Software, servizi e widget che non raccolgono dati personali vanno comunque inclusi nella privacy policy? E per quanto riguarda la cookie policy? A seguire troverai le risposte a queste domande e scoprirai qual è l’approccio adottato da GDPR e Direttiva ePrivacy nei confronti dei servizi che non trattano dati personali.
Alcuni servizi piuttosto popolari (come strumenti di analisi statistica o heat mapping) sostengono che i propri software non raccolgono dati personali. Questo significa che quando gli utenti navigano un sito o usano un’app che li integra, quest’ultimi non raccolgono e trattano i loro dati personali.
Questo in genere si verifica in due casi:
L’hashing è una procedura mediante la quale determinati dati (come ad esempio un indirizzo email o un indirizzo IP) vengono elaborati automaticamente tramite un algoritmo in una sequenza unica di valori (numeri e lettere). Tale funzione di hash non può essere invertita: una volta generato l’output, non esiste più il rischio di inversione associato alla crittografia. Per saperne di più ti rimandiamo al Parere 05/2014 sulle tecniche di anonimizzazione del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati.
Scopriamo come GDPR e Direttiva ePrivacy trattano questi casi.
No, non è necessario menzionare questi servizi nella tua privacy policy. Gli articoli 13 e 14 del GDPR (che stabiliscono quali informazioni i titolari del trattamento devono fornire agli interessati) si applicano solo quando vengono raccolti dati personali.
Pertanto i servizi che non raccolgono dati personali non devono essere menzionati, anche perché – considerando il principio di trasparenza (articoli 5 e 12 del GDPR) – facendolo si potrebbe indurre gli utenti a pensare che tali servizi raccolgano e trattino dati personali.
Ecco perché abbiamo deciso di non aggiungere questi servizi al nostro generatore. Volendo puoi inserirli come servizio personalizzato, ma non troverai delle clausole pre-configurate dedicate.
Al momento abbiamo individuato questi servizi:
Quanto detto sopra non vale anche per la cookie policy. In questo caso, la legislazione europea chiede ai fornitori di siti e app di rivelare cookie o tecnologie di tracciamento simili, indipendentemente dal fatto che raccolgano o trattino dati personali. Questo approccio è stato recentemente confermato dalla Corte di giustizia dell’Unione europea nella sentenza Planet49.
Non sono quindi solo i cookie a dover essere menzionati nella cookie policy, ma vanno indicate anche tecnologie simili* che consentono l’accesso o la memorizzazione di informazioni sul dispositivo dell’utente, inclusi – ma non solo – pixel di tracciamento, font installati, ecc.
Pertanto, se usi iubenda per generare la tua cookie policy, avrai la possibilità di includere tali servizi indipendentemente dal fatto che essi trattino o meno dati personali.
* Non sai cosa si intende per “tecnologie simili” ai cookie? Leggi questo articolo (in inglese) dell’ICO, l’Autorità per la Protezione dei Dati Personali del Regno Unito.
