'indirizzo IP) siano in possesso del paese terzo a cui vengono trasferiti i dati.
Nel caso degli Stati Uniti:
- GA4 non memorizza l'indirizzo IP ma lo raccoglie al solo scopo di determinare la posizione approssimativa dell'utente. Tuttavia, per determinare tale posizione, l'indirizzo IP viene inviato al data center statunitense più vicino e ciò comporta di per sé un illecito trasferimento del dato negli Stati Uniti.
- quando l'indirizzo IP viene inviato al data center statunitense più vicino il firewall di Google registra il traffico in entrata. Google può allora incrociare i dati in suo possesso con quelli raccolti da Google Analytics per ricavare dati personali, tra cui l'indirizzo IP.
- infine, i trattati di mutua assistenza giudiziaria consentono alle autorità pubbliche statunitensi di ottenere, con l'assistenza della polizia e dell'internet service provider, informazioni che permettano di risalire alla persona fisica a cui appartiene l'indirizzo IP.
Per questi motivi la pseudonimizzazione non può essere considerata una misura aggiuntiva sufficiente.

❓La crittografia è una misura aggiuntiva sufficiente a rendere lecito l'uso di GA4?

❌ La crittografia è una misura tecnica efficace a condizione che la chiave di crittografia sia detenuta esclusivamente dall'esportatore di dati oppure da un soggetto all'interno della UE, del SEE o di un paese terzo reputato sicuro.
La crittografia implementata da Google non è una misura efficace poiché la chiave di crittografia è detenuta proprio da Google.

❓È possibile utilizzare GA4 se si ottiene il consenso dell'utente?

❌ Il consenso legittima il trasferimento di dati a condizione che l'utente sia adeguatamente informato dei rischi e che il trasferimento dei dati sia occasionale. Non è questo il caso di GA4, che effettua un trasferimento generalizzato di tutti i dati raccolti.

📌In conclusione, GA4 di per sé non è conforme al GDPR. Sarà dunque necessario implementare misure tecniche aggiuntive oppure dismetterne l'utilizzo.

25/07/2022

Il 15 luglio è entrato in vigore il Codice della crisi d'impresa.

La nuova normativa è rivolta a consumatori, professionisti e imprenditori che versino in stato di crisi, insolvenza o sovraindebitamento.

Con l'ausilio di un professionista, i soggetti in possesso dei requisiti previsti dalla legge potranno accedere alle procedure di composizione della crisi, quali la ristrutturazione dei debiti, il concordato minore o la liquidazione giudiziale.

In caso di esito positivo della procedura e in assenza di condizioni ostative, il debitore può ottenere il beneficio della esdebitazione ovvero la liberazione dei debiti.

Istruzione foto creata da wirestock - it.freepik.com

23/06/2022

STOP ALL'USO DI GOOGLE ANALYTICS

🚫 Il sito web che utilizza il servizio Google , senza le garanzie previste dal Regolamento Ue, viola la normativa sul trattamento dei dati perché trasferisce negli Stati Uniti, Paese privo di un adeguato livello di protezione, i dati degli utenti.

Questo è quanto dichiarato dal Garante Privacy nel comunicato del 23 giugno.

📢 Il Garante invita pertanto i gestori di siti web a verificare la conformità dei utilizzati sui propri siti alla normativa in materia di protezione dei dati personali.

I gestori dei siti web che utilizzano Google Analytics raccolgono mediante cookie dati personali degli utenti, quali l'indirizzo IP e informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, alla data e all'ora della visita al sito web.

👉🏻 Tali dati vengono trasferiti negli Stati Uniti, Paese che non garantisce un livello adeguato di protezione dei dati in quanto consente alle Autorità governative e alle agenzie di intelligence statunitensi di accedere ai dati personali trasferiti senza le dovute garanzie.

👉🏻 Inoltre, le misure che integrano gli strumenti di trasferimento adottate da Google non garantiscono, allo stato, un livello adeguato di protezione dei dati: l'indirizzo IP, infatti, anche se fosse troncato, non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso.

'); newWin.document.close(); newWin.addEventListener("load", function(){ // .... this.focus(); this.print(); this.close(); }); //newWin.print(); //newWin.close(); //newWin.document.close(); //setTimeout(function(){newWin.close();},10); }

23/05/2022

E-COMMERCE: SE C'È UN ERRORE DI PREZZO IL VENDITORE PUÒ RIFIUTARE L'ORDINE?

Può capitare a tutti. Basta un attimo di distrazione e la macchina fotografica dal valore di € 189,99 viene per errore messa in vendita online al prezzo di € 89,99.
Il problema è che qualcuno ha già inviato un ordine di acquisto.
⁉️Il venditore può rifiutare l'ordine?

⚠️ La risposta è: dipende. Occorre prima capire se una volta ricevuto l'ordine di acquisto il venditore sia vincolato al contratto oppure no.

Il Codice Civile dispone che "il contratto è concluso nel momento in cui chi ha fatto la proposta ha conoscenza dell'accettazione dell'altra parte" e che "un'accettazione non conforme alla proposta equivale a nuova proposta".

In pratica:
Tizio formula una proposta,
Caio accetta la proposta così com'è, senza modificarla,
il contratto si considera concluso quando Tizio viene a sapere che Caio ha accettato la proposta.

Nel caso dell'e-commerce il contratto di vendita viene ricondotto alla categoria dell'"offerta al pubblico", cioè una proposta rivolta ad una pluralità di possibili destinatari. Anche in questo caso il contratto si considera concluso quando il proponente ha notizia dell'accettazione della proposta.

In pratica:
Il venditore fa una proposta (offre i suoi prodotti),
l'acquirente accetta (invia l'ordine di acquisto),
il contratto si considera concluso quando il venditore viene a sapere che l'acquirente ha accettato (riceve l'ordine di acquisto).
A questo punto il venditore è vincolato al contratto e generalmente non può recedere neanche se il prezzo di vendita è sbagliato.

✅ Per evitare che ciò accada è possibile inserire nei Termini e Condizioni una clausola che "inverta i ruoli" e faccia in modo che l'acquirente sia il proponente e il venditore l'accettante.

In questo modo:
L'acquirente invia una proposta (l'ordine di acquisto),
il venditore è libero di accettare o rifiutare la proposta (e in caso di errore sul prezzo la rifiuterà).

💡Diversi e-commerce e marketplace adottano questa soluzione per evitare che il venditore si ritrovi vincolato al contratto senza aver prima verificato che il prezzo sia corretto o che i prodotti non siano esauriti.

Mai sottovalutare l'importanza dei Termini e Condizioni.



Foto di Mohamed Hassan da Pixabay

13/05/2022

⚫ DARK PATTERN: le tecniche di web design che non rispettano la privacy degli utenti

Cosa prevedono le nuove Linee Guida dell'EDPB

I dark pattern sono interfacce utenti o user experience che inducono l'utente a compiere inconsapevolmente azioni potenzialmente dannose per se stesso.

⚠️ I dark pattern violano il GDPR perché spingono gli utenti a condividere, senza rendersene conto, più dati personali di quanto vorrebbero ricorrendo a tecniche che non rispettano i principi di correttezza e trasparenza nel trattamento.

Le linee guida n. 3/2022 dell'EDPB forniscono alcuni esempi di dark pattern:

📌 Overloading: l'utente viene messo di fronte a una grande quantità di richieste, informazioni ed opzioni in modo da spingerlo a condividere più dati;

📌 Skipping: l'interfaccia è progettata in modo che l'utente dimentichi di prestare attenzione ad alcuni aspetti della protezione dei dati;

📌 Stirring: si influenzano le scelte degli utenti facendo leva sulle loro emozioni positive o negative o su stimoli visivi;

📌 Hindering: si crea un ostacolo che rende l'azione favorevole all'utente difficile o impossibile da realizzare;

📌 Fickle: il design dell'interfaccia è incoerente e poco chiaro;

📌 Left in the dark: l'interfaccia è progettata in modo da nascondere informazioni o strumenti di controllo sulla protezione dei dati o da generare incertezza sulle modalità di trattamento dei dati o sui diritti degli interessati.

Per approfondire link nel primo commento 👇🏻



Photo by NordWood Themes on Unsplash

31/03/2022

E-COMMERCE B2C: le modifiche al Codice del Consumo, in vigore dal 1° gennaio, rendono necessario l'aggiornamento di Termini e Condizioni.

Per chi non lo avesse ancora fatto, ecco un riepilogo dei principali ambiti su cui intervenire:

📌 Conformità dei beni alla descrizione e alla pubblicità

📌 Vendita di beni e servizi digitali

📌 Garanzia legale

📌 Garanzia convenzionale

Il dlgs n. 170/2021 modifica il Codice del Consumo con regole nuove in materia di vendita dei beni e ai rimedi esperibili in caso di difetti di conformità

07/01/2022

Il 9 gennaio scade il termine per adeguarsi alle nuove linee guida sui cookie e gli altri strumenti di tracciamento.

Rivediamo in breve le novità introdotte dal Garante Privacy 👇🏻

https://www.facebook.com/studiolegalefacondini/posts/535644557778506

Il 9 luglio sono state pubblicate sulla Gazzetta Ufficiale le nuove linee guida sui cookie e gli altri strumenti di tracciamento.

Ecco le principali novità:

▪ il semplice scroll down non equivale a manifestazione del consenso.
Lo scrolling, cioè lo spostamento del cursore lungo una pagina web, da solo non può essere considerato un'idonea manifestazione di consenso all'installazione dei cookie, tuttavia, può essere utilizzato come parte di un processo più articolato che permetta all'utente, con la generazione di un preciso pattern, di manifestare in modo inequivoco, consapevole e documentabile il proprio consenso.

▪ limiti all'uso del cookie wall.
Il cookie wall limita la libertà dell'utente poiché lo obbliga a scegliere tra accettare i cookie o non poter accedere al sito.
Il cookie wall può continuare ad essere utilizzato a condizione che il titolare del sito offra all'interessato la possibilità di accedere ad un contenuto o ad un servizio equivalenti senza prestare il proprio consenso all'uso di cookie o altri strumenti di tracciamento.

▪ se l'utente ha già rifiutato l'installazione dei cookie non è consentito riproporre il cookie banner ad ogni nuovo accesso al sito.
Come il cookie wall, anche la prassi di ripresentare insistentemente il cookie banner limita la libertà dell'utente poiché lo induce a prestare il proprio consenso al solo scopo di liberarsi dal banner e proseguire nella navigazione.
É consentito riproporre il cookie banner solamente in tre casi:
a) se è cambiata in maniera significativa una o più condizioni di trattamento (ad esempio, se sono mutate le “terze parti”);
b) se il gestore del sito web non è in grado di sapere se un cookie è stato precedentemente memorizzato nel dispositivo dell'utente (ad esempio, quando l'utente sceglie di cancellare i cookie dal proprio dispositivo);
c) se sono trascorsi almeno 6 mesi dalla precedente presentazione del banner.

▪ privacy by default e privacy by design applicate ai cookie.
Allo scopo di garantire all'interessato un potere di scelta effettivo sull'ampiezza di utilizzo dei propri dati, per impostazione predefinita, al momento del primo accesso ad un sito web, non sarà possibile posizionare nel dispositivo dell'utente cookie diversi da quelli tecnici né utilizzare altre tecniche attive o passive di tracciamento.
Il cookie banner dovrà, inoltre, contenere, in alto a destra, una X mediante la quale chiuderlo accompagnata dall'avvertenza che, chiudendo il banner, verranno applicate le impostazioni di default.

▪ chiarimenti sui cookie analytics.
I cookie analytics possono essere equiparati ai cookie tecnici a condizione che non consentano la diretta individuazione dell'interessato (ad esempio, mascherando almeno la quarta componente degli indirizzi IP versione 4).

▪ possibilità di informativa c.d. multichannel.
L'informativa sui cookie, obbligatoria ai sensi degli artt. 13 e 14 GDPR, potrà essere fornita tramite più canali e modalità come video, pop-up informativi, interazioni vocali, assistenti virtuali, telefono, chatbot, ecc.

▪ necessità di codifica dei cookie.
Dal momento che allo stato attuale non esiste un sistema universalmente accettato di codifica dei cookie, che permetta di distinguere, ad esempio, gli analytics dai cookie di profilazione, i Titolari dovranno indicare, nell'informativa o nella privacy policy, i criteri di codifica degli identificatori adottati da ciascuno.

Il termine per l'adeguamento è fissato al 9 gennaio 2022.

- Studio Legale Facondini -

19/07/2021

Il 9 luglio sono state pubblicate sulla Gazzetta Ufficiale le nuove linee guida sui cookie e gli altri strumenti di tracciamento.

Ecco le principali novità:

▪ il semplice scroll down non equivale a manifestazione del consenso.
Lo scrolling, cioè lo spostamento del cursore lungo una pagina web, da solo non può essere considerato un'idonea manifestazione di consenso all'installazione dei cookie, tuttavia, può essere utilizzato come parte di un processo più articolato che permetta all'utente, con la generazione di un preciso pattern, di manifestare in modo inequivoco, consapevole e documentabile il proprio consenso.

▪ limiti all'uso del cookie wall.
Il cookie wall limita la libertà dell'utente poiché lo obbliga a scegliere tra accettare i cookie o non poter accedere al sito.
Il cookie wall può continuare ad essere utilizzato a condizione che il titolare del sito offra all'interessato la possibilità di accedere ad un contenuto o ad un servizio equivalenti senza prestare il proprio consenso all'uso di cookie o altri strumenti di tracciamento.

▪ se l'utente ha già rifiutato l'installazione dei cookie non è consentito riproporre il cookie banner ad ogni nuovo accesso al sito.
Come il cookie wall, anche la prassi di ripresentare insistentemente il cookie banner limita la libertà dell'utente poiché lo induce a prestare il proprio consenso al solo scopo di liberarsi dal banner e proseguire nella navigazione.
É consentito riproporre il cookie banner solamente in tre casi:
a) se è cambiata in maniera significativa una o più condizioni di trattamento (ad esempio, se sono mutate le “terze parti”);
b) se il gestore del sito web non è in grado di sapere se un cookie è stato precedentemente memorizzato nel dispositivo dell'utente (ad esempio, quando l'utente sceglie di cancellare i cookie dal proprio dispositivo);
c) se sono trascorsi almeno 6 mesi dalla precedente presentazione del banner.

▪ privacy by default e privacy by design applicate ai cookie.
Allo scopo di garantire all'interessato un potere di scelta effettivo sull'ampiezza di utilizzo dei propri dati, per impostazione predefinita, al momento del primo accesso ad un sito web, non sarà possibile posizionare nel dispositivo dell'utente cookie diversi da quelli tecnici né utilizzare altre tecniche attive o passive di tracciamento.
Il cookie banner dovrà, inoltre, contenere, in alto a destra, una X mediante la quale chiuderlo accompagnata dall'avvertenza che, chiudendo il banner, verranno applicate le impostazioni di default.

▪ chiarimenti sui cookie analytics.
I cookie analytics possono essere equiparati ai cookie tecnici a condizione che non consentano la diretta individuazione dell'interessato (ad esempio, mascherando almeno la quarta componente degli indirizzi IP versione 4).

▪ possibilità di informativa c.d. multichannel.
L'informativa sui cookie, obbligatoria ai sensi degli artt. 13 e 14 GDPR, potrà essere fornita tramite più canali e modalità come video, pop-up informativi, interazioni vocali, assistenti virtuali, telefono, chatbot, ecc.

▪ necessità di codifica dei cookie.
Dal momento che allo stato attuale non esiste un sistema universalmente accettato di codifica dei cookie, che permetta di distinguere, ad esempio, gli analytics dai cookie di profilazione, i Titolari dovranno indicare, nell'informativa o nella privacy policy, i criteri di codifica degli identificatori adottati da ciascuno.

Il termine per l'adeguamento è fissato al 9 gennaio 2022.

- Studio Legale Facondini -