La guida della Conferenza sulla protezione dei dati (DSK) sui servizi digitali (versione 1.2, novembre 2024) fornisce una panoramica completa dei requisiti legali per i fornitori di questi servizi, in particolare per quanto riguarda le disposizioni della legge sulla protezione dei dati dei servizi digitali di telecomunicazione (TDDDG) e del regolamento generale sulla protezione dei dati (GDPR). Forniamo una panoramica dei punti principali della guida.
Ambito di applicazione del TDDDG e demarcazione dal GDPR
Il TDDDG regola la protezione della privacy nell'uso delle apparecchiature terminali e contiene disposizioni speciali sulle misure tecniche e organizzative e sugli obblighi di informazione. Il GDPR, invece, riguarda il trattamento dei dati personali. La guida chiarisce i diversi obiettivi di protezione delle due normative e ne descrive l'interazione.
Un punto centrale della guida è la disposizione dell'articolo 25 del TDDDG, che regola l'archiviazione e l'accesso alle informazioni nelle apparecchiature terminali, indipendentemente dal fatto che vi sia un riferimento personale. Questa disposizione va oltre il GDPR, concentrandosi sulla protezione dell'integrità delle apparecchiature terminali.
Necessità di consenso e deroghe ai sensi dell'articolo 25 TDDDG
Il principio della necessità del consenso costituisce il fulcro dell'articolo 25 del TDDDG. In base a questo principio, le informazioni possono essere memorizzate o consultate sulle apparecchiature terminali solo con il consenso esplicito dell'utente finale. Tale consenso deve soddisfare i severi requisiti del GDPR: deve essere volontario, informato, inequivocabile e revocabile.
Tuttavia, esistono eccezioni quando l'accesso alle informazioni è assolutamente necessario per:
- per effettuare la trasmissione di un messaggio (art. 25 (2) n. 1 TDDDG),
- per fornire un servizio digitale espressamente richiesto (art. 25 (2) n. 2 TDDDG).
La guida sottolinea che queste eccezioni devono essere interpretate in modo restrittivo e fornisce esempi specifici, ad esempio per i cookie di sicurezza o le funzioni del carrello della spesa.
Requisiti per i banner di consenso
I banner di consenso sono uno strumento fondamentale per l'attuazione dei requisiti legali. La guida richiede un design trasparente che offra agli utenti una scelta reale. In particolare, si sottolinea quanto segue:
- Trasparenza: tutte le finalità del trattamento dei dati devono essere presentate in modo chiaro e comprensibile.
- Volontarietà: l'opzione di non dare il consenso deve essere presentata allo stesso modo.
- Facilità d'uso: il ritiro deve essere facile come il consenso.
Non sono consentiti design che utilizzano "motivi oscuri" per costringere gli utenti a dare il proprio consenso. I responsabili del trattamento devono assicurarsi che i loro banner soddisfino i requisiti del GDPR e del TDDDG.
Suggerimento di lettura: Uso non autorizzato di Google Analytics: i gestori di siti web devono correggersi dopo l'ispezione
Liceità del trattamento dei dati personali
Liceità del trattamento dei dati personali
Il trattamento dei dati personali in relazione ai servizi digitali deve basarsi su una delle basi giuridiche di cui all'art. 6 par. 1 GDPR, ad es:
- Consenso (lit. a),
- adempimento del contratto (lett. b) o
- interessi legittimi (lett. f).
Tuttavia, la guida mostra che l'art. 6 par. 1 lett. f) del GDPR spesso non è sufficiente nella pratica, soprattutto quando si utilizzano fornitori terzi che perseguono i propri scopi. I fornitori devono garantire l'esistenza di una base giuridica efficace per qualsiasi trattamento dei dati.
Raccomandazioni per le aziende
La guida del DSK offre ai fornitori di servizi digitali una chiara linea guida per un funzionamento legalmente conforme dei loro servizi. Sottolinea l'importanza di un elevato livello di protezione dei dati e invita alla cautela nell'integrazione di fornitori terzi e nella progettazione di processi di consenso. Le aziende dovrebbero quindi prendere in considerazione le seguenti raccomandazioni:
- Analisi e revisione: le aziende devono effettuare un'analisi completa dei propri servizi digitali e verificare se soddisfano i requisiti del TDDDG e del GDPR.
- Gestione del consenso: un design dei banner di consenso facile da usare, trasparente e conforme alla legge è essenziale.
- Formazione e sensibilizzazione: i dipendenti, soprattutto quelli dei settori IT e marketing, devono essere formati sui nuovi requisiti.
- Coinvolgere il responsabile della protezione dei dati: Il responsabile della protezione dei dati dell'azienda deve essere coinvolto in tutti i processi per garantire la conformità.
- Revisioni regolari: Le misure di protezione dei dati devono essere riviste regolarmente e adattate ai nuovi sviluppi legali e tecnologici.
L'attuazione dei requisiti richiede misure tecniche e organizzative che vanno oltre la semplice conformità ai requisiti legali minimi. Alla luce dei crescenti requisiti normativi nello spazio digitale, è essenziale una revisione e un adattamento continui delle misure di protezione dei dati.
Fonte: Guida delle autorità di vigilanza per i fornitori di servizi digitali (OH Digital Services) Versione 1.2 (novembre 2024)