- Aspetti preliminari.
Al fine di comprendere le attività che devono essere promosse dal proprietario del sito web e quelle che devono essere realizzate dal fornitore dei servizi di gestione e manutenzione del sito o di particolari sezioni ed applicativi dello stesso, per assicurare la corretta osservanza della normativa privacy in tema di cookie, è necessario richiamare il ruolo e la tipologia di rapporto che in tema di protezione dati personali viene ad instaurarsi tra queste due figure: il proprietario del sito riveste il ruolo di titolare del trattamento mentre i fornitori di servizi web sono responsabili del trattamento ai sensi dell’art.28 del GDPR.Da tale premessa discende che:
− Il titolare del trattamento deve:- nominare formalmente responsabile del trattamento, con un contratto o con un altro atto giuridico, il fornitore dei servizi web stabilendo, tra l’altro:
- la materia oggetto del contratto;
- la natura e la finalità del trattamento;
- il tipo di dati personali e le categorie di interessati connessi al trattamento affidato al responsabile;
− il responsabile del trattamento, a sua volta, deve tra l’altro:
- porre in atto alcuni adempimenti specifici quali, in particolare, la tenuta del registro dei trattamenti svolti per conto del titolare del trattamento (ex art. 30, paragrafo 2), l’adozione di idonee misure tecniche e organizzative per garantire la sicurezza dei trattamenti (ex art. 32 regolamento), la designazione di un RPD-DPO (nei casi in cui sia obbligatorio);
- assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 33 a 36 (assistenza nella gestione di una violazione di dati personali e nell’esecuzione di una valutazione di impatto), tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
- mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dall’art. 28 del GDPR e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato;
- informare immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati;
- senza autorizzazione del titolare:
non rivolgersi ad altri responsabili (sub responsabili);
non trasferire dati in paesi al di fuori dello Spazio Economico Europeo;
non effettuare trattamenti diversi da quelli disciplinati nell’atto di nomina.
E’ bene ricordare che la Commissione Europea ha pubblicato le Clausole Contrattuali Tipo (c.d. Standard Contractual Clauses “SCC”) per disciplinare il trasferimento dei dati personali al di fuori dello Spazio Economico Europeo e le Clausole Contrattuali Tipo per disciplinare la nomina a responsabile del trattamento ai sensi dell’art. 28 del Regolamento UE n. 679 del 2016.Le clausole promosse dalla commissione Ue sono quindi correlate, ma suddivise in due pacchetti distinti:
– Un pacchetto riguarda i rapporti titolari responsabili anche in relazione ai trattamenti intracomunitari.
– Un secondo pacchetto è legato ai trattamenti che prevedono un trasferimento in paesi al di fuori dello Spazio Economico Europeo e costituisce una tematica particolarmente articolata e complessa.Per quanto sopra, è necessario che:
– Tutti i contratti con i fornitori responsabili del trattamento siano rivalutati sia in ambito civilistico che Data Protection.
– Sia posta maggiore attenzione ai trasferimenti in paesi al di fuori dello Spazio Economico Europeo.Google analitics si rinvia al provvedimento raggiungible sul sito istituzionale del garante https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9782874 e si suggerisce di interagire con i propri fornitori web per le opportune verifiche tecniche ed eventuale individuazione di sistemi differenti che possano fornire certezza di compliance dei trattamenti effettuati.