Privacy e tutela dei dati personali

Gestione del consenso al trattamento dei dati personali

Cosa si intende per gestione del consenso al trattamento dei dati personali?

Con l’introduzione di normative sul trattamento dei dati personali dei consumatori, come ad esempio l’RGPD, i responsabili delle attività di marketing devono assicurarsi che la raccolta di indirizzi e-mail e l’uso dei dati personali dei clienti sia conforme alla legge.

Inoltre, è buona prassi assicurarsi che i clienti forniscano in modo chiaro il proprio consenso all’invio di contenuti promozionali. Questo ti aiuterà a costruire un database di contatti qualificati per la tua strategia di e-mail marketing e fidelizzazione dei clienti.

Quando un utente inserisce un indirizzo e-mail sul tuo sito, completando così una micro-conversione, la nostra soluzione di gestione del consenso al trattamento dei dati personali controlla automaticamente se quest’ultimo ha già acconsentito all’invio di materiale promozionale.

In base ai risultati di questo controllo, se necessario, siamo in grado di integrare immediatamente nel codice HTML del tuo sito una casella di spunta o un interruttore a levetta per raccogliere il consenso dell’utente. Potrai scegliere tu quale delle due opzioni utilizzare e noi la personalizzeremo in linea con il look&feel del tuo brand.

La scelta dell’utente di fornire o meno il suo consenso verrà poi immediatamente memorizzata e integrata nelle funzioni di targetizzazione delle tue campagne di marketing.

In questo modo, non vi sarà più bisogno di caselle di spunta statiche o di messaggi mostrati a tutti i visitatori, indipendentemente dal fatto che abbiano già espresso il loro consenso, dalla loro posizione geografica o dalla frequenza delle loro visite sul tuo sito. Grazie alla flessibilità di questa soluzione, potrai personalizzare l’esperienza di ogni utente e aumentare l’engagement online, mostrando le opzioni per il consenso al trattamento dei dati per fini promozionali solo quando effettivamente necessario.

La nostra soluzione è completamente personalizzabile e offre la possibilità di modificare in qualsiasi momento i messaggi mostrati agli utenti e il target.

Utilizzando i dati relativi alla posizione geografica dell’utente così come al suo comportamento di navigazione e acquisto, possiamo infatti personalizzare la sua user experience sul tuo sito. Ma, soprattuto, possiamo mostrare dei messaggi di consenso al trattamento dei dati per fini promozionali che siano rilevanti e customizzati in base alla lingua del target.

Se il nostro servizio di gestione del consenso al trattamento dei dati personali dovesse riconoscere che un visitatore ha già dato la propria autorizzazione, non comparirà nessun messaggio, così da rendere il percorso di acquisto più veloce e fluido (oppure comparirà un messaggio di revoca del consenso qualora previsto dalla legge). In caso contrario, se un utente dovesse aver revocato il proprio consenso, una nuova notifica di autorizzazione all’invio di contenuti promozionali apparirà sul sito.

Infine, nel caso in cui l’utente non dovesse avere mai dato l’autorizzazione all’invio di contenuti promozionali, le notifiche personalizzate per il consenso al trattamento dei dati rappresentano sicuramente un modo efficace per ottenerla.

Per ulteriori informazioni, approfondimenti e suggerimenti per generare lead qualificati, conoscere in modo approfondito i tuoi clienti e ottimizzare il tasso di conversione, dai un’occhiata alle nostre risorse e leggi il nostro blog, dove ogni settimana pubblichiamo contenuti nuovi e ingaggianti riguardo al marketing digitale e ai trend dell’e-commerce.

Privacy protezione dei dati personali

La Regione Piemonte, in armonia con quanto previsto dal Regolamento Europeo sulla protezione dei dati personali 2016/679, per rispondere alla istanza presentata e/o erogare il servizio richiesto svolge l'attività nell'ambito del trattamento dei dati personali.

Pertanto è necessario che gli interessati prendano visione di una serie di informazioni utili a comprendere le motivazioni per le quali i dati forniti verranno trattati e a conoscere i propri diritti e come questi potranno essere esercitati.

Finalità del trattamento dei dati personali

I dati personali (dati anagrafici, CF, contatti telefonici, indirizzo di posta elettronica, ecc) richiesti come obbligatori o facoltativi sono trattati, nel rispetto delle regole fissate dal Regolamento UE, esclusivamente ai fini dell'identificazione dell'utente, ad esempio per le seguenti finalità:

erogazione di informazioni e di assistenza tecnica attraverso gli appositi canali di contatto,

esecuzione dei propri compiti ed esercizio dei propri pubblici poteri,

adempimenti di obblighi previsti da leggi, regolamenti, normativa comunitaria,

dar seguito alle richieste inoltrate dai contribuenti/ legali rappresentanti di enti o società.

L'invio di posta elettronica agli indirizzi indicati nei vari canali di accesso e la compilazione di "format" (maschere) specificamente predisposti, comportano l'acquisizione dell'indirizzo di posta e dei dati del mittente/utente, necessari per rispondere alle istanze presentate e/o erogare il servizio richiesto. La mancata, inesatta e/o incompleta comunicazione comporta l'impossibilità di dar seguito all'erogazione del servizio stesso.

Modalità del trattamento dei dati personali

Il trattamento dei dati è effettuato con l’ausilio di mezzi automatizzati e la loro trasmissione avviene attraverso reti telematiche e/o con modalità cartacea e utilizza standard di sicurezza elevati e conformi alla normativa vigente in materia di protezione dei dati personali.

Il Titolare adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza idoneo rispetto alla tipologia di dati trattati.

Il trattamento può anche essere effettuato da soggetti appositamente autorizzati dalla Giunta regionale in grado di tutelare e garantire la riservatezza dei dati forniti, nei modi e nei limiti necessari per perseguire le predette finalità. Tali dati vengono trattati, nel ruolo di Responsabile del Trattamento ex art. 28 del Regolamento

Alcune operazioni di trattamento potrebbero essere effettuate anche da altri soggetti terzi, ai quali Regione Piemonte affida talune attività, o parte di esse funzionali all'erogazione dei servizi. Su tali ulteriori soggetti, designati come Responsabili del trattamento, sono imposti da parte di Regione Piemonte, mediante contratto o altro atto giuridico a norma del diritto dell’UE o degli Stati membri, opportuni obblighi in materia di protezione dei dati personali attraverso istruzioni operative, con particolare riferimento all'adozione di misure tecniche ed organizzative adeguate, al fine di poter garantire la riservatezza e la sicurezza dei dati ex art.32 del Regolamento.

Titolare del trattamento

Titolare del trattamento dati è la Giunta regionale, piazza Castello 165, 10121 Torino, tel. 011-432.11.11;

Responsabile della protezione dei dati

Il Responsabile della protezione dei dati (RPD) è contattabile al seguente indirizzo: e dpo@regione.piemonte

Ciascun interessato potrà esercitare i propri diritti mediante la compilazione del seguente modulo, disponibile in due formati:

Informativa

Ogni servizio di Regione Piemonte ha un’apposita informativa dettagliata sulla base del servizio fornito. L’informativa è redatta nel rispetto dell’art. 13 del Regolamento UE 2016/679, il modello base di informativa è stato deliberato dalla Giunta regionale.

Privacy e tutela dei dati personali

Come rispettare il diritto alla protezione dei dati personali

Il diritto alla privacy è riconosciuto come un diritto fondamentale delle persone, direttamente collegato alla tutela della dignità umana, ed è sancito anche dalla Carta dei diritti fondamentali dell’Unione Europea.

Il concetto di privacy, parola inglese traducibile in italiano con "riservatezza" o "privatezza”, con il tempo si è evoluto: dal diritto “di essere lasciati in pace o di proteggere la propria sfera privata”, oggi nella società dell’informazione, si riferisce soprattutto al diritto di accedere e controllare l’uso e la circolazione dei propri dati personali.

Per dato personale si intende “qualsiasi informazione che riguardi persone, società, enti, associazioni identificati o che possano essere identificati anche attraverso altre informazioni, ad esempio, attraverso un numero o un codice identificativo. Sono dati personali: nome e cognome o denominazione; indirizzo o sede; codice fiscale; ma anche una foto, la registrazione della voce di una persona, la sua impronta digitale o vocale”. [1]Particolare attenzione, e una maggiore protezione, sono rivolte ai dati sensibili, cioè ai dati personali che “possono rivelare l’origine razziale ed etnica, le convinzioni religiose o di altra natura, le opinioni politiche, l’adesione a partiti, sindacati o associazioni, lo stato di salute e la vita sessuale delle persone”.

Con la legge n. 675 del 31 dicembre 1996 – confluita nel decreto legislativo n°196/2003 recante il Codice in materia di protezione dei dati personali - che rappresenta il primo sistematico intervento normativo nazionale in materia, e che riprende la direttiva comunitaria 95/46/CE, è istituito il Garante per la protezione dei dati personali, più comunemente conosciuto come Garante per la privacy.

Il Garante è un’autorità indipendente, che ha il compito di assicurare la tutela dei diritti e delle libertà fondamentali nel trattamento dei dati personali ed il rispetto della dignità della persona. Il Garante esamina i reclami e le segnalazioni dei cittadini, decide sui ricorsi presentati, vigila sul rispetto delle norme che tutelano la vita privata e vieta, anche d’ufficio, i trattamenti illeciti o non corretti. Compie ispezioni, commina sanzioni amministrative ed emette pareri nei casi previsti, diffonde annualmente una relazione sulla situazione generale in materia e affrontando alcuni aspetti ritenuti particolarmente rilevanti. Ha inoltre funzioni propositive su possibili interventi normativi in materia di protezione dei dati personali.

Per le pubbliche amministrazioni, che sono considerate in maniera specifica da alcune disposizioni normative e da alcuni interventi del Garante, gli ambiti in materia di privacy riguardano essenzialmente due ambiti: il rispetto dei dati personali dei cittadini nella comunicazione e nella diffusione di documenti e informazioni a fini istituzionali, e il rispetto dei dati personali dei propri dipendenti.

La tutela dei dati personali dei cittadini nella PA

Nel Codice in materia di protezione dei dati personali, sono individuate delle regole specifiche per i soggetti pubblici (ad esclusione degli enti pubblici economici): all’art.18 è stabilito che “qualunque trattamento dei dati da parte dei soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali” e che nel “trattare i dati il soggetto pubblico osserva i presupposti ed i limiti stabiliti” dal codice.

I soggetti pubblici, fatta eccezione per le istituzioni che operano in ambito sanitario, “non devono richiedere il consenso dell’interessato” (art.18 co4) e possono trattare dati diversi da quelli sensibili e giudiziali, “anche in mancanza di una norma di legge o di regolamento” che preveda il trattamento (art.19 co1).

Per quanto riguarda la diffusione dei dati, i soggetti pubblici possono comunicare ad altri soggetti pubblici, i dati anche in mancanza di una norma di legge o di regolamento, se tale comunicazione è necessaria allo svolgimento di funzioni istituzionali (art.19 co2), mentre la comunicazione a soggetti privati è possibile solo se prevista da norma di legge o regolamento (art.19 co3).

In sintesi nel Codice per i soggetti pubblici si individua specificatamente che:

- il trattamento dei dati e la diffusione ad altri soggetti pubblici sono subordinati alle finalità e necessità di svolgimento di funzioni istituzionali;

- i soggetti pubblici possono operare anche in mancanza di regolamento o norma di legge

- i soggetti pubblici non sono tenuti a richiedere il consenso dell’interessato.

Per quanto riguarda invece i dati sensibili e giudiziari, gli enti pubblici sono chiamati a valutare se il trattamento è realmente indispensabile, e a emanare un regolamento in materia.

Il Titolo IV della parte II del Codice è poi interamente dedicato al trattamento dei dati in ambito pubblico. In questa parte del Codice, si evidenzia che il trattamento dei dati personali da parte dei soggetti istituzionali, è connesso al “rilevante interesso pubblico”.

In merito all’accesso agli atti e ai documenti amministrativi, anche concernenti dati personali, nel Codice si rimanda a quanto stabilito nella legge n°241/90 e seguenti, poiché l’accesso agli atti è espressamente considerato attività di rilevante interesse pubblico. Si precisa però che quando il trattamento concerne dati idonei a rivelare lo stato di salute o la vita sessuale, il trattamento è consentito se “la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile” (art.60).

Nel codice sono poi esaminati in maniera più specifica il trattamento dei dati in ambito sanitario e in ambito giudiziario, il trattamento dei dati da parte delle forze di polizia e i trattamenti per finalità di difesa o sicurezza delle Stato.

In merito al trattamento dei dati da parte dei soggetti pubblici, il Garante ha poi pubblicato nell’aprile 2007 le linee guida in materia di trattamento dei dati personali per finalità di pubblicazione e diffusione di atti e documenti di enti locali, riprese ed aggiornate, anche in seguito alla diffusione di nuovi strumenti di comunicazione e di archiviazione dei dati e ad alcune più recenti disposizioni normative, con deliberazione del 2 marzo 2011 recante le linee guida in materia di trattamento di dati personali contenuti anche in atti e documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e diffusione sul web.

I cambiamenti in atto nella pubblica amministrazione, hanno spinto il Garante a pronunciarsi con più chiarezza su alcuni aspetti riguardanti il rispetto del diritto dei cittadini alla protezione dei propri dati personali, la cui tutela, come espressamente indicato nelle linee guida del 2007 “non ostacola una piena trasparenza della attività amministrativa”. Tale tutela non “preclude la valorizzazione delle attività di comunicazione istituzionale e alla partecipazione dei cittadini alla vita democratica”.

Si tratta di effettuare un bilanciamento tra i principi di trasparenza, accesso e partecipazione e il principio del rispetto della privacy, e di promuovere un attento utilizzo delle nuove tecnologie in ambito pubblico che possa garantire ai cittadini nuovi canali di informazione e partecipazione e al tempo stesso la tutela dei propri dati personali.

Nel trattamento dei dati personali, le amministrazioni pubbliche sono chiamate a rispettare in particolare i principi di necessità (il trattamento deve configurarsi come indispensabile per lo svolgimento delle funzioni istituzionali) e di proporzionalità (i dati devono essere pertinenti e non eccedenti rispetto alle finalità perseguite). Per quanto riguarda invece i dati sensibili e giudiziari, gli enti pubblici sono chiamati a valutare se il trattamento è realmente indispensabile, e a emanare un regolamento in materia, come stabilito dal Codice.

Nelle linee guida, si invitano poi gli enti locali a definire in modo organico la propria politica di trasparenza tenendo conto del diritto alla privacy dei cittadini e ad alcuni casi specifici e particolari, che sono definiti nelle linee guida stesse. A norma dell’art.10 del decreto legislativo 267/2000 recante il Testo Unico - gli Enti Locali, infatti, sono chiamati a regolamentare il diritto di accesso agli atti e ai documenti, che sono tutti pubblici, “ad eccezione di quelli riservati per espressa indicazione di legge o per effetto di una temporanea e motivata dichiarazione che ne vieti l’esibizione, in quanto la loro diffusione possa pregiudicare il diritto alla riservatezza delle persone, dei gruppi o delle imprese”.

Per quanto riguarda in particolare la pubblicazione di atti, documenti e informazioni sul sito istituzionale, le indicazioni contenute nelle linee guida del 2007 sono riviste aggiornate con le già citate linee guida del 2011, rivolte in questo caso a tutti i soggetti pubblici. A fronte delle recenti disposizioni normative – in particolare con le disposizioni contenute nella legge n°69 del 2009 che introduce l’obbligo dell’albo pretorio on line e obbliga le PA a pubblicare il proprio sito alcune informazioni relative ai dei dipendenti e il Codice dell’Amministrazione digitale che individua il contenuto minimo dei siti delle PA, ma anche in seguito alla crescente diffusione delle nuove tecnologie, l’intervento del Garante tende a chiarire alcune ambiguità, tentando di definire “un primo quadro unitario di misure e accorgimenti” che i soggetti pubblici dovrebbero seguire per tutelare i cittadini, quando “effettuano attività di comunicazione o diffusione dei dati personali sui propri siti istituzionali per finalità di trasparenza, pubblicità dell’azione amministrativa nonché di consultazione di atti di singoli soggetti”.

In sintesi con le linee guida si chiarisce che la pubblicazione on line dei dati personali:

- deve rispettare i principi di necessità, proporzionalità e pertinenza

- è possibile solo sulla base di una norma di legge o di regolamento che la preveda

- riguardi solo dati esatti, aggiornati e proporzionati agli scopi per i quali sono messi on line

- deve prevedere tempi congrui e certi, stabiliti dalle norme di settore o in assenza di queste dalle amministrazioni

- rimane fermo il generale divieto di diffondere dati sulla salute.

Le pubbliche amministrazioni, oltre a garantire l’esattezza e l’aggiornamento dei dati, devono quindi adottare misure in grado di ridurre “il rischio di cancellazioni, modifiche, estrapolazioni delle informazioni”. A tale scopo i file dovranno riportare "dati di contesto" (data di aggiornamento, periodo di validità, amministrazione, numero di protocollo).

Le amministrazione devono inoltre adottare adeguate misure per rendere i dati rintracciabili preferibilmente solo nei motori interni del sito istituzionale, limitando quindi l’indicizzazione da parte dei motori di ricerca esterni, in modo tale da assicurare “un accesso coerente con la finalità per la quale i dati sono stati resi pubblici” e limitare il rischio di manipolazione e di "decontestualizzazione" dei dati. Secondo l’autorità garante in materia, infatti “nell’adempimento degli obblighi di pubblicazione on line di atti e provvedimenti amministrativi aventi effetto di pubblicità legale di cui alla legge n. 69/2009, risulta sproporzionato, rispetto alla finalità perseguita, consentirne l’indiscriminata reperibilità tramite i comuni motori di ricerca, essendo invece ragionevole delimitarne la pubblicazione in una sezione del sito istituzionale, limitando l’indicizzazione dei documenti e il tempo di mantenimento della diffusione dei dati”.

Le amministrazioni devono poi ridurre “i rischi di riproduzione e riutilizzo dei file contenenti dati personali” utilizzando software e sistemi che consentono di riconoscere e segnalare accessi anomali al fine di mettere in atto adeguate contromisure. Le amministrazioni possono stabilire la diffusione delle informazioni personali nell’ambito del Piano triennale per la trasparenza.

In merito all’accesso agli atti e alla pubblicità degli atti tramite albo pretorio on line, si invitano le amministrazioni a valutare se i dati personali contenuti in atti e documenti messi a disposizione sul sito istituzionale debbano “essere resi conoscibili all’intera collettività dei consociati (quindi liberamente reperibili da chiunque sul sito istituzionale)”, oppure “ai soli utenti che hanno richiesto un servizio, ovvero agli interessati o ai contro interessati in un procedimento amministrativo (utilizzando in tale caso regole per garantire un’accessibilità selezionata)”.

Nel provvedimento sono poi specificate più precisamente le misure da adottare per la pubblicazione on line di alcune informazioni particolari (individuate anche nelle precedenti linee guida per le pubblicazioni cartacee), quali quelle relative ai beneficiari di contributi economici, concorsi e selezioni pubbliche, graduatorie ed elenchi professionali, collocamento dei disabili.

Un aspetto interessante di questo nuovo provvedimento, riguarda la distinzione tra le finalità, perseguite con la pubblicazione on line di atti e documenti amministrativi, contenenti dati personali:

- trasparenza: garantire una conoscenza generalizzata delle informazioni concernenti aspetti dell’organizzazione dell’amministrazione al fine di assicurare un ampio controllo sulle capacità delle pubbliche amministrazioni di raggiungere gli obiettivi, nonché sulle modalità adottate per la valutazione del lavoro svolto dai dipendenti pubblici;

- pubblicità: far conoscere l’azione amministrativa in relazione al rispetto dei principi di legittimità e correttezza, e garantire che gli atti amministrativi producano effetti legali al fine di favorire eventuali comportamenti conseguenti da parte degli interessati. Può configurarsi anche come uno strumento della trasparenza poiché funzionale a rendere conoscibile l’attività delle pubbliche amministrazioni;

- consultabilità: consentire la messa a disposizione degli stessi solo a soggetti determinati -anche per categorie- al fine di garantire in maniera agevole la partecipazione alle attività e ai procedimenti amministrativi.

Il Garante, inoltre, si è espresso in più occasioni in merito ai pericoli insiti nell’uso delle nuove tecnologie, richiamando l’attenzione dei diversi soggetti ad un uso consapevole e sicuro dei nuovi mezzi di comunicazione (ad esempio con la breve guida Social Network: attenzione agli effetti collaterali o con le linee guida su posta elettronica e internet del marzo 2007). Anche le PA, sono ovviamente chiamate, oltre a quanto già individuato, a prestare la massima attenzione alla tutela dei dati personali dei cittadini, anche nell’utilizzo a fini istituzionali, dei nuovi strumenti, come social network, forum, sms, PEC, ecc. Infine, le amministrazioni pubbliche competenti in materia, sono tenute a rispettare le specifiche disposizioni riguardanti l’ambito sanitario e l’ambito giudiziario, e a osservare le diverse linee guida e indicazioni diffuse dal Garante per la protezione dei dati personali, alcune anche recenti che riguardano la diffusione dei dati sensibili attraverso internet (come per esempio le Linee guida in tema di referti on line o Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario) o altri strumenti utilizzati dalle PA (come le Linee guida per lo svolgimento di indagini di customer satisfaction in ambito sanitario).