Iubenda logo

Documentazione

Indice dei contenuti

Come trattare i servizi che non raccolgono dati personali secondo il GDPR

Software, servizi e widget che non raccolgono dati personali vanno comunque inclusi nella privacy policy? E per quanto riguarda la cookie policy? A seguire troverai le risposte a queste domande e scoprirai qual è l’approccio adottato da GDPR e Direttiva ePrivacy nei confronti dei servizi che non trattano dati personali.

Alcuni servizi piuttosto popolari (come strumenti di analisi statistica o heat mapping) sostengono che i propri software non raccolgono dati personali. Questo significa che quando gli utenti navigano un sito o usano un’app che li integra, quest’ultimi non raccolgono e trattano i loro dati personali.

Questo in genere si verifica in due casi:

  • quando questi servizi effettivamente non raccolgono alcun dato personale, oppure
  • quando i dati personali vengono anonimizzati prima di essere raccolti, così da non consentire l’identificazione dell’utente. L’anonimizzazione può essere effettuata in vari modi, uno di questi è l’hashing.

L’hashing è una procedura mediante la quale determinati dati (come ad esempio un indirizzo email o un indirizzo IP) vengono elaborati automaticamente tramite un algoritmo in una sequenza unica di valori (numeri e lettere). Tale funzione di hash non può essere invertita: una volta generato l’output, non esiste più il rischio di inversione associato alla crittografia. Per saperne di più ti rimandiamo al Parere 05/2014 sulle tecniche di anonimizzazione del Gruppo di Lavoro Articolo 29 per la Protezione dei Dati.

Scopriamo come GDPR e Direttiva ePrivacy trattano questi casi.

Devo menzionare i servizi che non trattano dati personali nella mia privacy policy?

No, non è necessario menzionare questi servizi nella tua privacy policy. Gli articoli 13 e 14 del GDPR (che stabiliscono quali informazioni i titolari del trattamento devono fornire agli interessati) si applicano solo quando vengono raccolti dati personali.

Pertanto i servizi che non raccolgono dati personali non devono essere menzionati, anche perché – considerando il principio di trasparenza (articoli 5 e 12 del GDPR) – facendolo si potrebbe indurre gli utenti a pensare che tali servizi raccolgano e trattino dati personali.

Ecco perché abbiamo deciso di non aggiungere questi servizi al nostro generatore. Volendo puoi inserirli come servizio personalizzato, ma non troverai delle clausole pre-configurate dedicate.

Quali servizi rientrano in questa categoria?

Al momento abbiamo individuato questi servizi:

Devo menzionare i servizi che non trattano dati personali nella mia cookie policy?

Quanto detto sopra non vale anche per la cookie policy. In questo caso, la legislazione europea chiede ai fornitori di siti e app di rivelare cookie o tecnologie di tracciamento simili, indipendentemente dal fatto che raccolgano o trattino dati personali. Questo approccio è stato recentemente confermato dalla Corte di giustizia dell’Unione europea nella sentenza Planet49.

Non sono quindi solo i cookie a dover essere menzionati nella cookie policy, ma vanno indicate anche tecnologie simili* che consentono l’accesso o la memorizzazione di informazioni sul dispositivo dell’utente, inclusi – ma non solo – pixel di tracciamento, font installati, ecc.

Pertanto, se usi iubenda per generare la tua cookie policy, avrai la possibilità di includere tali servizi indipendentemente dal fatto che essi trattino o meno dati personali.


* Non sai cosa si intende per “tecnologie simili” ai cookie? Leggi questo articolo (in inglese) dell’ICO, l’Autorità per la Protezione dei Dati Personali del Regno Unito.