Privacy policy

Tutti possono liberamente raccogliere, per uso strettamente personale, dati personali riguardanti altri
individui, a patto di non diffonderli o comunicarli sistematicamente a terzi. (Un esempio: i dati raccolti per uso personale nelle proprie agende cartacee o elettroniche) Quando però i dati sono raccolti e utilizzati per altre finalità (ad esempio, un’azienda che vuole vendere prodotti, un professionista che vuole pubblicizzare i suoi servizi, un’associazione che vuole trovare nuovi iscritti, un partito che fa propaganda politica, ecc.), il trattamento
dei dati personali deve rispettare alcune regole:
Informativa
Fatte salve alcune eccezioni, chi intende effettuare un trattamento di dati personali deve prima fornire
all’interessato alcune informazioni (articolo 13 del Codice) per  metterlo nelle condizioni di esercitare i propri diritti (articolo 7 del Codice).
In particolare, l’informativa deve spiegare:
a) in che modo e per quale scopo verranno trattati i propri dati personali;
b) se il conferimento dei propri dati personali è obbligatorio o facoltativo;
c) le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali;
d) a chi saranno comunicati o se saranno diffusi i propri dati personali;
e) i diritti previsti dall’articolo 7 del Codice;
f) chi è il titolare e (se è stato designato) il responsabile del trattamento.
Se i dati personali sono stati raccolti da altre fonti (ad esempio, archivi pubblici, familiari dell’interessato,
ecc.), cioè non direttamente presso l’interessato, l’informativa deve essere resa:

•  quando i dati sono registrati oppure
• non oltre la prima comunicazione a terzi

L’omessa o inidonea informativa è punita con la sanzione amministrativa del pagamento di una somma da
seimila euro a trentaseimila euro (articolo 161 del Codice).
Consenso
Soggetti privati e enti pubblici economici
Fatte salve alcune eccezioni, per i soggetti privati e gli enti pubblici economici il trattamento di dati personali
è possibile con il consenso dell’interessato documentato per iscritto (articolo 23 del Codice), che è valido se:
all’interessato è stata resa l’informativa (articolo 13 del Codice);
è stato espresso dall’interessato liberamente e specificamente in riferimento ad un trattamento chiaramente
individuato (oppure a singole operazioni di trattamento)
Soggetti pubblici
Le pubbliche amministrazioni non devono richiedere il consenso dell’interessato, purché il trattamento sia
effettuato nell’ambito dello svolgimento delle proprie funzioni istituzionali (articolo 18 del Codice).
Il trattamento di dati personali effettuato in violazione dell’articolo 23 del Codice è punito con la sanzione
amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis, del Codice).
Modalità del trattamento Misure di sicurezza
Il trattamento deve avvenire riducendo al minimo l’utilizzo di dati personali (principio di necessità  – articolo 3
del Codice), oltre che nel rispetto dei seguenti principi (articolo 11 del Codice):
liceità e correttezza del trattamento;
finalità del trattamento;
esattezza e aggiornamento dei dati;
pertinenza, completezza e non eccedenza dei dati raccolti rispetto alle finalità del trattamento;
conservazione dei dati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato
effettuato il trattamento.
Il titolare del trattamento è obbligato ad adottare misure di sicurezza idonee a ridurre al minimo i rischi di
distruzione, perdita, accesso non autorizzato o trattamento dei dati personali non consentito o non conforme alle finalità della raccolta (articolo 31 del Codice).
In particolare, il titolare deve adottare le misure minime di sicurezza (articolo 33 del Codice e Allegato B al
Codice) volte ad assicurare un livello minimo di protezione dei dati personali.
L’omessa applicazione delle misure minime di sicurezza è punita con la sanzione amministrativa del
pagamento di una somma da diecimila euro a centoventimila euro (articolo  162, comma 2 bis del Codice) e con la sanzione penale dell’arresto fino a 2 anni (articolo 169 del Codice).

Notificazione Verifica preliminare

Nei casi espressamente indicati, che presentano rischi particolari legati alla tutela dei diritti e delle libertà
delle persone interessate, il titolare deve notificare al Garante per la protezione dei dati personali l’intenzione di effettuare un trattamento prima di iniziarlo (articolo 37 del Codice).
L’omessa, ritardata o incompleta notificazione del trattamento, quando prevista, è punita con la sanzione
amministrativa del pagamento di una somma da ventimila euro a centoventimila euro (articolo 163 del Codice).
Nel caso in cui il trattamento dei dati personali, pur non coinvolgendo dati sensibili o dati giudiziari, presenti
rischi specifici per i diritti e le libertà fondamentali ovvero per la dignità delle persone in relazione:
alla natura particolare dei dati trattati (ad esempio: dati biometrici);
oppure, alle modalità del trattamento (ad esempio: sistemi di raccolta delle immagini associate a dati
biometrici);
oppure, agli effetti che il trattamento può determinare.
il Garante per la protezione dei dati personali – su richiesta del titolare o d’ufficio – effettua una verifica
preliminare all’inizio del trattamento, a seguito della quale può prescrivere misure ed accorgimenti particolari a tutela dell’interessato (articolo 17 del Codice).
Il trattamento di dati personali effettuato in violazione dell’articolo 17 del Codice è punito con la sanzione
amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis del Codice).

TRATTAMENTO DI DATI SENSIBILI E GIUDIZIARI
Soggetti privati e enti pubblici economici
I soggetti privati e gli enti pubblici economici possono effettuare un trattamento di:

• dati sensibili con il consenso scritto dell’interessato e previa autorizzazione del Garante per la protezione
  dei dati personali (articolo 26 del
  Codice), salvo alcune eccezioni specificamente previste;
• dati giudiziari se autorizzati da una espressa disposizione di legge o da un  provvedimento del Garante per
  la protezione dei dati personali (articolo 27 del Codice).
  Soggetti pubblici
  Le pubbliche amministrazioni possono effettuare un trattamento di dati sensibili e dati giudiziari sulla base
  delle disposizioni specifiche previste dagli articoli 20, 21 e 22 del Codice in materia di protezione dei dati personali.
  TRASFERIMENTO DEI DATI ALL’ESTERO
  Verso Paesi appartenenti all’Unione europea
  Le legislazioni dei Paesi aderenti all’Unione europea (adottate in attuazione della direttiva comunitaria
  95/46/CE) sono considerate equivalenti

in relazione all’adeguata tutela in materia di protezione dei dati personali. Il trasferimento attraverso o verso
questi Paesi non è  quindi soggetto a particolari restrizioni (articolo 42 del Codice).
Verso Paesi non appartenenti all’Unione europea.

Il  trasferimento di dati personali verso Paesi non appartenenti all’Unione europea è possibile quando:

• ricorre una delle condizioni  previste dall’articolo 43 del Codice in materia di protezione dei dati personali
• oppure, è autorizzato dal Garante per la protezione dei dati personali sulla base di adeguate garanzie per i
  diritti dell’interessato (articolo 44 del Codice) Fuori da questi casi, il trasferimento è vietato quando l’ordinamento del Paese di destinazione o di transito dei dati personali non assicura un livello adeguato di tutela delle persone (articolo 45 del Codice).
  Il trasferimento di dati personali effettuato in violazione dell’articolo 45 del Codice è punito con la sanzione
  amministrativa del pagamento di una somma da diecimila euro a centoventimila euro (articolo 162, comma 2 bis del Codice).
  CESSAZIONE DEL TRATTAMENTO
  In caso di cessazione del trattamento, i dati personali devono essere (articolo 16 del Codice):
  a) distrutti;
  b) ceduti ad altro titolare, purchè destinati ad un trattamento in termini compatibili agli scopi per i quali i dati
  sono raccolti;
  c) conservati per fini esclusivamente personali e non destinati ad una comunicazione sistematica o alla
  diffusione;
  d) conservati o ceduti ad altro titolare per scopi storici, statistici o scientifici.
  Per ulteriori informazioni è anche possibile contattare l’Ufficio relazioni con il pubblico (URP) del Garante
• (Scheda di sintesi redatta dall’Ufficio del Garante a mero scopo divulgativo. Per un quadro completo della
  materia, si rimanda alla legislazione
  in tema di protezione dei dati personali e ai provvedimenti dell’Autorità. Per dubbi e domande si suggerisce
  di contattare l’Urp del Garante)

Privacy e cookie informativa completa fare riferimento al sito:
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3585077

Coockie

1. Cosa sono i cookie?
   I cookie sono piccoli file di testo che i siti visitati dagli utenti inviano ai loro terminali, ove vengono
   memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. I cookie delle c.d. “terze parti” vengono, invece, impostati da un sito web diverso da quello che l’utente sta visitando. Questo perché su ogni sito possono essere presenti elementi (immagini, mappe, suoni, specifici link a pagine web di altri domini, ecc.) che risiedono su server diversi da quello del sito visitato.
2. A cosa servono i cookie?
   I cookie sono usati per differenti finalità: esecuzione di autenticazioni informatiche, monitoraggio di
   sessioni, memorizzazione di informazioni su specifiche configurazioni riguardanti gli utenti che accedono al server, memorizzazione delle preferenze, ecc.
3. Cosa sono i cookie “tecnici”?
   Sono i cookie che servono a effettuare la navigazione o a fornire un servizio richiesto dall’utente. Non
   vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare del sito web.
   Senza il ricorso a tali cookie, alcune operazioni non potrebbero essere compiute o sarebbero più
   complesse e/o meno sicure, come ad esempio le attività di home banking (visualizzazione dell’estratto conto, bonifici, pagamento di bollette, ecc.), per le quali i cookie, che consentono di effettuare e mantenere l’identificazione dell’utente nell’ambito della sessione, risultano indispensabili.
4. I cookie analytics sono cookie “tecnici”?
   No. Il Garante (cfr. provvedimento dell’8 maggio 2014) ha precisato che possono essere assimilati ai
   cookie tecnici soltanto se utilizzati a fini di ottimizzazione del sito direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.
5. Cosa sono i cookie “di profilazione”?
   Sono i cookie utilizzati per tracciare la navigazione dell’utente in rete e creare profili sui suoi gusti, abitudini, scelte, ecc. Con questi cookie possono essere trasmessi al terminale dell’utente messaggi pubblicitari in linea con le preferenze già manifestate dallo stesso utente nella navigazione online.

6. È necessario il consenso dell’utente per l’installazione dei cookie sul suo terminale?
   Dipende dalle finalità per le quali i cookie vengono usati e, quindi, se sono cookie “tecnici” o di
   “profilazione”. Per l’installazione dei cookie tecnici non è richiesto il consenso degli utenti, mentre è necessario dare
   l’informativa (art. 13 del Codice privacy). I cookie di profilazione, invece, possono essere installati sul terminale dell’utente soltanto se questo abbia espresso il proprio consenso dopo essere stato informato con modalità semplificate.
7. In che modo il titolare del sito deve fornire l’informativa semplificata e richiedere il consenso all’uso dei cookie di profilazione?
   Come stabilito dal Garante nel provvedimento indicato alla domanda n. 4, l’informativa va impostata su
   due livelli. Nel momento in cui l’utente accede a un sito web (sulla home page o su qualunque altra pagina), deve
   immediatamente comparire un banner contenente una prima informativa “breve”, la richiesta di consenso all’uso dei cookie e un link per accedere ad un’informativa più “estesa”. In questa pagina, l’utente potrà reperire maggiori e più dettagliate informazioni sui cookie scegliere quali specifici cookie autorizzare.
8. Come deve essere realizzato il banner?
   Il banner deve avere dimensioni tali da coprire in parte il contenuto della pagina web che l’utente sta visitando. Deve poter essere eliminato soltanto tramite un intervento attivo dell’utente, ossia attraverso la selezione di un elemento
   contenuto nella pagina sottostante.
9. Quali indicazioni deve contenere il banner?
   Il banner deve specificare che il sito utilizza cookie di profilazione, eventualmente anche di “terze parti”, che consentono di inviare messaggi pubblicitari in linea con le preferenze dell’utente. Deve contenere il link all’informativa estesa e l’indicazione che, tramite quel link, è possibile negare il consenso all’installazione di qualunque cookie.
   Deve precisare che se l’utente sceglie di proseguire “saltando” il banner, acconsente all’uso dei cookie.
10. In che modo può essere documentata l’acquisizione del consenso effettuata tramite l’uso del banner?

Per tenere traccia del consenso acquisito, il titolare del sito può avvalersi di un apposito cookie tecnico,
sistema non particolarmente invasivo e che non richiede a sua volta un ulteriore consenso.
In presenza di tale “documentazione”, non è necessario che l’informativa breve sia riproposta alla
seconda visita dell’utente sul sito, ferma restando la possibilità per quest’ultimo di negare il consenso e/o modificare, in ogni momento e in maniera agevole, le proprie opzioni, ad esempio tramite accesso all’informativa estesa, che deve essere quindi linkabile da ogni pagina del sito.

11. Il consenso online all’uso dei cookie può essere chiesto solo tramite l’uso del banner?
    No. I titolari dei siti hanno sempre la possibilità di ricorrere a modalità diverse da quella individuata dal
    Garante nel provvedimento sopra indicato, purché le modalità prescelte presentino tutti i requisiti di validità del consenso richiesti dalla legge.
12. L’obbligo di usare il banner grava anche sui titolari di siti che utilizzano solo cookie tecnici?
    No. In questo caso, il titolare del sito può dare l’informativa agli utenti con le modalità che ritiene più
    idonee, ad esempio, anche tramite l’inserimento delle relative indicazioni nella privacy policy indicata nel sito.
13. Cosa deve indicare l’informativa “estesa”?
    Deve contenere tutti gli elementi previsti dalla legge, descrivere analiticamente le caratteristiche e le
    finalità dei cookie installati dal sito e consentire all’utente di selezionare/deselezionare i singoli cookie.
    Deve includere il link aggiornato alle informative e ai moduli di consenso delle terze parti con le quali il
    titolare ha stipulato accordi per l’installazione di cookie tramite il proprio sito.
    Deve richiamare, infine, la possibilità per l’utente di manifestare le proprie opzioni sui cookie anche
    attraverso le impostazioni del browser utilizzato.
14. Chi è tenuto a fornire l’informativa e a richiedere il consenso per l’uso dei cookie?
    Il titolare del sito web che installa cookie di profilazione. Per i cookie di terze parti installati tramite il sito, gli obblighi di informativa e consenso gravano sulle terze parti, ma il titolare del sito, quale intermediario tecnico tra queste e gli utenti, è tenuto a inserire nell’informativa “estesa” i link aggiornati alle informative e ai moduli di consenso delle terze parti stesse.
15. L’uso dei cookie va notificato al Garante?

I cookie di profilazione, che di solito permangono nel tempo, sono soggetti all’obbligo di notificazione,
mentre i cookie che hanno finalità diverse e che rientrano nella categoria dei cookie tecnici, non debbono essere notificati al Garante.

16. Quando entrano in vigore le misure prescritte dal Garante con il provvedimento dell’8 maggio 2014?
    Il Garante ha previsto un periodo transitorio di un anno a decorrere dalla pubblicazione del provvedimento in Gazzetta Ufficiale per consentire ai soggetti interessati di mettersi in regola. Tale periodo terminerà il 2 giugno 2015.