header

Tool

Nell'articolo sono indicati strumenti (tool), software e modelli da utilizzare per la gestione dei dati personali e gli oneri collegati

  • Codici di condotta e protezione dei dati personali

    L'articolo 40 del Regolamento europeo (GDPR) regolamenta i codici di condotta, ossia strumenti di autodisciplina che stabiliscono regole di protezione dei dati per categorie di titolari e responsabili del trattamento. 

  • Consenso al trattamento

    Il consenso è una delle basi giuridiche del trattamento, nell'ambito del regolamento generale per la protezione dei dati personali.

  • Data Protection Officer (DPO)

    Il Data Protection Officer (DPO), o anche Responsabile per la Protezione dei Dati (RPD), è una figura introdotta dal nuovo regolamento europeo in materia di protezione di dati personali (art. 37 GDPR). 

  • Google Analytics e la protezione dei dati personali
    Google Analytics è conforme al GDPR?

    A seguito dell'invalidamento del Privacy Shield da parte della Corte di Giustizia europea, ci sono state diverse pronunce da parte di Garanti europei che hanno interessato i servizi di Analytics forniti da Google, tra i quali segnaliamo in particolare:
    - Garante Austria (provvedimento 22 dicembre 2021); 
    - CNIL - Garante Francia (provvedimento 10 febbraio 2022); 
    - Garante Italia (provvedimento 9 giugno 2022); 
    - Garante Danimarca (parere 21 settembre 2022). 

    Anche se i provvedimenti dei Garanti sono specifici e non generali, occorre comunque tenere presente che sono tutti concordi tra loro nello stabilire la non conformità di Google Analytics al GDPR. In particolare il Garante italiano ha pubblicato anche un comunicato in materia dove chiarisce che "Nel dichiarare l’illiceità del trattamento è stato ribadito che l’indirizzo IP costituisce un dato personale e anche nel caso fosse troncato non diverrebbe un dato anonimo, considerata la capacità di Google di arricchirlo con altri dati di cui è in possesso". 

    Infatti utilizzando Google Analytics un sito web raccoglie dei dati personali degli utenti e potrebbe inviarli anche ai server di Google negli Usa (mappa dei server di Google), con ciò innescando un trasferimento internazionale di dati personali che potrebbe essere non conforme alle norme europee. Anche l'utilizzo dell'anonimizzazione degli IP, secondo il CNIL, non renderebbe l'uso del servizio conforme, prima di tutto perché non è chiaro se l'anonimizzazione viene effettuata direttamente nel sito (quindi senza raccogliere il dato personale) oppure dopo la raccolta (e quindi nei server Usa). In realtà nelle pagine di supporto di Google è specificato che: "L'anonimizzazione/mascheramento dell'IP avviene non appena i dati vengono ricevuti da Google Analytics, prima che avvenga qualsiasi memorizzazione o elaborazione"). Ma anche anche perché l'uso di Analytics determina la raccolta anche di altri dati personali che però non sono anonimizzati: 
    - identificativo del visitatore (il cookie);
    - identificativo interno per gli utenti che sono loggati nei servizi Google;
    - identificativo dell'ordine (se presente);
    - indirizzo IP (anche se troncato). 
    In particolare un utente loggato nell'account Google potrebbe essere identificato anche in caso di anonimizzazione dell'IP, e questo grazie all'uso del fingerprint del dispositivo. In sintesi siamo in presenza di una identificabilitàdell'individuo con un ragionevole sforzo da parte di Google. 

    Il parere del Garante Privacy della Danimarca puntualizza che l'utilizzo di Google Analytics senza misure aggiuntive deve ritenersi non conforme al GDPR. In realtà le ulteriori misure aggiuntive messe a disposizione attualmente da Google non rende comunque legale lo strumento di analisi. Questo perché Google Analytics assegna all'utente un identificatore univoco, al quale sono abbinati ulteriori dati (data e ora di accesso, dati sul browser, ecc.). Le impostazioni messe a disposizione non consentono allo stato di disabilitare la condivisione dell'identificatore univoco e dei dati ulteriori. L'identificatore non permette un'identificazione precisa (nome e cognorme per capirci) ma è sufficiente per distinguere un individuo all'interno di un grupo, e pertanto deve considerarsi dati personale. Per cui l'invio negli Usa rende Analytics non conforme, in quanto comunque le autorità americane potrebbero richiedere e ottenere questi dati da Google. 

     

    La risposta di Google

    In questo quadro Google ha rilasciato la versione 4 di Analytics (la versione precedente sarà abbandonata entro luglio 2023), cercando di risolvere le problematiche evidenziate dai Garanti europei. In particolare Analytics 4 utilizza gli indirizzi IP per determinare la posizione (paese, città...) ma poi li elimina prima di inserire i dati sui server. Gli indirizzi IP in sostanza servono per stabilire il server ottimale (vedi i data center) sul quale effettuare l'elaborazione dei dati. Inoltre GA4 si basa sui cookie di prima parte, mentre la versione precedente era basata su cookie di terza parte (quindi maggiormente intrusivi). 

    Google Analytics 4 utilizza gli indirizzi IP per determinare le informazioni sulla posizione (paese, città, latitudine e longitudine della città) ma poi li elimina prima di inserire i dati in qualsiasi centro dati o server, come descrittoda Google. Google Analytics 4 permette anche dei controlli a livello territoriale e delle opzioni di personalizzazione che consentono di minimizzare la raccolta dei dati degli utenti. 

    Al momento non è dato sapere se Google Analytics 4 sia conforme alle norme europee, in quanto nessun Garante europeo si è occupato ancora di questo servizio (i provvedimenti riguardano la versione precedente, cioè Universal Analytics). Tuttavia è possibile fare alcune osservazioni. Innanzitutto GA4 utilizza comunque dei cookie e tiene traccia di dati personali (es. gli indirizzi IP), che comunque sono elaborati e possono essere trasferiti negli Usa. Tale possibilità potrebbe far propendere per una non confomità dello strumento, al pari della precedente versione. Inoltre anche se GA4 ha eliminato parte dei cookie, comunque l'identificazione dell'utente è possibile grazie ad un identificatore univoco che è comunque un dato personale. Google ha impostato la generazione dell'ID univoco a carico del cliente, per cui Google in teoria non sarebbe responsabile di alcuna violazione, ma l'utilizzo del servizio su un sito web potrebbe comunque non essere conforme alle norme. 

     

  • Google e la conformità al GDPR

    Con la piena applicazione del regolamento europeo per la protezione dei dati personali (GDPR) Google ha modificato i propri servizi al fine di conformarli alla normativa. 

  • Mailchimp e GDPR

     Come usare correttamente i servizi di MailChimp in conformità al GDPR e alla normativa in materia di protezione dati personali. 

  • Minori e protezione dati personali

    La tutela dei dati personali e della privacy dei minoriè divenuta un problema rilevante con l'avvento dei social network. La minore età, infatti, è legata a diritti rafforzati rispetto agli adulti, per cui il trattamento da parte delle aziende dei loro dati deve essere regolamentato in maniera differente. 

  • Notificazione al Garante

    Col nuovo regolamento europeo l'istituto della notifica e del prior checking vengono sostituiti da verifiche dell'autorità di controllo ex post, cioè compiute successivamente alle determinazioni assunte autonomamente dal titolare del trattamento

  • Privacy by design e by default

    Il Regolamento europeo per la protezione dei dati personali impone al titolare del trattamento l'adozione di misure tecniche ed organizzative adeguate al fine di tutelare i dati da trattamenti illeciti.

  • Privacy e controllo dei lavoratori

    Nell'effettuare i controlli sui lavoratori a fini di tutela dell'azienda, il titolare del trattamento deve realizzare un corretto bilanciamento tra gli interessi legittimi del datore di lavoro e le ragionevoli esigenze di protezione dei dati dei lavoratori. 

  • Protezione dati personali e professionisti

    Il regolamento europeo in materia di protezione dei dati personali (GDPR) si applica, ovviamente, anche ai professionisti, come avvocati, commercialisti, architetti, e ingegneri. 

  • Registro dei trattamenti

    La tenuta del registro dei trattamenti è prevista dall'articolo 30 del Regolamento generale europeo, ed è considerata indice di una corretta gestione dei trattamenti. 

  • Responsabile del trattamento

    Il responsabile del trattamento (in inglese data processor) nel nuovo regolamento europeo è la persona fisica, giuridica, pubblica amministrazione o ente che elabora i dati personali per conto del titolare del trattamento (art. 4, par. 1, n. 8 GDPR). 

  • Trasferimento dati extra UE

    Il regolamento europeo prevede una specifica regolamentazione per i trasferimenti di dati personali al di fuori dello spazio SEE (Spazio Economico Europeo, cioè l'Unione europea più Norvegia, Liechtenstein e Islanda). 

  • Tutela da trattamento illecito di dati personali

    Il regolamento europeo per la protezione dei dati personali (GDPR) prevede una serie di strumenti per la tutela dell'interessato in caso di trattamento illecito dei dati. 

  • Valutazione di impatto (DPIA) e rischio del trattamento

    La valutazione di impatto del trattamento (D.P.I.A., cioè Data Protection Impact Assessment) è un processo volto a descrivere il trattamento, valutarne la necessità e la proporzionalità e a gestire gli eventuali rischi per i diritti e le libertà delle persone derivanti dal trattamento. 

  • Violazioni di dati personali (data breach)

    L'art. 4 del regolamento europeo definisce la violazione dei dati personali (data breach) come "la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati".