La normativa europea in materia di Privacy ha subito un importante restyling attraverso l’entrata in vigore del nuovo Regolamento UE/679/2016 (GDPR, General Data Protection Regulation) recante disposizioni sulla protezione dei dati personali.
Il GDPR imporrà ai soggetti obbligati di rinnovare la Privacy Policy e di adeguarla ad un sistema improntato sulla maggior tutela possibile dei singoli utenti, sia in rete che nella vita reale. Per i siti internet una delle novità più importanti riguarda l’obbligo di informare gli interessati delle condizioni e delle modalità del trattamento dei dati che li riguardano al fine di ottenerne un consenso informato, cosciente ed espresso, senza il quale l’utilizzo delle informazioni personali risulterebbe illegittimo e, soprattutto, in contrasto con le disposizioni normative in materia. Per meglio comprendere la portata di tale riforma, si pensi che nel concetto di “trattamento dei dati personali” il GDPR inserisce non soltanto i dati tout court, ma anche la loro mera elaborazione, da intendersi quale attività e/o operazione avente ad oggetto le informazioni degli utenti: un classico esempio di elaborazione dei dati ai sensi del GDPR è costituito dalle operazioni di memorizzazione dell’IP tramite cookies (qui la definizione fornita dal sito ufficiale della Commissione Europea).
Ciò comporta che quando è possibile identificare un soggetto attraverso i cookies, questi divengono portatori di dati personali e, quindi, soggetti alla nuova disciplina UE in materia di preventivo consenso (informato ed espresso).
I siti web che utilizzano i cookies che raccolgono i dati personali degli interessati dovranno quindi aggiornare la loro Privacy Policy così da consentire che i visitatori del sito possano esprimere un consenso che non sia soltanto valido ed espresso ma anche documentato: il GDPR infatti impone ai siti web la trasmissione della documentazione di ciascun consenso ottenuto, al fine di verificare il rispetto delle norme in materia.
Per evitare di incorrere in una delle sanzioni previste dal Regolamento UE (art. 83 GDPR), i siti web dovranno innanzitutto aggiornare la Privacy Policy alla nuova normativa ed in particolare dovranno prestare particolare attenzione:
- alle modalità e condizioni di trattamento dei dati personali degli utenti;
- ai cookies o, più in particolare, ai banner per il consenso dei cookies e al rispetto della nuova disciplina prevista per la prestazione del consenso;
- alla Privacy policy del sito stesso.
La riforma che diverrà a breve vincolante non interessa soltanto i singoli siti web, ma si estende fino a ricomprendere l’intera disciplina del trattamento dei dati personali, a nulla rilevando lo strumento con il quale questi siano stati raccolti; con la conseguenza che tutti i soggetti potenzialmente capaci di utilizzare tali informazioni sono tenuti ad adeguarsi al GDPR e alla nuova disciplina in materia di Privacy.
