Privacy online: boom di sanzioni per PA e imprese!

La Privacy Policy è più importante di quanto si possa pensare, per chi è presente online con un sito web o piattaforme virtuali di diverso tipo. Il mondo del lavoro nelle imprese e le Pubbliche Amministrazioni sono investite da un boom di sanzioni in denaro, proprio per la scorrettezza del trattamento dei dati degli utenti online. La protezione dei dati è più importante di quanto si possa pensare: ecco cosa sta accadendo, e come rimanere al passo con le normative UE!

Image

La Privacy dei dati degli utenti sul web torna ad essere un tema dibattuto, per le norme europee che obbligano imprese e pubbliche amministrazioni a seguire una prassi ben specifica per il trattamento dei dati personali degli utenti che navigano presso i siti web ufficiali. 

Secondo recenti indiscrezioni, si assiste ad un boom di sanzioni in merito alle Privacy Policy, ovvero alle normative che gli utenti del web devono accettare e sottoscrivere per navigare nei siti web. Come riporta un articolo recente di Federprivacy.org, la questione investe soprattutto le pubbliche amministrazioni italiane, ma include anche le imprese:

"Dal 2020 al primo quadrimestre 2021 oltre il 71% (per numero) delle sanzioni per violazioni della privacy è stata irrogata a enti pubblici e il 28,8% a soggetti privati."

Le pubbliche amministrazioni sarebbero al centro della scena quando si parla di protezione dei dati degli utenti. Si tratta di Comuni, scuole e università, centri sanitari, ospedali, ma anche dell'Arma dei Carabinieri. Le regole che riguardano la protezione dei dati personali sono unificate, secondo le attuali norme, a livello europeo, tuttavia molte realtà faticano a stare al passo con l'evoluzione di questo particolare insieme di norme.

Il regolamento generale sulla protezione dei dati, definito anche come GDPR, racchiude tutte le norme che un sito web deve seguire, per poter essere utilizzato dagli utenti, che devono acconsentire al trattamento dei dati da parte di imprese proprietarie dei siti, o amministrazioni pubbliche.

Il GDPR è essenziale per ogni sito web che tratta dati personali degli utenti online, tuttavia non è così scontato che sia presente nei siti ufficiali delle pubbliche amministrazioni, né nei siti di presentazione di aziende private. Nell'articolo, tutti i dettagli sull'argomento.

GDPR e protezione della privacy online: il contesto UE

Il contesto europeo ha proposto negli ultimi anni una regolamentazione efficace per le attività online, e soprattutto per tutelare la diffusione dei dati personali in rete. In particolare il regolamento prevede le modalità con cui i dati degli utenti, inseriti per accedere a determinati servizi, devono essere trattati e archiviati dalle aziende, realtà, o pubbliche amministrazioni, a capo di questi siti web.

Il GDPR è il principale strumento con cui porre a norma rispetto alla Privacy dei dati degli utenti per tutti i siti web. La Privacy Policy in particolare definisce i modi in cui i dati degli utenti possono essere utilizzati dall'impresa specifica o dalla pubblica amministrazione che propone una piattaforma online.

Il GDPR in generale rende trasparente il rapporto tra l'utente e il titolare del sito, per cui l'utente deve provvedere ad acconsentire che i propri dati personali vengano utilizzati secondo le modalità indicate.

I dati degli utenti vengono spesso inseriti online dai diretti interessati in queste piattaforme web e possono essere i più disparati: dai dati di pagamento se si tratta di acquisti online, a diverse informazioni di natura anagrafica, dalle preferenze nei consumi alle informazioni di tipo sanitario.

La protezione dei dati è diventata molto importante nel contesto UE, tant'è che l'Unione Europea ha prodotto il DGPR per uniformare tutte le regole dei singoli stati. Va ricordato che nei paesi al di fuori dell'Europa esistono altre regolamentazioni similari. Per questo motivo un sito web che vuole aggiornarsi dal punto di vista normativo deve tenere conto del pubblico di utenza a cui si riferisce.

La protezione della privacy online passa anche attraverso i social media: nell'ultimo periodo l'Europa è intervenuta più volte per proteggere i dati inseriti sulle piattaforma social molto utilizzate dai cittadini, anche nei confronti di colossi come Meta, l'azienda che contiene Facebook e Instagram.

Privacy Policy: quali dati proteggere

La Privacy Policy è una parte del GDPR: si tratta di un testo che gli utenti leggono e sottoscrivono per cui dichiarano di aver acconsentito all'uso dei propri dati secondo le modalità specifiche indicate nel sito. Ogni sito web infatti può contenere un archivio con tutti i dati inseriti dagli utenti online: dall'archivio dei nominativi e delle password ai dati anagrafici, fino a informazioni più specifiche relative al servizio offerto dal sito.

L'utente in questo modo acconsente anche all'installazione di particolari "cookie", ovvero programmi che possono essere utili per il corretto funzionamento di alcuni processi online. Il sito Agendadigitale.eu spiega nel dettaglio cosa sono i cookie dal punto di vista informatico:

"I cookie (“biscotto” in inglese) sono dei piccoli file di testo necessari affinché il server del sito web che li ha installati possa ottenere informazioni sulla specifica attività che l’utente compie su quelle pagine web."

Data l'invasività di questi file, che possono risalire ai dati online degli utenti, è necessario che l'utente accetti che questi "biscotti informatici" agiscano durante la navigazione su un determinato sito web. L'attività sul web degli utenti viene tracciata, ed è possibile che vengano memorizzati dati di login dei diversi siti web, anche i dati di pagamento se si tratta di un e-commerce.

Di fatto questi programmi sono del tutto sicuri, tuttavia secondo le regole per la Privacy l'utente deve essere a conoscenza di questi particolari programmi.

Lo stesso vale per i dati che vengono inseriti nelle piattaforme online: gli utenti devono sapere con precisione qual è l'uso di questi dati da parte dell'impresa o amministrazione pubblica per cui li sta inserendo. Nel caso per esempio in cui per motivi di necessità questi dati vengano resi disponibili a soggetti terzi, è obbligatorio che questo venga esplicitato nel GDPR interno del sito.

Privacy Policy e GDPR: la situazione in Italia

La gestione della privacy online contiene ancora grandi lacune in Italia: in molti casi le aziende non sanno come si costituisce un documento online di GDPR per poter mettere a norma l'utilizzo dei siti web, per cui è necessario informarsi anche tramite esperti del settore.

Come visto prima, in Italia sia le imprese che le pubbliche amministrazioni spesso non seguono ancora le norme dell'Unione Europea per i propri siti web, per questo incorrono spesso in sanzioni di diverso tipo. Le norme esistono, ma spesso le imprese in questione non sanno come applicarle, e non sanno come redigere un GDPR corretto per le proprie piattaforme online.

Il GDPR è attivo da circa 5 anni, tuttavia le lacune in merito al suo utilizzo in Italia sono ancora moltissime, soprattutto nella pubblica amministrazione. Mancano in Italia delle regole chiare per applicare le normative UE, per questo motivo molti rimangono indietro, e i dati degli utenti non sono del tutto sicuri.

Da gennaio di quest'anno sono state introdotte nuove regole per la Privacy Policy, in particolare nel testo che gli utenti devono siglare per poter utilizzare i siti web, vanno inserite alcune modalità con cui personalizzare il consenso in base ai diversi cookie.

Precedentemente era necessario accettare in toto tutti i cookie presenti nei siti web, ma con l'ultimo aggiornamento si deve fornire all'utente la possibilità di scegliere quali accettare e quali no.

Questa ulteriore aggiunta nelle regole del DDPR e della Privacy Policy ha destato non poche preoccupazioni da parte di imprese e pubbliche amministrazioni, soprattutto per le nuove sanzioni che possono derivare dalla mancanza di utilizzo di queste regole. Molti dichiarano che la complessità di questi strumenti sia la causa principale per cui sono assenti in molti siti.

Le aziende dovranno quindi sempre chiedere il consenso all'utente per poter utilizzare i cookie, anche diversi, per la navigazione dell'utente stesso. La novità comporta la necessità di un nuovo aggiornamento delle disposizioni sulla Privacy all'interno dei siti web, per cui è consigliato rivolgersi ad un esperto in materia.

GDPR e Garante della Privacy

Ad intervenire con sanzioni più o meno di grande entità è il Garante della Privacy, che ha recentemente multato anche colossi come Facebook e Instagram per un uso scorretto dei dati di moltissimi utenti che ogni giorno condividono contenuti sui noti social media.

Le violazioni si riscontrano quando l'utente non è messo a conoscenza correttamente dell'utilizzo dei propri dati personali all'interno del sito, e soprattutto quando questi dati possono essere in pericolo o accessibili a soggetti terzi. In questi casi le sanzioni non sono indifferenti in termini di denaro, e possono essere applicate sia su imprese che utilizzano piattaforme online sia alle pubbliche amministrazioni che gestiscono i dati di molti cittadini.

Il tracciamento e la profilazione sono i temi al centro dell'interesse del Garante della Privacy nel 2022, per cui per evitare le sanzioni è opportuno aggiornare le proprie piattaforme. Il Garante nell'ultimo periodo è intervenuto non solamente per tutelare la privacy dei dati online dei cittadini, ma anche per altre forme di tutela.

Una di queste è quella contro le attività di marketing aggressive, condotte ad esempio da compagnie telefoniche e gli erogatori di energia elettrica. La privacy e la tutela dei dati dei cittadini sta diventando sempre più importante, e rimanere indietro può provocare non pochi problemi.

Negli ultimi anni il Garante della Privacy non ha risparmiato neppure le amministrazioni pubbliche, rimaste indietro sulle normative per la tutela dei dati degli utenti.

Come riporta Cybersecurity360.it in un articolo, le sanzioni per alcuni sistemi informatici di gestione dei dati nelle zone ZTL del Comune di Roma sono arrivate a 850.000 euro in totale in multe. La norma violata qui è quella del GDPR, che dovrebbe contenere tutte le informazioni sull'uso dei dati degli utenti.

In particolare veniva qui utilizzato un sistema di QR code accessibile a tutti, per cui i dati dei cittadini sono stati posti ad un rischio notevole, perché attualmente sono disponibili online moltissime app per leggere questi codici virtuali. L'applicazione non ha tenuto conto della dispersione dei dati personali dei cittadini, violando di fatto tutte le norme previste in caso di GDPR e la Privacy Policy.