FAQ Videosorveglianza- Ministero del Lavoro e delle Politiche Sociali

black and white icons of surveillance camerasDi seguito le Domande ricorrenti degli utenti (FAQ) in materia di Videosorveglianza indirizzate al Ministero del Lavoro e delle Politiche Sociali. 


Vorrei installare un impianto di videosorveglianza nella mia azienda, dove occupo un solo dipendente. Cosa devo fare per legittimarne l’utilizzo?

Le aziende che occupano fino a 15 dipendenti e che intendano installare nei luoghi di lavoro un impianto di videosorveglianza hanno l’obbligo, sancito dall’art. 114 del D.Lvo N° 196/2003 che richiama l’art. 4 della Legge N° 300/1970, di munirsi di apposita autorizzazione all’installazione ed all’utilizzo dell’impianto, rilasciata dalla Direzione Territoriale del Lavoro (DTL) competente per territorio, previa presentazione di apposita istanza.

Secondo tale norma, nella fattispecie devono ricorrere esigenze organizzative e produttive ovvero di sicurezza del lavoro (da estendere anche al concetto di tutela del patrimonio). La richiesta va fatta, a cura del titolare dell’impianto, utilizzando (preferibilmente) l’apposito modulo messo a disposizione dalla DTL sul sito www.lavoro.gov.it accedendo al link Uffici Territoriali.

A conclusione delle relative valutazioni tecniche, effettuate sulla base della documentazione allegata all’istanza, l’Ufficio rilascia alla ditta il provvedimento di autorizzazione, individuando, nello stesso, opportune condizioni di utilizzo del sistema che hanno potere vincolante per l’azienda.

L’obbligo di cui sopra vige anche per le aziende che, occupando più di 15 dipendenti, siano sprovviste di rappresentanti sindacali aziendali (RSA o RSU) o che, pur avendoli, non hanno raggiunto un accordo sindacale con gli stessi per l’utilizzo dell’impianto di videosorveglianza. L’obbligo non vige per le aziende che non occupano dipendenti. In tutti i casi sopra esposti, il titolare dell’impianto, e quindi del trattamento dei dati, deve comunque ottemperare agli obblighi di informativa previsti dall’art. 13 del D.Lvo N° 196/2003.


Per utilizzare un impianto di videosorveglianza in azienda è sufficiente far sottoscrivere ai lavoratori dipendenti una nota di consenso?

No. Il consenso espresso dai lavoratori è materia privacy che riguarda l’applicazione degli artt. 23 e 24 del D.Lvo N° 196/2003. Esso non ha nulla a che fare con la procedura prevista dall’art. 4, comma 2, della Legge N° 300/1970, che indica nell’accordo con le rappresentanze sindacali aziendali, eventualmente presenti in azienda, la strada maestra per la legittimazione dell’impianto. La stessa procedura prevede inoltre che, in difetto di accordo, ricorra per il datore di lavoro l’obbligo di richiedere alla Direzione Territoriale del Lavoro il rilascio dell’apposita autorizzazione.  


E’ necessario allegare all’istanza le informative firmate dai dipendenti?

L’informativa consegnata ai dipendenti non è tra i documenti da allegare all’istanza.


Posso installare l’impianto di videosorveglianza e tenerlo spento fino a quando otterrò l’autorizzazione?

La norma prevede l’attivazione della procedura art. 4, comma 2, della Legge N° 300/1970 non solo per l’utilizzo dell’impianto ma, ancor prima, per l’installazione. Pertanto si consiglia di presentare l’istanza dopo aver approntato un progetto di massima, evitando di procedere con l’installazione e calcolando un lasso di tempo che varia tra i 30 ed i 60 giorni, a partire dalla data della richiesta, per ottenere l’autorizzazione.


Se le telecamere inquadrano solo l’esterno della ditta, è comunque necessario richiedere l’autorizzazione?

L’orientamento giurisprudenziale tende ad identificare come luoghi soggetti alla normativa in questione anche quelli esterni dove venga svolta attività lavorativa in modo saltuario o occasionale (ad es. zone di carico e scarico merci).

Sarebbero invece da escludere dall’applicazione della norma quelle zone esterne estranee alle pertinenze della ditta, come ad es. il suolo pubblico, anche se antistante alle zone di ingresso all’azienda.  


A che cosa serve l’autorizzazione?

L’autorizzazione, come pure l’accordo sindacale con le RSA, è lo strumento attraverso il quale si stabiliscono modalità di utilizzo di un sistema di controllo a distanza che, nel soddisfare le esigenze manifestate dall’azienda, sono comunque tese a preservare le libertà fondamentali e la dignità dei lavoratori occupati nei luoghi di lavoro. 


La normativa si riferisce solo alle aziende commerciali?

No. La normativa si riferisce a qualsiasi tipo di attività, per l’effettuazione della quale venga occupato personale dipendente.


Dovendo richiedere l’autorizzazione a quale Ufficio mi devo rivolgere?

L’Ufficio preposto al rilascio dell’autorizzazione è la Direzione Territoriale del Lavoro competente per territorio nella provincia dove ha sede l’unità locale della ditta presso cui si intende installare l’impianto.


Dovendo richiedere l’autorizzazione per più sedi aziendali ubicate nella stessa provincia, basta inoltrare una sola istanza?

L’autorizzazione va riferita ad una singola sede aziendale presso la quale il sistema di controllo (videosorveglianza, geolocalizzazione ecc) venga installato. Pertanto il datore di lavoro deve presentare una istanza per ciascuna sede aziendale interessata.


Oltre alle due marche da bollo, sono previste altre spese per ottenere l’autorizzazione?

Non sono previste altre spese.


Le due marche da bollo vanno applicate entrambe sull’istanza?

Solo una delle due marche da bollo va applicata sull’istanza. L’altra deve essere allegata alla documentazione e verrà successivamente applicata sul provvedimento di autorizzazione al momento del rilascio.


Per la redazione dell’istanza è indispensabile utilizzare il modello di istanza proposto dalla Direzione Territoriale del Lavoro?

Non è obbligatorio utilizzare il modello proposto dalla DTL, il quale ha solo una funzione di supporto alle aziende nella fase di presentazione della richiesta. Il datore di lavoro può pertanto approntare un modulo personalizzato che contenga, però, tutti gli elementi necessari per una adeguata valutazione dell’istanza.


La documentazione relativa alla relazione tecnica ed alle planimetrie deve essere approntata e firmata da un professionista?

Tale documentazione non necessita di attestati di certificazione, in quanto il datore di lavoro, nel sottoscrivere l’istanza, si assume la responsabilità della veridicità delle informazioni fornite. La relazione tecnica e le planimetrie, pertanto, possono essere preparate direttamente dal datore di lavoro.


L’autorizzazione viene rilasciata contestualmente alla presentazione dell’istanza?

No, in quanto vanno fatte da parte dell’Ufficio le opportune valutazioni tecniche ed, in alcuni casi (qualora si tratti di autorizzare sistemi complessi o quando le informazioni fornite dall’azienda risultino carenti sotto alcuni aspetti), è necessario procedere con l’effettuazione di un sopralluogo in azienda a cura del personale tecnico della DTL incaricato per la valutazione del caso.


L’autorizzazione ha una scadenza?

L’autorizzazione mantiene la sua validità fintanto che nulla cambi nella configurazione dell’impianto installato, rispetto a quanto autorizzato. In tal senso si può affermare che l’autorizzazione non ha scadenza.

E’ però opportuno che, in caso di modifiche, il datore di lavoro comunichi alla DTL le variazioni che intende apportare all’impianto, affinché l’Ufficio abbia modo di intervenire sul provvedimento di autorizzazione già rilasciato con integrazioni o sostituzioni.


Quali sono le informazioni contenute nell’autorizzazione?

L’autorizzazione contiene informazioni:

  • sul numero,
  • sul tipo e
  • sulla dislocazione delle apparecchiature facenti parte dell’impianto,
  • nonché sulle modalità di funzionamento dello stesso.

Vi sono inoltre elencate alcune condizioni di utilizzo individuate dall’Ufficio al fine di:

  • evitare un indebito controllo a distanza dell’attività lavorativa svolta dai dipendenti;
  • impedire l’acquisizione di dati non pertinenti con le finalità dell’impianto o comunque lesivi della riservatezza dei lavoratori;
  • garantire l’adozione di adeguate misure di protezione dei dati raccolti;
  • fissare entro i limiti previsti dalla norma i tempi di conservazione dei dati.

Quali sono le principali condizioni di utilizzo previste per poter autorizzare un impianto di videosorveglianza negli ambienti di lavoro?

Il mantenimento dell’impianto a circuito chiuso all’interno della sede aziendale è una delle condizioni più importanti cui si ricorre al fine di evitare che si possano liberamente visionare le immagini da postazione remota mediante l’impiego di PC, tablet o telefoni cellulari.

Si può derogare a tale divieto nel caso il datore di lavoro abbia affidato alle Forze dell’Ordine (Questura o Carabilineri), oppure ad un Istituto di Vigilanza privato, il servizio di videosorveglianza mediante collegamento dell’impianto con la centrale operativa di tali soggetti.

Anche il coinvolgimento del personale dipendente, nelle occasioni in cui sia necessario accedere alla visione od allo scarico delle immagini registrate, è una delle condizioni imprescindibili previste nell’autorizzazione. Tale coinvolgimento si garantisce, di fatto, prescrivendo la condivisione tra datore di lavoro e dipendenti della password di accesso alle registrazioni.

In merito al posizionamento ed all’orientamento delle telecamere, poi, si assicura che, ad eccezione dei locali aperti alla clientela, per i quali non sono previste particolari restrizioni, negli ambienti di lavoro non vengano inquadrate postazioni fisse o zone destinate alla esecuzione dell’attività lavorativa.

Sono ammesse invece telecamere che sorveglino porte, finestre o zone di passaggio come i corridoi.


Oltre all’affidamento del servizio alle Forze dell’Ordine, ci sono altri casi particolari per cui è consentito il collegamento dell’impianto di videosorveglianza a postazione remota?

Si. Nel caso il datore di lavoro, a fronte di un basso rischio di furti o rapine nelle fasce orarie di apertura della ditta, non ravvisi la necessità di mantenere in funzione l’impianto di videosorveglianza durante lo svolgimento dell’attività lavorativa, si può autorizzare l’attivazione dell’impianto solo ed esclusivamente nelle fasce orarie di chiusura, senza alcuna restrizione in relazione al controllo delle immagini da remoto.


Ho rilevato una attività aziendale per la quale al vecchio proprietario è stata già rilasciata una autorizzazione alla installazione di un impianto di videosorveglianza. Cosa devo fare?

L’autorizzazione viene intestata alla ditta che utilizza il sistema. Nel caso cambi la ragione sociale di tale ditta, il soggetto subentrante deve provvedere a richiedere, mediante istanza, il rilascio di una nuova autorizzazione, segnalando eventuali modifiche che venissero fatte sull’impianto.  


La mia azienda non occupa dipendenti per gran parte dell’anno, ad eccezione di alcuni periodi in cui si ricorre ad assunzioni a termine od a chiamata. Devo richiedere ugualmente l’autorizzazione?

Si. Nel caso specifico l’autorizzazione ha vigore solo nei periodi di occupazione di personale dipendente, mentre rimane sospesa nel resto dell’anno.


Oltre alla videosorveglianza, ci sono altri ambiti di applicazione dell’art. 4 Legge N° 300/70?

La norma ricorre ogni qualvolta si intenda utilizzare in ambienti lavorativi apparecchiature dalle quali possa scaturire un incidentale controllo a distanza dell’attività lavorativa.

In tal senso rientrano in tale ambito, ad esempio, anche:

  • gli impianti di geolocalizzazione satellitare degli automezzi o di dispositivi aziendali dotati di GPS,
  • il trattamento dei dati relativi a traffico di posta elettronica ed internet o ad attività svolta con sistemi informatici,
  • le registrazioni di conversazioni telefoniche o di dati telefonici aziendali.  

Si può inoltrare l’istanza alla Direzione Territoriale del Lavoro via PEC?

No, a causa della necessità di presentare le marche da bollo.

Annunci

Prestiti, preventivi on line: maggiore rispetto per i consumatori in difficoltà

soldil Garante vieta l’uso dei dati senza consenso per finalità di marketing: le aziende che offrono servizi di preventivi on line per l’accesso al credito devono rispettare le regole a protezione dei dati personali e non possono “sfruttare” a fini di marketing  la debolezza dei consumatori nel delicato momento della ricerca di possibili fonti di finanziamento (prestiti personali, cessioni del quinto, consolidamento di debiti). Tanto più tenuto conto dell’attuale situazione di crisi economica.
 
È il principio che emerge da un provvedimento del Garante privacy [doc. web n. 3568046] che ha vietato ad una società di intermediazione on line l’utilizzo dei dati personali degli utenti a fini di marketing senza un loro consenso specifico al trattamento.
L’intervento del Garante si è reso necessario per tutelare i numerosi consumatori che si rivolgono ai fornitori di servizi che fanno da tramite tra gli utenti e gli intermediari abilitati, come le banche o le società finanziarie: si pensi, infatti, che questi fornitori ricevono ogni giorno centinaia di richieste di preventivi.
 
L’Autorità, intervenuta in occasione di una segnalazione in cui si lamentava la ricezione di comunicazioni promozionali indesiderate, ha accertato che la società sottoponeva agli utenti un modello di richiesta di consenso unico, peraltro già pre-compilato nella casella relativa all’assenso, sia per la fornitura del servizio richiesto, sia per finalità diverse, quali l’invio di informazioni commerciali e la fidelizzazione del cliente.
Il Codice Privacy stabilisce invece che gli interessati devono essere messi in grado di esprimere consapevolmente e liberamente le proprie scelte, manifestando un consenso specifico al trattamento per ciascuna distinta finalità perseguita dal titolare del trattamento.
 
Oltre al provvedimento di divieto, l’Autorità ha prescritto alla società di modificare e integrare l’informativa presente sul sito, avvisando chiaramente gli utenti riguardo:
  • a tutti i possibili trattamenti di dati effettuati,
  • alle modalità con cui eventualmente intenda in futuro effettuare l’attività promozionale per conto proprio o di soggetti terzi e anche all’eventuale comunicazione ad altri soggetti.

Infine, qualora la società intendesse continuare a raccogliere dati personali per finalità diverse da quella di erogazione del servizio, dovrà acquisire un consenso specifico per ciascuna finalità.

Privacy e videosorveglianza: no alle telecamere negli spogliatoi aziendali

portierato ferraraLegittima l’aspettativa di riservatezza dei lavoratori: un’azienda non potrà installare le  telecamere all’interno degli spogliatoi dei dipendenti.

Lo ha ribadito il  Garante della privacy [doc. web n. 3325380] che ha respinto la richiesta di una società di attivare un sistema di videosorveglianza che avrebbe violato la legittima aspettativa di intimità e la dignità dei lavoratori.

L’Azienda

L’azienda metalmeccanica riteneva la misura necessaria per arginare le “numerose e ripetute segnalazioni di effrazioni negli spogliatoi”, che l’avevano già  indotta a rafforzare gli armadietti, dotandoli di lucchetti, e a installare una telecamera all’ingresso degli spogliatoi.

Alla richiesta presentata al Garante, la società aveva anche allegato:

  • alcune denunce di furti avvenuti negli ultimi due anni, nonché
  • un accordo raggiunto con i sindacati aziendali che secondo l’impresa avrebbe consentito l’estensione dell’attuale impianto di videosorveglianza all’interno degli spogliatoi.

Il Garante

Nel vietare l’attuazione del progetto, il Garante ha ritenuto che l’installazione delle  telecamere negli  spogliatoi dei dipendenti non fosse conforme alle norme sulla protezione dei dati personali.

Il sistema, infatti, era configurato in modo tale da prevedere espressamente il minuzioso controllo dell’intera area adibita a spogliatoio, senza alcuna limitazione all’angolo di ripresa, in una zona connotata, invece, da una particolare aspettativa di riservatezza e di tutela della intimità e dignità della persona.

L’azienda, inoltre, non aveva motivato l’inutilità delle misure di sicurezza già adottate (rafforzamento degli armadietti, telecamera all’ingresso degli spogliatoi) e anche le denunce, presentate a sostegno del progetto,  riguardavano furti avvenuti in altre aree dell’azienda e al di fuori dell’orario di lavoro.

Il progetto, per giunta, non rispettava neppure l’accordo raggiunto con i sindacati né per quanto riguarda i luoghi di installazione delle telecamere né, ad esempio, per i tempi di conservazione delle immagini.

App mediche: Garante Privacy, serve più trasparenza nell’uso dei dati

mobile-health-550x400_cUna su due non fornisce agli utenti un’informativa prima del download o chiede dati eccessivi rispetto alle funzionalità offerte: serve più trasparenza nell’uso dei dati degli utenti che scaricano app mediche in Italia.

I risultati dell’indagine, avviata a maggio dal Garante Privacy per verificare il rispetto della normativa italiana sulla protezione dati da parte di applicazioni che utilizzano dati sanitari, mostrano come anche nel nostro Paese gli utenti non siano adeguatamente tutelati e troppe volte non siano messi in grado di esprimere un consenso libero e informato.

Quello delle app mediche è un settore in crescente sviluppo che presenta profili molto delicati per la privacy delle persone. L’azione del Garante si inserisce nell’ambito del “Privacy Sweep 2014”, l'”indagine a tappeto” promossa dal Global Privacy Enforcement Network (GPEN), la rete internazionale nata per rafforzare la cooperazione tra le Autorità della privacy di tutto il mondo e di cui il Garante italiano fa parte. La scelta tutta italiana di analizzare app del settore medico o di wellness è in linea con le preoccupazioni manifestate dall’Europa su questo tema. La Commissione Europea ha di recente avviato una consultazione sulla Mobile Health e ha pubblicato il Libro Verde sulle applicazioni sanitarie mobili (Green Paper on Mobile Health).

Una su due delle applicazioni mediche italiane e straniere analizzate dagli “sweepers” dell’Authority italiana, scelte a campione tra le più scaricate disponibili sulle varie piattaforme (Android, iOs, Windows, etc.):

  • non fornisce agli utenti un’informativa sull’uso dei dati preventiva all’installazione, oppure
  • dà informazioni generiche, o
  • chiede dati eccessivi rispetto alle funzionalità offerte.

In molti casi l’informativa privacy:

  • non viene adattata alle ridotte dimensioni del monitor, risultando così poco leggibile, o
  • viene collocata in sezioni riguardanti, ad esempio, le caratteristiche tecniche dello smarphone o del tablet

A seguito dell’esito dell’indagine, il Garante sta valutando le azioni da intraprendere, anche al fine di possibili interventi prescrittivi o sanzionatori.

A livello internazionale, l’iniziativa ha fatto crescere le preoccupazioni sulle app, che offrono funzionalità che vanno dai giochi al meteo, dalle news ai servizi bancari. I risultati dell’indagine hanno mostrato come vi sia una scarsa attenzione alla tutela degli utenti e la necessità che questi software, che raccolgono un’ingente mole di informazioni personali, rendano più trasparente e chiaro l’uso delle stesse.

Su un totale di oltre 1200 applicazioni esaminate, appena il 15% risulta dotato di un’informativa privacy realmente chiara. Nel 59% dei casi è stato difficile per le Autorità di protezione dati reperire un’informativa privacy prima dell’installazione.

Fascicolo sanitario elettronico: via libera al primo decreto attuativo

1342164699Consenso specifico del Paziente e tracciabilità degli accessi al Fse 

Primi passi concreti per la realizzazione del fascicolo sanitario elettronico, l’insieme dei dati e dei documenti digitali che rappresentano la storia clinica e sanitaria di una persona. Il Garante per la privacy ha espresso parere favorevole [doc. web n. 3230826] su uno schema di decreto del  Presidente del Consiglio dei ministri –  il primo di  una serie di decreti attuativi previsti dalla norma di legge – che consentirà a Regioni e Province autonome di dare il via al Fse.

Già nel 2009 l’Autorità era intervenuta  in tale materia con un provvedimento generale, svolgendo un ruolo di “supplenza” in attesa di una normativa adeguata. Lo schema odierno individua i primi contenuti  da attivare a livello nazionale:

  • i dati e i documenti da inserire nel fascicolo elettronico;
  • le responsabilità e i compiti dei soggetti coinvolti; 
  • le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali; 
  • le modalità e i livelli diversificati di accesso al fascicolo;
  • i criteri di interoperabilità, nonché i contenuti informativi e le codifiche del profilo sanitario sintetico e del referto di laboratorio.

Lo schema di decreto è stato elaborato nell’ambito di un tavolo di lavoro istituito presso il Ministero della salute cui ha partecipato anche l’Ufficio del Garante fin dalla sua costituzione nel gennaio 2013.

Informativa e consenso specifico

Il testo che ha avuto l’ok del Garante prevede, in particolare, che:

  • il paziente sia informato chiaramente e possa decidere con maggiore consapevolezza se dare il consenso all’alimentazione del Fse (in mancanza del quale il fascicolo rimarrà vuoto e quindi non accessibile,  né per finalità di cura, né per finalità di ricerca o di programmazione sanitaria e monitoraggio),
  • e in caso positivo, decidere se dare anche il consenso per finalità di cura (in mancanza del quale il fascicolo potrà essere utilizzato solo per finalità di monitoraggio, programmazione e ricerca, con le dovute garanzie di anonimato)
  • il paziente potrà decidere, inoltre, con un consenso ad hoc, se far inserire nel Fse alcune informazioni di particolare delicatezza (sieropositività, interruzione volontaria di gravidanza, violenza sessuale, pedofilia, uso di sostanze stupefacenti,  parto in anonimato).

Giova comunque ricordare che la mancata  adesione al Fse non preclude la possibilità di aderire alle prestazioni del servizio sanitario nazionale.

Accessi al Fse e data breach

  • Gli accessi al Fse da parte degli operatori del Ssn dovranno essere tracciabili e
  • la consultazione del Fse dovrà essere limitata al personale sanitario che abbia in cura effettivamente il paziente, e solo per il tempo necessario.

Per scongiurare il rischio di accessi abusivi, lo schema è stato integrato prevedendo l’obbligo per il titolare del trattamento di avvisare immediatamente il Garante nel caso in cui i dati trattati nell’ambito del Fse subiscano violazioni (c.d. “data breach”: derivanti da attacchi informatici, incendi o altre calamità).

Telecamere “intelligenti”: sì del Garante a Bankitalia

video_surveillance_and_physical_security_212463Telecamere “intelligenti”ammesse per tutelare la sicurezza di edifici e beni

Il Garante per la privacy ha accolto [doc. web n. 3230814] la richiesta di verifica preliminare presentata dalla Banca d’Italia relativa all’uso di sistemi di videosorveglianza intelligente da istallarsi presso le sedi dell’Amministrazione centrale e delle filiali. Lo scopo della Banca è garantire la sicurezza degli edifici e dei beni dell’Istituto in relazione agli specifici rischi connessi allo stoccaggio e alla gestione di elevate quantità di valori.

Gli impianti sottoposti alla verifica del Garante prevedono un  sistema di “alert” che si attiva a fronte:

  • del superamento di una barriera virtuale predefinita
  • o dell’accesso a determinate aree interdette
  • o del riconoscimento della presenza di persone.

Le ulteriori funzionalità del sistema che Bankitalia intende installare  (tra le quali la lettura targhe e identificazione mezzi e il conteggio delle persone)  non rientrano invece tra le ipotesi per le quali è necessario richiedere la verifica preliminare perché non prevedono la generazione di allarmi.

Anche le funzioni di “riconoscimento oggetto abbandonato” e “mancanza oggetto”, pur prevedendo l’attivazione di un allarme, non richiedono la verifica preliminare, in quanto non comportano un trattamento di dati personali.

green_globe_ok_tic_584Proporzionalità del trattamento

Alla luce della verifica effettuata, il Garante ritiene proporzionato e quindi ammissibile il trattamento dei dati personali che la Banca d’Italia intende effettuare. Esso infatti non comporta un pregiudizio rilevante per gli interessati dal momento che i sistemi sono volti esclusivamente a richiamare l’attenzione degli addetti al controllo e non ad attivare ulteriori funzionalità (ad esempio la geolocalizzazione o il confronto con dati biometrici).

In ogni caso, sulla base del Codice privacy e del provvedimento generale sulla videosorveglianza del 2010, il Garante ha richiamato la Banca d’Italia al rispetto delle  prescrizioni relative alle misure minime di sicurezza, delle indicazioni in materia di informativa agli interessati e delle garanzie previste sul controllo a distanza dei lavoratori.

Internet: Garante privacy, no ai cookie per profilazione senza consenso

image_gallery (1)In un banner le informazioni all’utente e la possibilità di scegliere quali cookie autorizzare

Stop all’installazione dei cookie per finalità di profilazione e marketing da parte dei gestori dei siti senza aver prima informato gli utenti e aver ottenuto il loro consenso. Chi naviga on line potrà quindi decidere in maniera libera e consapevole se far usare o no le informazioni raccolte sui siti visitati per ricevere pubblicità mirata.

Lo ha stabilito il Garante privacy con un Provvedimento generale [doc. web n. 3118884] pubblicato sulla Gazzetta ufficiale, adottato al termine di una consultazione pubblica,  nel quale ha individuato modalità semplificate per rendere agli utenti l’informativa on line sull’uso dei cookie e ha fornito indicazioni per acquisire il consenso, quando richiesto dalla legge.

Cosa sono i cookie?

I cookie sono piccoli file di testo che i siti visitati inviano al terminale (computer, tablet, smartphone, notebook) dell’utente, dove vengono memorizzati, per poi essere ritrasmessi agli stessi siti alla visita successiva.

Sono usati per:

  • eseguire autenticazioni informatiche,
  • monitoraggio di sessioni e memorizzazione di informazioni sui siti  (senza l’uso dei cookie “tecnici” alcune operazioni risulterebbero molto complesse o impossibili da eseguire).

Ma attraverso i cookie si può anche monitorare la navigazione, raccogliere dati su gusti, abitudini, scelte personali che consentono la ricostruzione di dettagliati profili dei  consumatori.

“Con questo provvedimento, maturato anche attraverso la consultazione dei vari stakeholder, diventa più facile il rispetto degli obblighi previsti dalla normativa europea” – commenta Antonello Soro, presidente del Garante privacy. “La procedura semplificata consentirà agevolmente ai navigatori di manifestare un consenso davvero libero e consapevole”.

alert-icon-redNuovi obblighi di informazione

Per proteggere la privacy degli utenti e consentire loro scelte più consapevoli, il Garante ha dunque stabilito che, d’ora in poi  quando si accede alla home page o ad un’altra pagina di un sito web deve immediatamente comparire un banner ben visibile, in cui sia indicato chiaramente:

  1. che il sito utilizza cookie di profilazione per inviare messaggi pubblicitari mirati;
  2. che il sito consente anche l’invio di cookie di “terze parti”, ossia di cookie installati da un sito diverso tramite il sito che si sta visitando;
  3. un link a una informativa più ampia, con le  indicazioni sull’uso dei cookie inviati dal sito, dove è possibile negare il consenso alla loro installazione direttamente  o collegandosi ai vari siti nel caso dei cookie di “terze parti”;
  4. l’indicazione che proseguendo nella navigazione (ad es., accedendo ad un’altra area del sito o selezionando un’immagine o un link)  si presta il consenso all’uso dei cookie.

Per quanto riguarda l’obbligo di tener traccia del consenso dell’utente, al gestore del sito è consentito utilizzare un cookie tecnico, in modo tale da non riproporre l’informativa breve alla seconda visita dell’utente.

L’utente mantiene, comunque, la possibilità di modificare le proprie scelte sui cookie attraverso l’informativa estesa, che deve essere linkabile da ogni pagina del sito.

Il modello del banner

A mero titolo di esempio, il Garante ha predisposto il seguente modello di banner disponibile anche sul  sito del Garante

image_gallery