Il codice privacy e il nuovo GDPR per i siti internet

Dalla privacy all’Europa: l’evoluzione della tutela dei dati personali in Italia e l’impatto del GDPR (Regolamento UE 2016/679)

Il panorama normativo italiano relativo alla protezione dei dati personali ha subito una delle trasformazioni più significative della sua storia recente. Per anni, la pietra angolare della tutela della privacy nel nostro Paese è stata il Decreto Legislativo 196/2003, noto come il “Codice Privacy”. A partire dal maggio 2018, tuttavia, la maggior parte delle sue disposizioni è stata affiancata e in larga parte sostituita dal Regolamento Generale sulla Protezione dei Dati (GDPR – Regolamento UE 2016/679).

Questo cambiamento non è stato solo un aggiornamento normativo, ma un vero e proprio cambio di paradigma, che ha elevato il diritto alla protezione dei dati a livello europeo e ha imposto nuove e più stringenti responsabilità a tutte le organizzazioni.

Il Codice Privacy (D.Lgs. 196/2003): le fondamenta italiane

Il D.Lgs. 196/2003 ha rappresentato per oltre un decennio il riferimento imprescindibile per chiunque trattasse dati personali in Italia. Sebbene ora superato nei contenuti principali dal GDPR, è fondamentale conoscerne gli elementi cardine per comprendere il punto di partenza dell’evoluzione normativa.

I principi cardine e gli attori

Il Codice Privacy si fondava su principi di necessità, finalità e pertinenza. La struttura degli attori era rigorosamente definita:

  1. Il Titolare del Trattamento: L’entità (persona fisica, giuridica, pubblica amministrazione) che decide le finalità e le modalità del trattamento.

  2. Il Responsabile del Trattamento: Un soggetto esterno o interno designato dal Titolare per trattare i dati per suo conto (es. il fornitore di servizi cloud).

  3. L’Incaricato del Trattamento: Una specialità tutta italiana. L’incaricato era la persona fisica autorizzata a compiere specifiche operazioni di trattamento. Questa figura, che individuava l’operatore o il dipendente che entrava in contatto diretto con il dato, è stata essenziale per responsabilizzare il personale operativo. Con il GDPR, questa figura viene ricondotta alla più generica figura delle “persone autorizzate al trattamento sotto l’autorità diretta del titolare o del responsabile”.

Il binomio consenso/trattamento

Nel Codice Privacy, il trattamento di un dato personale era, di norma, vietato, a meno che non ricorresse una delle condizioni previste dalla legge (come un obbligo contrattuale o legale) o, in assenza di queste, il consenso dell’interessato.

Il consenso doveva essere:

  • Informato: L’interessato doveva conoscere tutti i dettagli del trattamento.

  • Specifico: Riferito a trattamenti ben definiti.

  • Libero: Non condizionato da altri fattori.

  • Revocabile: L’interessato poteva ritirarlo in qualsiasi momento.

  • Documentato per iscritto: Un requisito stringente per provare l’assenso.

Il contesto digitale: Policy e Cookie

Nell’ambito dei servizi online (siti web, app), il Codice Privacy aveva già stabilito l’obbligo di fornire agli utenti:

  • Privacy Policy: Un’informativa dettagliata sulle modalità di raccolta e trattamento dei dati.

  • Cookie Policy: Un’informativa specifica (introdotta con successivi provvedimenti del Garante) sui cookie e la necessità di ottenere il consenso preventivo e informato per quelli non strettamente tecnici.

Il GDPR (Reg. UE 2016/679): un nuovo ordine europeo

Il General Data Protection Regulation (GDPR) è un atto legislativo europeo che, a differenza delle Direttive, è direttamente applicabile in tutti gli Stati membri. Entrato in vigore nel 2018, ha uniformato le leggi sulla privacy, creando un unico quadro normativo continentale.

Atto Europeo e Normative Nazionali Complementari

Il GDPR stabilisce un livello minimo e uniforme di protezione. Tuttavia, lascia agli Stati membri la possibilità di adottare norme di flessibilità o specificità per aumentare ulteriormente la tutela dei dati in alcuni ambiti (es. trattamento dei dati sanitari, trattamento dei dati dei minori). In Italia, il D.Lgs. 196/2003 è stato modificato e integrato con il D.Lgs. 101/2018 per armonizzare la normativa nazionale con il Regolamento europeo.

Il Consenso: da “scritto” a “inequivocabile”

Il GDPR ha rafforzato notevolmente i requisiti per la validità del consenso al trattamento dei dati personali. Sebbene i requisiti fondamentali (“libero, specifico, informato, revocabile”) siano rimasti, l’obbligo di documentazione è stato trasformato e potenziato:

Requisiti del Consenso D.Lgs. 196/2003 (PRIMA)

Condizioni
Libero, Specifico, Informato, Documentato per iscritto, Revocabile

Onere della prova
In capo al titolare

Requisiti del Consenso GDPR (DOPO)

Condizioni
Libero, Specifico, Informato, Inequivocabile, Revocabile

Onere della prova
In capo al titolare (dimostrare di aver ottenuto il consenso secondo tutti i requisiti)

Il termine “inequivocabile” è cruciale. Non può essere presunto e deve manifestarsi attraverso un’azione positiva. Un silenzio, un’inattività o la preselezione di una casella di spunta non possono mai costituire un consenso valido e inequivocabile.

Questo requisito, sebbene derivante da un Considerando (il 32, che spiega le finalità della norma e non è una parte strettamente dispositiva del Regolamento), è di fatto un percorso obbligato per il titolare, poiché la dimostrazione di un consenso “informato” e “inequivocabile” altrimenti risulterebbe estremamente difficile in caso di contenzioso.

Questo standard elevato si applica a qualsiasi raccolta di dati, sia essa finalizzata alla gestione di contatti online, sia che riguardi la raccolta di dati ai fini contrattuali o di due diligence precontrattuale.

La prova del consenso: l’onere della Compliance

Il GDPR introduce il principio dell’Accountability, che in questo contesto si traduce in un rafforzamento dell’onere della prova in capo al Titolare. Non basta avere il consenso; bisogna dimostrare di averlo ottenuto nel rispetto dei requisiti di legge.

La necessità di dimostrare il consenso ha implicazioni tecniche e procedurali significative, specialmente per la raccolta di dati tramite moduli digitali (form, app, etc.):

  1. Registrazione dell’Indirizzo IP: È necessario salvare l’indirizzo IP del dispositivo da cui l’interessato ha inviato la richiesta di consenso. Questo lega la richiesta a un punto geografico e temporale specifico.
  2. Conservazione della Versione del Form: Bisogna conservare esattamente la versione del modulo (con il testo dell’informativa e la checkbox del consenso) che l’interessato ha sottoscritto. Questo è fondamentale perché le informative e i testi legali possono cambiare nel tempo.
  3. Conservazione della Chiamata al Server: È necessario registrare l’intera chiamata inviata al server, che contiene il contenuto esatto del form e la conferma dell’azione positiva compiuta dall’utente.
  4. Certificazione Temporale (Marca Temporale): Per garantire l’integrità e l’inalterabilità della prova nel tempo, è consigliabile certificare queste informazioni con una marca temporale o altri sistemi di timestamping affidabili.

Consensi precedentemente raccolti

I consensi raccolti prima dell’entrata in vigore del GDPR (maggio 2018) possono essere mantenuti e utilizzati, a patto che siano stati acquisiti in piena ottemperanza alla normativa vigente all’epoca (ovvero il D.Lgs. 196/2003) e che soddisfino tutti i requisiti di validità del GDPR (libero, specifico, informato, inequivocabile). In caso contrario, è necessario richiederli nuovamente. L’utente i cui dati sono stati validamente raccolti vedrà semplicemente i suoi diritti rafforzati dalle nuove tutele del Regolamento.

Conformità Legale per il tuo sito web
Assicurati che il tuo sito web sia conforme alle normative vigenti, evitando rischi di sanzioni

Siti web e app devono rispettare alcuni obblighi imposti dalla legge: obblighi di informazione, privacy e cookie policy, accessibilità… il tuo sito è a norma? Scoprilo seguendo passo passo la guida in PDF con la comoda checklist finale di controllo!

conformità legale siti web 2025
Scarica la guida in PDF

Conformità Legale per il tuo sito web
Approfondisci l’argomento su GDPR e leggi per i siti web in questi contenuti:

I nuovi diritti dell’interessato: portabilità e oblio

Il GDPR non solo inasprisce gli obblighi per i Titolari, ma espande e rafforza i diritti degli interessati, introducendo due concetti fondamentali: la portabilità del dato e il diritto all’oblio.

Il Diritto alla Portabilità (Art. 20)

Questo diritto conferisce all’interessato il potere di ricevere i dati personali che ha fornito a un Titolare in un formato strutturato, di uso comune, leggibile da dispositivo automatico e riutilizzabile. Lo scopo è permettere all’utente di conservare tali dati e/o trasferirli facilmente a un altro Titolare (es. passare da un provider di servizi cloud a un altro).

Questo diritto, tuttavia, è circoscritto ad alcuni ambiti specifici:

  • Dati Trattati Automaticamente: Riguarda esclusivamente i dati trattati con strumenti automatizzati (esclusi gli archivi cartacei).
  • Base Giuridica: Il trattamento deve basarsi sul consenso dell’interessato o sull’esecuzione di un contratto.
  • Dati Forniti Direttamente: Riguarda i dati trasmessi direttamente dall’interessato (es. nome, email, storico acquisti) e non i dati derivati o i metadati (es. inferenze, profili creati dal Titolare).

Una caratteristica spinosa è la possibilità per l’interessato di richiedere il trasferimento diretto dei dati tra i Titolari, se ciò è “tecnicamente fattibile“. La mancanza di una definizione rigida di “tecnicamente fattibile” lascia margini di interpretazione e può essere fonte di controversie, obbligando le aziende a implementare soluzioni standardizzate di interscambio dati.

Il Diritto all’Oblio (Diritto alla Cancellazione – Art. 17)

Il diritto all’oblio permette agli interessati di richiedere al Titolare la cancellazione dei dati personali che li riguardano senza ingiustificato ritardo. È l’espressione massima del principio del controllo sui propri dati.

Tuttavia, il GDPR bilancia questo diritto con altri principi fondamentali, consentendo al Titolare di disattendere la richiesta di cancellazione in diversi casi specifici:

  • Libertà di Espressione e Informazione: Quando i dati sono necessari per esercitare il diritto alla libertà di espressione e di informazione. Questo è il caso classico dei contenuti giornalistici o informativi.
  • Obblighi Legali e Pubblico Interesse: Per adempiere a un obbligo legale, per ragioni di interesse pubblico (anche nel settore della sanità pubblica) o per l’esercizio di pubblici poteri.
  • Difesa in Sede Giudiziaria: Quando i dati sono necessari per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Ad esempio, la cancellazione di documenti contabili non è permessa se sono necessari per una causa legale.

La nuova filosofia: Accountability e Valutazione del Rischio

Il vero cambiamento filosofico introdotto dal GDPR è il principio di Accountability (Responsabilizzazione). Non si tratta più solo di seguire regole predefinite, ma di dimostrare di averle applicate e di aver adottato tutte le misure necessarie per la protezione dei dati.

Data Protection Impact Assessment (DPIA)

La Valutazione d’Impatto sulla Protezione dei Dati (DPIA) è un processo interno obbligatorio che il Titolare deve effettuare prima di iniziare un trattamento che presenti un rischio elevato per i diritti e le libertà degli interessati (es. utilizzo di nuove tecnologie, profiling su larga scala, monitoraggio sistematico di aree accessibili al pubblico).

La DPIA ha lo scopo di:

  • Valutare i Rischi: Identificare e misurare i rischi inerenti a una nuova attività di trattamento.
  • Attuare Misure: Definire e implementare le misure tecniche e organizzative appropriate per mitigare tali rischi.
  • Rendere Effettivi i Principi: Tradurre in pratica i concetti di Privacy by Design e Privacy by Default.

Privacy by Design e Privacy by Default

Questi due principi sono la massima espressione dell’Accountability:

  1. Privacy by Design: Richiede che la protezione dei dati sia integrata nel progetto e nell’architettura di sistemi, prodotti e servizi fin dalla fase iniziale (dalla progettazione). La privacy deve essere il principio fondamentale prima di scrivere una riga di codice o di avviare un nuovo processo aziendale.
  2. Privacy by Default: Impone che, per impostazione predefinita, i sistemi e le applicazioni trattino solo i dati strettamente necessari per ogni specifica finalità del trattamento. Ad esempio, in un’app, tutte le impostazioni relative alla privacy dovrebbero essere settate di default al livello di protezione più alto possibile per l’utente, e spetta all’utente modificarle attivamente.

Il Registro dei Trattamenti

L’obbligo di tenere un Registro delle Attività di Trattamento è un altro pilastro dell’Accountability. Questo registro è la “fotografia” di tutti i trattamenti di dati personali svolti da un’organizzazione.

Sebbene il GDPR preveda un’esenzione generale per le imprese con meno di 250 dipendenti, questa esenzione non si applica mai se:

  • Il trattamento può presentare un rischio per i diritti e le libertà dell’interessato.
  • Il trattamento non è occasionale.
  • Il trattamento include categorie particolari di dati (sensibili) o dati relativi a condanne penali e reati.

Nella pratica, data l’ampiezza di queste eccezioni (soprattutto per quanto riguarda il trattamento non occasionale), quasi tutte le aziende sono di fatto tenute a compilare e mantenere aggiornato il Registro dei Trattamenti.

Iubenda: servizio online

Abbiamo scelto di affidarci a iubenda, azienda composta da figure sia legali che tecniche, specializzata in questo settore. Insieme a iubenda, di cui siamo Partner Certificati, abbiamo elaborato una proposta per offrire a tutti i nostri clienti una soluzione semplice e sicura alla necessità di adeguamento legale.


iubenda Certified Silver Partner

Genera in autonomia le tue policy e la cookie law con uno sconto del 10% per un anno!