indicazioni operative utili alla creazione di una pagina ... · università degli studi di milano...

Università degli Studi di Milano Ufficio di Staff Sicurezza ICT

1

Indicazioni operative utili alla creazione di una pagina web Privacy e cookie basata

sul modello di informativa allegato

Versione 1.0


2

Sommario

Premessa................................................................................................................................................................... 3

1.Il modello di Privacy e cookie policy allegato alle presenti linee guida (Informativa Privacy comprensiva di

una cookie policy) ................................................................................................................................................... 4

2.Indicazioni operative in materia di creazione di una pagina web Privacy & cookie policy utilizzando il

modello Privacy e cookie policy allegato ............................................................................................................. 5

3.Indicazioni operative in materia di creazione di una pagina web “Privacy policy” con cookie policy distinta

dalla privacy policy generale .................................................................................................................................. 8

4.Linee guida utili all’approfondimento dei temi trattati nelle presenti linee guida ...................................... 9

5.Ulteriori raccomandazioni .................................................................................................................................. 9

Allegato A) Modello generico di pagina web (Siti web statici, dinamici o basati su CMS generico) ............ 10

Allegato B) Modello generico di pagina web (Siti web di tipo CMS basati su piattaforma CMS WordPress)

................................................................................................................................................................. 18

Allegato C) - Cos’è la Privacy Policy di un Sito Web ................................................................................. 26


3

Premessa

Ai sensi delle vigenti disposizioni di legge oltre che al fine di evitare possibili sanzioni, il responsabile di un sito

internet riconducibile all’Ateneo è obbligato a riportare, in apposita sezione, indicazioni aggiornate e

dettagliate utili ad informare gli utenti riguardo al trattamento di dati personali che viene eseguito durante la

navigazione su di esso. Ne consegue che sui siti web istituzionali le informative Privacy e cookie devono:

essere sempre presenti, a prescindere dal fatto che si raccolgano o meno dati personali attraverso web form (es.

form di contatto, form per iscrizione a newsletter) e che un sito web sia o meno dinamico, statico o staticizzato;

aggiornate costantemente alle più recenti disposizioni di Legge e di regolamento anche interne all’Ateneo;

essere facilmente accessibili da ogni sezione del sito internet oltre che comprensibili agli utenti che ne vogliano prendere visione.

Le presenti linee guida nascono allo scopo di fornire ai loro destinatari alcune indicazioni utili all’integrazione e /o alla modifica del modello di Privacy e cookie policy ad esse allegato: un documento, fornito in duplice versione, da utilizzare come riferimento durante la creazione o l’aggiornamento di una pagina web che contenga un’informativa sul trattamento di dati personali.

Precisiamo che le presenti linee guida non hanno carattere vincolante e la loro applicazione rimarrà

responsabilità di chi se ne avvale.

Raccomandiamo, inoltre, di fare sempre e comunque riferimento alla normativa vigente, oltre che di utilizzare

le tecnologie più aggiornate.

A tal proposito vi consigliamo di consultare periodicamente il sito web dell’Autorità Garante visitando

l’indirizzo web https://www.garanteprivacy.it/


4

1. Il modello di Privacy e cookie policy allegato alle presenti linee guida (Informativa Privacy

comprensiva di una cookie policy)

L’Ufficio di Staff Sicurezza ICT mette a disposizione dei responsabili dei siti internet riconducibili all’Ateneo un

modello di informativa Privacy, aggiornata al Regolamento UE 2016/679 (c.d. GDPR) oltre che conforme alla c.d.

“UE Cookie Law”, che integra al suo interno una cookie policy.

Il documento, da personalizzare tenendo conto delle tecnologie effettivamente utilizzate, delle finalità e della durata

dei trattamenti di dati personali eseguiti tramite un sito, oltre che del rilascio da parte sua di cookie potenzialmente in

grado di profilare gli utenti che vi si connettono, è messo a disposizione nelle due seguenti versioni:

Allegato A) da utilizzare come modello di riferimento utile alla creazione di una pagina web “Privacy e cookie policy”

da ospitare su un generico sito web di tipo dinamico o statico (html).

Tale versione dell’informativa Privacy e Cookie è priva di specifici rimandi a cookie tecnici e di sessione utilizzabili da

un sito, poiché lo svolgimento delle operazioni connesse alla loro individuazione sono demandate al

responsabile/manutentore del sito.

Allegato B) da utilizzare come modello di riferimento utile alla creazione di una pagina web “Privacy e cookie policy”

da ospitare su un sito web dinamico realizzato su piattaforma CMS WordPress la quale, in corrispondenza del

paragrafo “Cookie tecnici e di sessione”, vede “già” la presenza di un riferimento ai principali cookie tecnici e di

sessione WordPress.

Qualora aveste la necessità di comprendere in che modo sia possibile individuare i cookie di un sito internet al

fine di stilare un elenco da riportare all’interno dei sottoparagrafi 6.1, 6.2 e 6.3 della pagina web Privacy e cookie da

creare, vi informiamo che possibili indicazioni utili vengono fornite all’interno delle linee guida

“Guida pratica all’individuazione dei cookies di un sito internet e alla loro corretta indicazione in una Privacy (cookie) policy”, messe a disposizione dall’Ufficio Sicurezza su https://work.unimi.it/servizi/security_gdpr/118582.htm.

Nota bene

L’elenco dei cookie tecnici e di sessione riportato nell’allegato B (modello di Privacy e Cookie policy valido per siti web

di tipo CMS WordPress) potrebbe non essere esaustivo, non essendo possibile conoscere in ogni circostanza e a priori

quali ulteriori tecnologie, oltre a quelle ipotizzate, vengano utilizzate effettivamente da uno specifico sito o da una

specifica versione del CMS WordPress.

Si raccomanda, pertanto, di effettuare un ulteriore controllo dopo aver effettuato il logging al sito e di consultare il

proprio webmaster e/o la documentazione tecnica del CMS al fine di integrare e/o modificare l’elenco di cookie tecnici

https://work.unimi.it/filepub/sicurezza_ict/linee_guida_letturacookie_v0.pdf

https://work.unimi.it/filepub/sicurezza_ict/linee_guida_letturacookie_v0.pdf


5

e di sessione riportato nel modello.

2. Indicazioni operative in materia di creazione di una pagina web Privacy & cookie policy

utilizzando il modello Privacy e cookie policy allegato

Il modello di Privacy e cookie policy allegato in duplice versione va adattato a ciascun sito internet.

Al fine di integrare le informazioni riportate nel modello e redigere una Privacy e cookie policy nel migliore dei modi, vi

suggeriamo di eseguire le seguenti operazioni:

1. Modificare la Premessa della Privacy e cookie policy inserendo al posto di www.xxx.unimi.it l’url del sito internet.

2. Aggiungere un riferimento al nominativo del referente di struttura /dipartimento nel paragrafo “1. Titolare del trattamento e Responsabile per la protezione dei dati (DPO o RPD)” al posto della frase tra parentesi quadre: 1. Titolare del trattamento e Responsabile per la protezione dei dati (RPD) Titolare del trattamento dei dati è l’Università degli Studi di Milano, nella persona del Rettore pro tempore, Via Festa del Perdono n. 7, 20122 Milano (…) “[aggiungere nome referente di struttura/dipartimento per il sito con indirizzo fisico, contatto mail e/o numero telefonico]” (…)

2) Effettuare un’analisi del proprio sito web al fine di separare le tecnologie utilizzare in due gruppi e stilare

un elenco utile:

Gruppo A) tecnologie il cui utilizzo non implichi una “trasmissione di dati personali” all’esterno

dell’Ateneo (es. web form di contatto: i dati raccolti tramite un form di contatto vengono trattati “direttamente”

dal responsabile / gestore del sito ovvero non vengono, in linea di principio e salvo eccezioni, trasferiti all’esterno

dell’Ateneo).

Gruppo B) tecnologie il cui utilizzo implichi una “trasmissione di dati personali” (es. indirizzo IP del

dispositivo connesso al sito) all’esterno dell’Ateneo.

Elenco delle tecnologie / dei servizi web veicolati dal sito internet possibile

Gruppo A (Trattamento dati personali eventuale eseguito “all’interno” dell’Ateneo)


6

la presenza di un web form di contatto standard ovvero non realizzato con Google form o analoghi servizi

un Captcha per web form diverso da Google Recaptcha

un carosello di immagini (slideshow) ospitato in home page

fogli di stile / framework CMS (es. Boostrap) o librerie JavaScript (es. Jquery) ospitate in una “cartella” del file

system del sito, ovvero senza linkare ad un CDN “esterno” (es. CloudFlare, MaxCDN, Boostrap CDN…)

un video caricato in formato Mp4 in una “cartella” del sito web oppure ospitato sulla piattaforma video di

Ateneo

Gruppo B (Trattamento dati personali eventuale eseguito “all’esterno” dell’Ateneo)

un web font ospitato su una piattaforma web esterna all’Ateneo, es. Google Fonts

un plugin il cui utilizzo consenta di condividere articoli sui Social Network (es. AddThis, ShareThis)

un servizio di embedding di mappe stradali Google e/ o video ospitato su Vimeo implementato o meno

attraverso un plugin

un plugin per CMS da utilizzare per creare form di contatto utili all’iscrizione ad una newsletter gestita tramite

una piattaforma di email marketing come Mailchimp

un plugin da utilizzare pe la condivisione articoli sui social network

un servizio di analisi del traffico dati veicolati dal sito (es. Google Analytics)

3) Focalizzare l’attenzione sulle tecnologie del Gruppo B, ovvero quelle il cui utilizzo potrebbe implicare un

trattamento di dati personali da parte di “terze parti” e verificare se non esista un’alternativa che non implichi

un trattamento di dati personali “da parte di terzi” (es. Esiste una valida e “sicura” alternativa ad un servizio di

invio di newsletter tramite Mailchimp? ).

In caso negativo, individuare il titolare del servizio esterno attivato direttamente o attraverso un plugin

o il produttore del plugin installato sul proprio sito, visitare la pagina web “Privacy” / “Privacy e

cookie” dell’azienda esterna per verificare se e come venga svolto il trattamento di dati.

4) Annotare il link alla Privacy (cookie) policy dell’azienda erogatrice del servizio / produttrice del plugin

ecc. (es. Privacy policy Youtube) per riportarlo nel paragrafo “3.Tipi di dati trattati” e nei sottoparagrafi “6.2

Cookie di monitoraggio” e “6.3 Cookie di terze parti” della pagina web Privacy e cookie da creare.

5) Individuare le finalità connesse all’utilizzo dei servizi /tecnologie riportate nell’elenco di cui al punto “2.

Finalità e base giuridica del trattamento” del modello Privacy e cookie allegato alle presenti linee

guida ed eventualmente integrarlo se si ritiene che i servizi utilizzati (anche attraverso plugin) non rientrino

nella casistica ivi indicata:

2. Finalità e base giuridica del trattamento I dati personali che potrebbero essere/sono trattati sono:


7

- indirizzo IP; - tipo di browser e parametri del dispositivo usato per connettersi al sito; - nome dell’internet service provider (ISP); - data ed orario di visita; - pagina web di provenienza del visitatore (referral) e di uscita; - eventuale numero di click; - forniti volontariamente dall’utente nell’utilizzo di servizi on line proposti su sito; - i dati forniti di volta in volta dagli utenti in relazione allo specifico servizio richiesto; (…)

6) Se il sito web fa uso di alcuni dei servizi di cui al Gruppo B (vedi punto 2) modicare il paragrafo “3.

Tipi di dati trattati” come segue ricordandosi di aggiungere un link alla privacy policy della “terza parte”

produttrice del plugin o titolare del servizio veicolato dal sito:

Esempio: utilizzo del servizio di embedding di Mappe Google e di video YouTube

3.Tipi di dati trattati

I Dati Personali sono raccolti per le seguenti finalità ed utilizzando i seguenti servizi. I sistemi informatici e le

procedure applicative preposte al funzionamento del sito acquisiscono, nel corso del loro normale esercizio,

alcuni dati la cui trasmissione è implicita nell’uso dei protocolli di comunicazione sulla Internet. (…) Per

l’utilizzo di servizi on-line che prevedono l’autenticazione, la registrazione o l’invio di e-mail sono utilizzati dati

personali forniti liberamente dagli utenti secondo diverse modalità. L'invio facoltativo, esplicito e volontario di

posta elettronica agli indirizzi indicati sul sito comporta la successiva acquisizione dell'indirizzo del mittente,

necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nella missiva. (…) Il

sito web si avvale dei seguenti servizi:

Embedding di Google Maps (…) Privacy policy (link)

Embedding di Video di YouTube - Privacy policy (link)

(…)

6) Se il sito web “anche” in conseguenza dell’utilizzo di alcuni plugin e servizi esterni rilascia cookie tecnici e/o di sessione, analitici o di terze parti, indicarli all’interno del paragrafo “6. Utilizzo di cookie” della pagina web Privacy e cookie e dei suoi sottoparagrafi 6.1, 6.2 e 6.3 riportando, per ciascuna delle tre tipologie di cookie:

Nome

Origine (dominio)


8

Funzione / Dati raccolti

Scadenza

7) Indicare nel paragrafo “7. Categorie di soggetti autorizzati al trattamento e ai quali i dati possono essere comunicati il nome della struttura di riferimento” della pagina web Privacy e cookie policy il nome della propria struttura:

“7. Categorie di soggetti autorizzati al trattamento e ai quali i dati possono essere comunicati il nome della struttura di riferimento” I dati personali degli utenti saranno conosciuti e trattati, nel rispetto della vigente normativa in materia, dal personale del [indicare la struttura di riferimento ad es. Dipartimento] (individuati come Autorizzati al trattamento) coinvolto nella manutenzione del sito. (…)

8) Individuare un termine di conservazione dati e riportarlo nel paragrafo “8. Conservazione dei dati”. Ricordarsi che il periodo di conservazione dati discende dalla finalità del trattamento dati. Potrebbe essere sufficiente eliminare la seguente frase:

[In ogni caso i dati non saranno conservati per più di ----- anni dalla data di ultimo contatto.]

9) Inserire un riferimento al proprio sito nel paragrafo “10. Modifiche alle Informazioni” della pagina web Privacy e cookie policy.

3. Indicazioni operative in materia di creazione di una pagina web “Privacy policy” con

cookie policy distinta dalla privacy policy generale

Nel caso in cui si preferisse optare per la separazione dell’informativa Privacy redigendo una Cookie policy "estesa"

non integrata nel modello allegato alle presenti linee guida, occorrerebbe seguire le fornite nel documento messo a

disposizione su https://work.unimi.it/filepub/sicurezza_ict/cookielaw_v2.pdf e, successivamente:

indicare nel paragrafo denominato “Uso dei cookie” della Privacy policy di cui allegato A (siti statici / siti dinamici

/altri CMS) e B (CMS WordPress) allegato alle presenti linee guida una frase analoga alla seguente:

“Il presente sito web (non) fa uso di cookie tecnici (e/o analitici e/o di terze parti). Per informazioni di maggior

dettaglio, visualizza la cookie policy estesa (link ad una pagina web “Cookie policy” separata dalla pagina web Privacy

policy) "

https://work.unimi.it/filepub/sicurezza_ict/cookielaw_v2.pdf


9

redigere un’informativa cookie basata sull’allegato denominato “Modello di cookie policy estesa” di

https://work.unimi.it/filepub/sicurezza_ict/cookielaw_v2.pdf (“Siti web di Ateneo: adempimenti necessari in

materia di gestione dei cookie” )

4. Linee guida utili all’approfondimento dei temi trattati nelle presenti linee guida

Al fine di agevolare l'attività di adeguamento normativo dei siti internet alle disposizioni di legge e regolamento

emanate con riferimento al tema del trattamento di dati personali (oltre che al fine di incrementare il livello di

sicurezza dei siti internet di Ateneo), l'Ufficio Sicurezza ICT ha elaborato delle linee guida specifiche, mettendole a

disposizione al seguente indirizzo: https://work.unimi.it/servizi/security_gdpr/118582.htm.

Le elenchiamo di seguito:

Linee guida in materia di sicurezza e privacy: indicazioni di base relative ai siti web di Ateneo (in part. Sezione 2)

Guida pratica alla messa in sicurezza di un sito web dinamico

Linee guida in materia di sicurezza e privacy dei siti web di Ateneo: piattaforme CMS WordPress, Joomla e Drupal.

(Versione sintetica CMS WordPress - Versione sintetica CMS Joomla)

Siti web di Ateneo: adempimenti necessari in materia di gestione dei cookie

Guida pratica all’individuazione dei cookies di un sito internet e alla loro corretta indicazione in una Privacy

(cookie) policy (Allegato)

Linee guida per l’attivazione di un servizio di invio di newsletter

5. Ulteriori raccomandazioni

Che si opti per la creazione di un'unica pagina web “Privacy e cookie” o, al contrario, per la separazione delle

informative Privacy e Cookie , raccomandiamo di rispettare tutte le indicazioni operative fornite al link

https://work.unimi.it/filepub/sicurezza_ict/cookielaw_v2.pdf e, in particolare, quelle riferite alla necessità di

utilizzare un "banner di notifica utilizzo cookie" avente le caratteristiche specificamente individuate (in primis: il fatto

che venga prodotto da un plugin in grado di bloccare a titolo "preventivo" e fino a quando non sia stato espresso con

un'azione "positiva " (click sul bottone "ok") un consenso all'installazione di cookie analitici e di terze parti in grado di

effettuare profilazione).


https://work.unimi.it/servizi/security_gdpr/118582.htm



10

Allegato A) Modello generico di pagina web (Siti web statici, dinamici o basati su CMS generico)

Informativa sul trattamento dei dati personali

https://www.xxx.unimi.it

Premessa Ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati o RGPD) del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, nonché del D. Lgs 196/2003 e ss. mm. ii., l’Università degli Studi di Milano (nel seguito indicata anche come “Ateneo”) nella persona del Rettore pro tempore, informa gli utenti in merito all’utilizzo dei dati personali che li riguardano da parte del sito web https://www.xxx.unimi.it (di seguito anche “sito”). Questa informativa è resa in merito alla modalità di gestione del sito, in relazione al trattamento dei dati personali degli utenti che lo consultano, che scelgono di registrarsi e/o che utilizzano servizi online proposti. Resta ferma l’osservanza da parte dell’Università degli Studi di Milano della vigente normativa in materia di trasparenza e di pubblicazione obbligatoria di dati e documenti. La presente informativa è limitata al solo sito https://www.xxx.unimi.it e non ha valore per i siti esterni anche se accessibili a partire da link presenti su https://www.xxx.unimi.it. 1. Titolare del trattamento e Responsabile per la protezione dei dati (RPD) Titolare del trattamento dei dati è l’Università degli Studi di Milano, nella persona del Rettore pro tempore, Via Festa del Perdono n. 7, 20122 Milano, e-mail [email protected]. Ai sensi degli artt. 37 e seguenti del Regolamento UE 2016/679, l’Ateneo ha nominato il Responsabile per la protezione dei dati (RPD) contattabile all’indirizzo e-mail [email protected]. Per informazioni o approfondimenti sull’utilizzo dei dati personali da parte del sito, contattare [aggiungere nome referente di struttura/dipartimento per il sito con indirizzo fisico, contatto mail e/o numero telefonico] 2. Finalità e base giuridica del trattamento I dati personali che potrebbero essere/sono trattati sono: - indirizzo IP; - tipo di browser e parametri del dispositivo usato per connettersi al sito; - nome dell’internet service provider (ISP); - data ed orario di visita; - pagina web di provenienza del visitatore (referral) e di uscita; - eventuale numero di click; - forniti volontariamente dall’utente nell’utilizzo di servizi on line proposti su sito; - i dati forniti di volta in volta dagli utenti in relazione allo specifico servizio richiesto;


11

Le suddette informazioni sono trattate in forma automatizzata e raccolte in forma aggregata al fine di verificare il corretto funzionamento del sito e per motivi di sicurezza. Tali informazioni saranno trattate in base al legittimo interesse del titolare. Ai fini di sicurezza (filtri antispam, firewall, rilevazione virus), i dati registrati automaticamente possono eventualmente comprendere dati personali come l’indirizzo IP, che potrebbe essere utilizzato, in conformità alla legge vigente, al fine di bloccare tentativi di danneggiamento al sito o di recare danno ad altri utenti, o comunque attività dannose o costituenti reato. In ogni caso tali dati non verranno mai utilizzati a fini di profilazione dell’utenza del sito ma solo a fini di tutela del sito e dei suoi utenti. Le basi giuridiche del trattamento sono quindi l’ottemperanza a obblighi di legge e contrattuali, l’adempimento di specifiche richieste dell’interessato prima della conclusione del contratto e il trattamento dei dati connesso alla gestione di eventuali reclami o contenziosi e per la prevenzione e repressione di frodi e di qualsiasi attività illecita. 3. Tipi di dati trattati I dati personali sono raccolti per le seguenti finalità e utilizzando i seguenti servizi. I sistemi informatici e le procedure applicative preposte al funzionamento del sito acquisiscono, nel corso del loro normale esercizio, alcuni dati la cui trasmissione è implicita nell’uso dei protocolli di comunicazione sulla Internet. Tali informazioni vengono utilizzate per ricavare informazioni statistiche anonime sull’uso del sito e per controllarne il corretto funzionamento e non sono associate a utenti identificati; tuttavia per loro natura e mediante associazioni con dati detenuti da terzi, potrebbero consentire l’identificazione degli interessati. Rientra in questa categoria, ad esempio, l’indirizzo IP del sistema utilizzato per collegarsi al portale. Questi dati vengono rimossi dai sistemi dopo l’elaborazione delle statistiche e sono conservati off-line esclusivamente per accertamenti di responsabilità in caso di reati informatici e consultabili solo su richiesta dell’Autorità Giudiziaria. Per l’utilizzo di servizi on-line che prevedono l’autenticazione, la registrazione o l’invio di e-mail sono utilizzati dati personali forniti liberamente dagli utenti secondo diverse modalità. L'invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati sul sito comporta la successiva acquisizione dell'indirizzo del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nella missiva da parte dell’utente. Il sito web si avvale dei seguenti servizi: Analisi del traffico dati tramite Google Analytics (Link a Privacy policy) Incorporamento di mappe tramite Google Maps (Link a Privacy policy) Incorporamento di video YouTube / Vimeo (Link a Privacy policy) (…) Per ulteriori informazioni consulta il paragrafo 6 e i suoi sottoparagrafi. 4. Facoltatività del conferimento dei dati


12

Alcuni dati richiesti (es. quelli per la registrazione) sono obbligatori e il loro mancato conferimento comporta l’impossibilità di fornire il servizio richiesto. In modo analogo la mancata comunicazione di alcuni dati eventualmente richiesti per la sottoscrizione di servizi online può comportare l’impossibilità di fruire del servizio prescelto. I dati di registrazione e quelli di sottoscrizione sono conferiti volontariamente. Il soggetto che effettua la registrazione dà liberamente il consenso al trattamento dei dati, consapevole che in assenza di tale consenso la registrazione e la sottoscrizione dei servizi non possono aver luogo. I trattamenti effettuati prima della revoca del consenso da parte dell’interessato resteranno comunque validi. 5. Modalità del trattamento La raccolta dei dati avviene nel rispetto dei principi di pertinenza, completezza e non eccedenza in relazione ai fini per i quali sono trattati. I dati personali conferiti sono trattati in osservanza dei principi di liceità, correttezza e trasparenza, previsti dall’articolo 5 RGPD, anche con l’ausilio di strumenti informatici e telematici atti a memorizzare e gestire i dati stessi, e comunque in modo tale da garantirne la sicurezza e tutelare la massima riservatezza dell’interessato. I dati possono essere oggetto di trattamento in forma anonima per lo svolgimento di attività statistiche finalizzate al miglioramento dei servizi offerti. [il paragrafo seguente è da aggiungere qualora non si sia provveduto a redigere Cookie Policy specifica] 6. Utilizzo di cookie I cookie sono file di testo che vengono depositati sui computer degli utenti web per consentire l’esplorazione sicura ed efficiente del sito e monitorarne l’utilizzo. Il sito https://www.xxx.unimi.it utilizza /non utilizza cookie tecnici e di sessione, cookie di monitoraggio e cookie di terze parti. Non vengono utilizzati cookie di profilazione per finalità differenti da quelle qui dichiarate. Potrebbero tuttavia esserci altri cookie di profilazione o con finalità differenti da quelle qui dichiarate utilizzati dai servizi di terze parti. 6.1 Cookie tecnici e di sessione (indispensabili per l’utilizzo dei servizi on line e per l’accesso alle aree riservate del portale) ll sito https://www.xxx.unimi.it utilizza diversi cookie http di sessione per gestire l’autenticazione ai servizi on-line e alle aree riservate. L’uso di cookie di sessione (che non vengono memorizzati in modo persistente sul computer dell’utente e si eliminano con la chiusura del browser) è strettamente limitato alla trasmissione di identificativi di sessione (costituiti da numeri casuali generati dal server) necessari per consentire l’esplorazione sicura ed efficiente del sito. La disabilitazione dei cookie di sessione non consente di fruire in modo completo le risorse mese a disposizione del sito. Cookie tecnici utilizzati https://www.xxx.unimi.it:

Nome Origine Funzione Scadenza

https://www.xxx.unimi.it/


13

6.2 Cookie di monitoraggio Descrizione del servizio Il sito si avvale del servizio Google Analytics della società Google, Inc. (di seguito "Google") per la generazione di statistiche sull'utilizzo del portale web; Google Analytics utilizza cookie (non di terze parti) che non memorizzano dati personali. Le informazioni ricavabili dai cookie sull’utilizzo del sito web da parte degli utenti (compresi gli indirizzi IP) verranno trasmesse dal browser dell’utente a Google, con sede a 1600 Amphitheatre Parkway, Mountain View, CA 94043, Stati Uniti, e depositate presso i server della società stessa. Secondo i termini di servizio in essere, Google utilizzerà queste informazioni, in qualità di titolare autonomo del trattamento, allo scopo di tracciare e esaminare l’utilizzo del sito web, compilare report sulle attività del sito ad uso degli operatori del sito stesso e fornire altri servizi relativi alle attività del sito web, alle modalità di connessione (mobile, pc, browser utilizzato etc) e alle modalità di ricerca e raggiungimento delle pagine del portale. Google può anche trasferire queste informazioni a terzi ove ciò sia imposto dalla legge o laddove tali terzi trattino le suddette informazioni per conto di Google. Google non associerà gli indirizzi IP a nessun altro dato posseduto da Google. Per consultare l'informativa privacy della società Google, relativa al servizio Google Analytics, si prega di visitare il sito Internet http://www.google.com/intl/en/analytics/privacyoverview.html. Per conoscere le norme sulla privacy di Google, si invita a vistare il sito Internet http://www.google.com/intl/it/privacy/privacy-policy.html. Utilizzando il sito, si acconsente al trattamento dei propri dati da parte di Google per le modalità e i fini sopra indicati e nelle modalità dichiarate dal fornitore del servizio. Privacy policy ( link a Privacy e cookie policy Google Analytics / Google) Opt out (link)

Nome Origine Funzione / dati raccolti Scadenza

_ga Google Utilizzato per raccogliere dati anonimi sulle statistiche di accesso al sito

24 mesi (2 anni): la data di scadenza viene rinnovata ad ogni hit

_gat

Google Utilizzato per raccogliere dati anonimi sulle statistiche di accesso al sito

10 minuti

http://www.google.com/analytics/terms/it.html

http://www.google.com/intl/en/analytics/privacyoverview.html

http://www.google.com/intl/it/privacy/privacy-policy.html


14

(…)

6.3 Cookie di terze parti Questo sito utilizza alcune funzionalità fornite da altre organizzazioni (“Terze parti”) per migliorare l’esperienza di navigazione quali ad esempio l'inclusione di video. Le informazioni raccolte da “terze parti” non sono accessibili alla proprietà di questo sito e la loro gestione è disciplinata dalle relative informative cui si prega di fare riferimento. YouTube Breve descrizione del servizio Privacy policy (Link a privacy e cookie policy YouTube - Google)


www.youtube.com

Google Maps Breve descrizione del servizio


15

Privacy policy (link a Privacy e cookie policy Google)


Google

Pulsante “Like” di Facebook Breve descrizione del servizio Privacy policy (link a Privacy e cookie policy Facebook)


Facebook

6.4 Come disabilitare i cookie (opt-out) È possibile negare il consenso all’utilizzo dei cookie selezionando l'impostazione appropriata sul proprio browser: la navigazione non autenticata (quando richiesta) sarà comunque disponibile in tutte le sue funzionalità. Di seguito vengono riportati i link che spiegano come disabilitare i cookie per i browser più diffusi (per altri browser eventualmente utilizzati suggeriamo di cercare questa opzione nell’help del software normalmente disponibile attraverso il tasto F1): Internet Explorer:

https://www.google.com/

https://www.facebook.com/


16

http://windows.microsoft.com/it-IT/windows7/Block-enable-or-allow-cookies Google Chrome: https://support.google.com/chrome/bin/answer.py?hl=it-IT&answer=95647&p=cpn_cookies Mozilla Firefox: http://support.mozilla.org/it/kb/Bloccare%20i%20cookie?redirectlocale=en-US&redirectslug=Blocking+cookies Apple Safari: http://www.apple.com/it/privacy/use-of-cookies/ In alternativa è possibile disabilitare soltanto i cookie di Google Analytics, utilizzando il componente aggiuntivo di opt-out fornito da Google per i browser principali. [il paragrafo su esposto è da aggiungere qualora non si sia provveduto a redigere Cookie Policy specifica] 7. Categorie di soggetti autorizzati al trattamento e ai quali i dati possono essere comunicati I dati personali degli utenti saranno conosciuti e trattati, nel rispetto della vigente normativa in materia, dal personale del [indicare la struttura di riferimento ad es. Dipartimento] (individuati come Autorizzati al trattamento) coinvolto nella manutenzione del sito. I dati potranno essere comunicati: a) alle strutture dell’Ateneo che ne facciano richiesta, per le finalità istituzionali dell’Ateneo o in osservanza di obblighi legislativi; b) a soggetti pubblici non economici o consorzi partecipati dall’Ateneo (ad es. MIUR) quando la comunicazione è necessaria per lo svolgimento di funzioni istituzionali dell’ente richiedente; c) ad alcuni soggetti esterni, individuati come Responsabili del trattamento ex art. 28 RGPD; È fatta salva, in ogni caso, la comunicazione o diffusione di dati richiesti, in conformità alla legge, dall’Autorità di Pubblica Sicurezza, dall’Autorità Giudiziaria o da altri soggetti pubblici per finalità di difesa, sicurezza dello Stato ed accertamento dei reati, nonché la comunicazione all’Autorità Giudiziaria in ottemperanza ad obblighi di legge, laddove si ravvisino ipotesi di reato. Non saranno, infine, trasferiti dati personali verso Paesi terzi od organizzazioni internazionali a meno che ciò non sia strettamente connesso a richieste specifiche provenienti dall’utente o a necessità legate alla finalizzazione dell’intervento, per le quali si acquisirà apposito consenso. 8. Conservazione dei dati I dati saranno conservati dall’Università degli studi di Milano per il tempo strettamente necessario al perseguimento delle finalità indicate e nel rispetto degli obblighi di legge. [In ogni caso i dati non saranno conservati per più di ----- anni dalla data di ultimo contatto.] 9. Diritti dell’interessato L’Interessato può proporre reclamo a un’Autorità di controllo ed esercitare ai sensi degli artt. da 15 a 22 del RGPD il diritto di: - proporre reclamo a un’Autorità di controllo; - chiedere ai contitolari del trattamento l'accesso ai dati personali che lo riguardano, la rettifica o la cancellazione degli stessi, la limitazione del trattamento;

http://windows.microsoft.com/it-IT/windows7/Block-enable-or-allow-cookies

https://support.google.com/chrome/bin/answer.py?hl=it-IT&answer=95647&p=cpn_cookies

http://support.mozilla.org/it/kb/Bloccare%20i%20cookie?redirectlocale=en-US&redirectslug=Blocking+cookies


http://www.apple.com/it/privacy/use-of-cookies/

https://tools.google.com/dlpage/gaoptout?hl=it



17

- opporsi al trattamento; - chiedere la portabilità dei dati, rivolgendosi ai seguenti contatti: Responsabile della Protezione dei Dati - e-mail: [email protected]. 10. Modifiche alle Informazioni Le presenti informazioni potrebbero subire delle modifiche nel tempo. Si consiglia, pertanto, di verificare, nella sezione Privacy del sito web [https://www.xxx.unimi.it], che la versione a cui ci si riferisce sia la più aggiornata.


18

Allegato B) Modello generico di pagina web (Siti web di tipo CMS basati su piattaforma CMS WordPress)

Informativa sul trattamento dei dati personali

https://www.xxx.unimi.it

Premessa Ai sensi dell’art. 13 del Regolamento (UE) 2016/679 (Regolamento Generale sulla Protezione dei Dati o RGPD) del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, nonché del D. Lgs 196/2003 e ss. mm. ii., l’Università degli Studi di Milano (nel seguito indicata anche come “Ateneo”) nella persona del Rettore pro tempore, informa gli utenti in merito all’utilizzo dei dati personali che li riguardano da parte del sito web https://www.xxx.unimi.it (di seguito anche “sito”). Questa informativa è resa in merito alla modalità di gestione del sito, in relazione al trattamento dei dati personali degli utenti che lo consultano, che scelgono di registrarsi e/o che utilizzano servizi online proposti. Resta ferma l’osservanza da parte dell’Università degli Studi di Milano della vigente normativa in materia di trasparenza e di pubblicazione obbligatoria di dati e documenti. La presente informativa è limitata al solo sito https://www.xxx.unimi.it e non ha valore per i siti esterni anche se accessibili a partire da link presenti su https://www.xxx.unimi.it. Per gli utenti minori di 14 anni sarà necessario legittimare il consenso all’utilizzo dei dati personali attraverso l’autorizzazione dei genitori o di chi ne fa le veci. 1. Titolare del trattamento e Responsabile per la protezione dei dati (RPD) Titolare del trattamento dei dati è l’Università degli Studi di Milano, nella persona del Rettore pro tempore, Via Festa del Perdono n. 7, 20122 Milano, e-mail [email protected]. Ai sensi degli artt. 37 e seguenti del Regolamento UE 2016/679, l’Ateneo ha nominato il Responsabile per la protezione dei dati (RPD) contattabile all’indirizzo e-mail [email protected]. Per informazioni o approfondimenti sull’utilizzo dei dati personali da parte del sito, contattare [aggiungere nome referente di struttura/dipartimento per il sito con indirizzo fisico, contatto mail e/o numero telefonico] 2. Finalità e base giuridica del trattamento I dati personali che potrebbero essere/sono trattati sono: - indirizzo IP; - tipo di browser e parametri del dispositivo usato per connettersi al sito; - nome dell’internet service provider (ISP); - data ed orario di visita; - pagina web di provenienza del visitatore (referral) e di uscita; - eventuale numero di click; - forniti volontariamente dall’utente nell’utilizzo di servizi on line proposti su sito; - i dati forniti di volta in volta dagli utenti in relazione allo specifico servizio richiesto;


19

Le suddette informazioni sono trattate in forma automatizzata e raccolte in forma aggregata al fine di verificare il corretto funzionamento del sito e per motivi di sicurezza. Tali informazioni saranno trattate in base al legittimo interesse del titolare. Ai fini di sicurezza (filtri antispam, firewall, rilevazione virus), i dati registrati automaticamente possono eventualmente comprendere dati personali come l’indirizzo IP, che potrebbe essere utilizzato, in conformità alla legge vigente, al fine di bloccare tentativi di danneggiamento al sito o di recare danno ad altri utenti, o comunque attività dannose o costituenti reato. In ogni caso tali dati non verranno mai utilizzati a fini di profilazione dell’utenza del sito ma solo a fini di tutela del sito e dei suoi utenti. Le basi giuridiche del trattamento sono quindi l’ottemperanza a obblighi di legge e contrattuali, l’adempimento di specifiche richieste dell’interessato prima della conclusione del contratto e il trattamento dei dati connesso alla gestione di eventuali reclami o contenziosi e per la prevenzione e repressione di frodi e di qualsiasi attività illecita. 3. Tipi di dati trattati I Dati Personali sono raccolti per le seguenti finalità ed utilizzando i seguenti servizi. I sistemi informatici e le procedure applicative preposte al funzionamento del sito acquisiscono, nel corso del loro normale esercizio, alcuni dati la cui trasmissione è implicita nell’uso dei protocolli di comunicazione sulla Internet. Tali informazioni vengono utilizzate per ricavare informazioni statistiche anonime sull’uso del portale e per controllarne il corretto funzionamento e non sono associate a utenti identificati; tuttavia per loro natura e mediante associazioni con dati detenuti da terzi, potrebbero consentire l’identificazione degli interessati. Rientra in questa categoria, ad esempio, l’indirizzo IP del sistema utilizzato per collegarsi al portale. Questi dati vengono rimossi dai sistemi dopo l’elaborazione delle statistiche e sono conservati off-line esclusivamente per accertamenti di responsabilità in caso di reati informatici e consultabili solo su richiesta dell’autorità giudiziaria. Per l’utilizzo di servizi on-line che prevedono l’autenticazione, la registrazione o l’invio di e-mail sono utilizzati dati personali forniti liberamente dagli utenti secondo diverse modalità. L'invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi indicati sul sito comporta la successiva acquisizione dell'indirizzo del mittente, necessario per rispondere alle richieste, nonché degli eventuali altri dati personali inseriti nella missiva. Il sito web si avvale dei seguenti servizi: Analisi del traffico dati tramite Google Analytics (Link a Privacy policy) Incorporamento di mappe tramite Google Maps (Link a Privacy policy) Incorporamento di video YouTube / Vimeo (Link a Privacy policy) (…) Per ulteriori informazioni consulta il paragrafo 6 e i suoi sottoparagrafi. 4. Facoltatività del conferimento dei dati Alcuni dati richiesti (es. quelli per la registrazione) sono obbligatori e il loro mancato conferimento comporta l’impossibilità di fornire il servizio richiesto.


20

In modo analogo la mancata comunicazione di alcuni dati eventualmente richiesti per la sottoscrizione di servizi online può comportare l’impossibilità di fruire del servizio prescelto. I dati di registrazione e quelli di sottoscrizione sono conferiti volontariamente. Il soggetto che effettua la registrazione dà liberamente il consenso al trattamento dei dati, consapevole che in assenza di tale consenso la registrazione e la sottoscrizione dei servizi non possono aver luogo. I trattamenti effettuati prima della revoca del consenso da parte dell’interessato resteranno comunque validi. 5. Modalità del trattamento La raccolta dei dati avviene nel rispetto dei principi di pertinenza, completezza e non eccedenza in relazione ai fini per i quali sono trattati. I dati personali conferiti sono trattati in osservanza dei principi di liceità, correttezza e trasparenza, previsti dall’articolo 5 RGPD, anche con l’ausilio di strumenti informatici e telematici atti a memorizzare e gestire i dati stessi, e comunque in modo tale da garantirne la sicurezza e tutelare la massima riservatezza dell’interessato. I dati possono essere oggetto di trattamento in forma anonima per lo svolgimento di attività statistiche finalizzate al miglioramento dei servizi offerti. [il paragrafo seguente è da aggiungere qualora non si sia provveduto a redigere Cookie Policy specifica] 6. Utilizzo di cookie I cookie sono file di testo che vengono depositati sui computer degli utenti web per consentire l’esplorazione sicura ed efficiente del sito e monitorarne l’utilizzo. Il sito https://www.xxx.unimi.it utilizza /non utilizza cookie tecnici e di sessione, cookie di monitoraggio e cookie di terze parti. Non vengono utilizzati cookie di profilazione per finalità differenti da quelle qui dichiarate. Potrebbero tuttavia esserci altri cookie di profilazione o con finalità differenti da quelle qui dichiarate utilizzati dai servizi di terze parti. 6.1 Cookie tecnici e di sessione di prima parte (indispensabili per l’utilizzo dei servizi on line e per l’accesso alle aree riservate del portale) ll sito https://www.xxx.unimi.it utilizza diversi cookie http di sessione per gestire l’autenticazione ai servizi on-line e alle aree riservate. L’uso di cookie di sessione (che non vengono memorizzati in modo persistente sul computer dell’utente e si eliminano con la chiusura del browser) è strettamente limitato alla trasmissione di identificativi di sessione (costituiti da numeri casuali generati dal server) necessari per consentire l’esplorazione sicura ed efficiente del sito. Questi cookie non memorizzano alcun tipo di informazione di identificazione personale. La disabilitazione dei cookie di sessione non consente di fruire in modo completo le risorse mese a disposizione del sito. Cookie tecnici utilizzati (potrebbe essere necessaria integrazione):


wordpress_*, wordpress_logged_in_*, wordpress_sec_*,

https://www.xxx.unimi.it: Migliorare i servizi per gli utenti del sito, consentire o facilitare la navigazione (es: utenticare gli

Sessione


21

wordpress_test_*, wordpress_test_cookie, _wp_session Wp-settings-*, wp-settings-time-*

utenti registrati, memorizzare le preferenze, impostare la lingua e tenere traccia delle pagine visitate).

1 anno

6.2 Cookie di monitoraggio Descrizione del servizio Il sito si avvale del servizio Google Analytics della società Google, Inc. (di seguito "Google") per la generazione di statistiche sull'utilizzo del portale web; Google Analytics utilizza cookie (non di terze parti) che non memorizzano dati personali. Le informazioni ricavabili dai cookie sull’utilizzo del sito web da parte degli utenti (compresi gli indirizzi IP) verranno trasmesse dal browser dell’utente a Google, con sede a 1600 Amphitheatre Parkway, Mountain View, CA 94043, Stati Uniti, e depositate presso i server della società stessa. Secondo i termini di servizio in essere, Google utilizzerà queste informazioni, in qualità di titolare autonomo del trattamento, allo scopo di tracciare e esaminare l’utilizzo del sito web, compilare report sulle attività del sito ad uso degli operatori del sito stesso e fornire altri servizi relativi alle attività del sito web, alle modalità di connessione (mobile, pc, browser utilizzato etc) e alle modalità di ricerca e raggiungimento delle pagine del portale. Google può anche trasferire queste informazioni a terzi ove ciò sia imposto dalla legge o laddove tali terzi trattino le suddette informazioni per conto di Google. Google non associerà gli indirizzi IP a nessun altro dato posseduto da Google. Per consultare l'informativa privacy della società Google, relativa al servizio Google Analytics, si prega di visitare il sito Internet http://www.google.com/intl/en/analytics/privacyoverview.html. Per conoscere le norme sulla privacy di Google, si invita a vistare il sito Internet http://www.google.com/intl/it/privacy/privacy-policy.html. Utilizzando il sito, si acconsente al trattamento dei propri dati da parte di Google per le modalità e i fini sopra indicati e nelle modalità dichiarate dal fornitore del servizio. Privacy policy (Link a Privacy Policy Google) Opt out


_ga Google Utilizzato per raccogliere dati anonimi sulle statistiche di accesso al sito

24 mesi (2 anni): la data di scadenza viene rinnovata ad ogni hit

_gat

Google Utilizzato per raccogliere dati anonimi sulle statistiche di accesso al sito

10 minuti

http://www.google.com/analytics/terms/it.html

http://www.google.com/intl/en/analytics/privacyoverview.html

http://www.google.com/intl/it/privacy/privacy-policy.html


22

(…)

6.3 Cookie di terze parti Questo sito utilizza alcune funzionalità fornite da altre organizzazioni (“Terze parti”) per migliorare l’esperienza di navigazione quali ad esempio l'inclusione di video. Le informazioni raccolte da “terze parti” non sono accessibili alla proprietà di questo sito e la loro gestione è disciplinata dalle relative informative cui si prega di fare riferimento. YouTube Breve descrizione del servizio Privacy policy (Link a privacy policy YouTube - Google)


www.youtube.com

Google Maps Breve descrizione del servizio Privacy policy (link a Privacy policy Google)


23


Google

Pulsante “Like” di Facebook Breve descrizione del servizio Privacy policy (link a Privacy policy Facebook)


Facebook

6.4 Come disabilitare i cookie (opt-out) È possibile negare il consenso all’utilizzo dei cookie selezionando l'impostazione appropriata sul proprio browser: la navigazione non autenticata (quando richiesta) sarà comunque disponibile in tutte le sue funzionalità. Di seguito vengono riportati i link che spiegano come disabilitare i cookie per i browser più diffusi (per altri browser eventualmente utilizzati suggeriamo di cercare questa opzione nell’help del software normalmente disponibile attraverso il tasto F1): Internet Explorer:

https://www.google.com/

https://www.facebook.com/


24

http://windows.microsoft.com/it-IT/windows7/Block-enable-or-allow-cookies Google Chrome: https://support.google.com/chrome/bin/answer.py?hl=it-IT&answer=95647&p=cpn_cookies Mozilla Firefox: http://support.mozilla.org/it/kb/Bloccare%20i%20cookie?redirectlocale=en-US&redirectslug=Blocking+cookies Apple Safari: http://www.apple.com/it/privacy/use-of-cookies/ In alternativa è possibile disabilitare soltanto i cookie di Google Analytics, utilizzando il componente aggiuntivo di opt-out fornito da Google per i browser principali. [il paragrafo su esposto è da aggiungere qualora non si sia provveduto a redigere Cookie Policy specifica] 7. Categorie di soggetti autorizzati al trattamento e ai quali i dati possono essere comunicati I dati personali degli utenti saranno conosciuti e trattati, nel rispetto della vigente normativa in materia, dal personale del [indicare la struttura di riferimento ad es. Dipartimento] (individuati come Autorizzati al trattamento) coinvolto nella manutenzione del sito. I dati potranno essere comunicati: a) alle strutture dell’Ateneo che ne facciano richiesta, per le finalità istituzionali dell’Ateneo o in osservanza di obblighi legislativi; b) a soggetti pubblici non economici o consorzi partecipati dall’Ateneo (ad es. MIUR) quando la comunicazione è necessaria per lo svolgimento di funzioni istituzionali dell’ente richiedente; c) ad alcuni soggetti esterni, individuati come Responsabili del trattamento ex art. 28 RGPD; È fatta salva, in ogni caso, la comunicazione o diffusione di dati richiesti, in conformità alla legge, dall’Autorità di Pubblica Sicurezza, dall’Autorità Giudiziaria o da altri soggetti pubblici per finalità di difesa, sicurezza dello Stato ed accertamento dei reati, nonché la comunicazione all’Autorità Giudiziaria in ottemperanza ad obblighi di legge, laddove si ravvisino ipotesi di reato. Non saranno, infine, trasferiti dati personali verso Paesi terzi od organizzazioni internazionali a meno che ciò non sia strettamente connesso a richieste specifiche provenienti dall’utente o a necessità legate alla finalizzazione dell’intervento, per le quali si acquisirà apposito consenso. 8. Conservazione dei dati I dati saranno conservati dall’Università degli studi di Milano per il tempo strettamente necessario al perseguimento delle finalità indicate e nel rispetto degli obblighi di legge. [In ogni caso i dati non saranno conservati per più di ----- anni dalla data di ultimo contatto.] 9. Diritti dell’interessato L’Interessato può proporre reclamo a un’Autorità di controllo ed esercitare ai sensi degli artt. da 15 a 22 del RGPD il diritto di: - proporre reclamo a un’Autorità di controllo; - chiedere ai contitolari del trattamento l'accesso ai dati personali che lo riguardano, la rettifica o la cancellazione degli stessi, la limitazione del trattamento;

http://windows.microsoft.com/it-IT/windows7/Block-enable-or-allow-cookies

https://support.google.com/chrome/bin/answer.py?hl=it-IT&answer=95647&p=cpn_cookies



http://www.apple.com/it/privacy/use-of-cookies/




25

- opporsi al trattamento; - chiedere la portabilità dei dati, rivolgendosi ai seguenti contatti: Responsabile della Protezione dei Dati - e-mail: [email protected]. 10. Modifiche alle Informazioni Le presenti informazioni potrebbero subire delle modifiche nel tempo. Si consiglia, pertanto, di verificare, nella sezione Privacy del sito web [https://www.xxx.unimi.it], che la versione a cui ci si riferisce sia la più aggiornata.


26

Allegato C - Cos’è la Privacy Policy di un Sito Web

Cos’è la Privacy Policy di un Sito Web

La Privacy Policy di un Sito Web (o Informativa Privacy) è il documento con il quale gli utenti vengono informati sulle finalità e modalità di trattamento dei Dati Personali raccolti. Questo documento rappresenta la comunicazione agli utenti di ogni informazione necessaria per garantire un trattamento dei dati corretto e trasparente ai sensi di legge (ad es. le informazioni sul titolare del trattamento, l’indicazione precisa e puntuale del RDP, il periodo di conservazione dei dati, il diritto alla revoca del consenso al trattamento quando richiesto, etc.).

L'Informativa Privacy è obbligatoria quando viene effettuato un trattamento dei dati personali su un sito web. Secondo il Regolamento europeo privacy, si definisce trattamento qualsiasi operazione compiuta su dati personali in modo automatizzato o meno (ad es. l'archiviazione e la lettura dei dati, la comunicazione a terze parti, etc.).

È molto importante avere una Privacy Policy, in quanto l'omessa o errata informativa all'utente è punibile con una sanzione pecuniaria fino a 20 milioni di euro oppure fino al 4% del fatturato mondiale annuale, tenuto conto del singolo caso, della natura, gravità, durata della violazione, etc.

Quando si usa l'informativa privacy per Siti Web

L'informativa privacy si usa per comunicare agli utenti le informazioni necessarie previste dalla normativa vigente per un sito web.

La privacy policy è obbligatoria, pena pesanti sanzioni, quando il proprio dominio:

1. Raccoglie dati personali (e-mail, dati anagrafici ecc.). 2. Raccoglie dati per fini non esclusivamente personali. 3. Coinvolge un soggetto terzo (Facebook, Google, Youtube ecc.). 4. Quando si mette in atto un qualunque trattamento di dati personali.

Che cosa contiene la privacy policy

La privacy policy deve soddisfare tutti i requisiti legali previsti e deve contiene tutte le informazioni richieste dalla legislazione vigente in materia di privacy quali:

tipologie di dati personali raccolti: dati volontariamente forniti dall'utente (dati di contatto, informazioni, contenuti, dati sensibili, dati raccolti da social media, etc.), dati acquisiti automaticamente (dati di utilizzo, dati di geolocalizzazione, dati raccolti tramite cookie, etc.);

finalità del trattamento: devono essere elencati gli scopi per cui si raccolgono i dati personali (ad es. fini statistici, profilazione dell'utente, gestione dei pagamenti, etc.);


27

modalità del trattamento: devono essere indicati gli strumenti elettronici o manuali con i quali si raccolgono i dati, le modalità di organizzazione dei dati, le misure di sicurezza per impedire l’accesso, la divulgazione, la modifica o la distruzione non autorizzate dei dati;

destinatari dei dati a terzi: devono essere indicati i nomi dei soggetti terzi destinatari dei dati; base giuridica del trattamento: se il trattamento è basato sul consenso, sulla legge, su un contratto

o è necessario per concludere un contratto; luogo: dove sono trattati i dati e se vengono trasferiti in un paese extra UE; periodo di conservazione dei dati: deve essere specificato per quanti anni dopo la cessazione del

rapporto con l’Utente (o dall’ultimo contatto utile) i dati vengono conservati; diritti esercitabili dagli utenti: la normativa richiede espressamente di inserire l’elenco di cosa può

fare un utente (ad es. chiedere la rimozione dati, la cancellazione, la trasformazione in forma anonima o il blocco dei dati, etc.);

processi decisionali automatizzati: se vengono utilizzate procedure come la profilazione; dati identificativi del titolare del trattamento e/o del responsabile della protezione dei dati

(DPO): devono essere inseriti tutti i dati per identificare e contattare chi determina le finalità e i mezzi del trattamento di dati personali (solitamente il Titolare). Se nominato, va indicato puntualmente anche il responsabile della protezione dei dati.

lingua inglese: è possibile generare il documento anche in inglese (o in un’altra delle lingue ufficiali dell’Unione Europe) nel caso in cui i propri utenti siano stranieri.

Cosa deve stabilire la privacy policy?

La privacy policy deve informare, gli utenti dello spazio web, con precisione su:

1. Quali sono i dati personali raccolti. 2. Quali modalità di tracciatura sono state utilizzate. 3. Quali finalità e base giuridica per la raccolta di tali dati. 4. Chi è il titolare di questa raccolta dati, il responsabile e l’eventuale rappresentante che è stato

designato. 5. Chi sono tutti i soggetti coinvolti nella condivisione dei dati. 6. L’utilizzo dei cookie. 7. Il periodo di conservazione dei dati. 8. I diritti degli utenti.

I punti essenziali da riportare sono:

1. Tipo di informazioni dell’utente raccolte e la ragione per cui queste informazioni sono raccolte. 2. Come sono gestite le informazioni raccolte, 3. Se e con chi queste informazioni sono condivise, compresa la possibilità, da parte dell’utente, di

negare questa condivisione. 4. Specificare quali sono le terze parti (es. Facebook, Google ecc.) con cui condividi le informazioni e

spiegarne la ragione. 5. Includere una informativa sui cookies.


28

Al fine di agevolare la redazione di una privacy policy adeguata alle esigenze, si riporta in calce, un template di informativa utile per siti web.

Si ricorda infine che la redazione di un’informativa, in aderenza ai requisiti di legge, dovrà essere elaborata seguendo le specifiche tecniche e giuridiche che caratterizzano il servizio che si vuole implementare. È fondamentale pertanto che ogni privacy policy sia redatta “su misura” al servizio a cui afferisce.

indicazioni operative utili alla creazione di una pagina ... · università degli studi di milano...

Documents