Home FixingFixing Cookies Law: non vale per i siti sammarinesi

Cookies Law: non vale per i siti sammarinesi

da Redazione

Per il Garante Privacy fa fede il luogo del trattamento dati, ovvero il server. La legge italiana in vigore il 2 giugno, le sanzioni sono pesantissime.

 

di Daniele Bartolucci

 

Torna in auge il tema del trattamento dei dati personali: in Italia, dal prossimo 2 giugno ogni titolare di un sito web che utilizza cookies avrà l’obbligo di conformarsi al provvedimento del Garante Privacy n. 229 del 4 maggio 2014. Un intervento che potrebbero modificare l’uso, da parte dei cittadini e delle imprese del Titano, sia dei dati personali in loro possesso sia degli strumenti informatici (siti web in particolare) più comuni.

Anche perché, nonostante la legge ribattezzata ‘Cookies Law’ sia italiana, sono già tantissimi i siti sammarinesi ad aver pubblicato in homepage il caratteristico banner per il consenso all’utilizzo dei cookies e il link alla relativa informativa estesa su come il titolare del trattamento dati li stia utilizzando.

 

IN ITALIA SANZIONI FINO A CENTOVENTIMILA EURO

Il Garante Privacy italiano ha adottato nel 2014 un provvedimento che, distinguendo tra ‘cookies tecnici’ e ‘cookies di profilazione’, obbliga gli ‘editori’ ovvero i titolari dei siti web, a chiedere preventivamente il consenso a tutti gli utenti del sito l’utilizzo di questi cookies, attraverso una informativa su come vengono utilizzati, quali e se ci sono anche quelli di ‘terze parti’. In pratica, ciò che comunemente si trova scritto nei contratti (con le varie spunte al consenso), è stato traslato anche nel web, tanto è vero che quasi tutti i titolari di siti hanno scelto la modalità semplificata, con un banner nella homepage con il pulsante virtuale per l’ok al consenso e un link alla pagina dell’informativa estesa.

Quello che forse non tutti sanno è che il provvedimento del 2014 aveva previsto un anno di periodo transitorio per adeguarsi e dal prossimo 2 giugno tutti dovranno essere in regola, pena sanzioni veramente pesanti: l’omessa informativa o di informativa inidonea da seimila a trentaseimila euro (art. 161 del Codice), l’installazione di cookie sui terminali degli utenti in assenza del preventivo consenso degli stessi da diecimila a centoventimila euro (art. 162, comma 2-bis, del Codice), l’omessa o incompleta notificazione al Garante, infine, da ventimila a centoventimila euro.

 

SUL TITANO C’È UNA LEGGE SUI DATI INFORMATIZZATI

Secondo l’art. 5 del Codice in materia di protezione dei dati personali, per trattamento di dati personali si intendono anche quelli “detenuti all’estero, effettuato da chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato”.

Questo pone il dubbio che se San Marino sia il Paese estero in cui sono detenuti tali dati da un’azienda stabilita in Italia, rientri nelle disposizioni del Codice e del provvedimento 229 di cui sopra. Dubbio che diventa più forte nel comma 2: “Il presente codice si applica anche al trattamento di dati personali effettuato da chiunque è stabilito nel territorio di un Paese non appartenente all’Unione europea e impiega, per il trattamento, strumenti situati nel territorio dello Stato anche diversi da quelli elettronici[…] In caso di applicazione del presente codice, il titolare del trattamento designa un proprio rappresentante stabilito nel territorio dello Stato ai fini dell’applicazione della disciplina sul trattamento dei dati personali”. Questa interpretazione ovviamente decade di fronte alla sovranità di San Marino e, come ebbe modo di spiegare l’allora Garante Privacy italiano a San Marino Fixing nel 1998, soprattutto di fronte ad un legislazione sammarinese che tutela già in maniera efficace il trattamento dei dati personali. Perché poi, alla fine, la novità più evidente è la richiesta di consenso, che San Marino aveva già previsto nel 1995 con la Legge 70 “Riforma della Legge 1 Marzo 1983 n. 27 che regolamenta la raccolta informatizzata dei dati personali”.

Al tempo i cookies non erano considerati un problema, ammesso che fossero già conosciuti, ma l’art. 4 di fatto li ‘anticipava’: “Qualsiasi ente o persona che proceda alla raccolta, all’elaborazione o all’uso di dati nominativi è tenuto […] ad adottare ogni necessaria misura precauzionale allo scopo di preservare la sicurezza e la riservatezza delle informazioni”.

Per quanto riguarda invece “il trasferimento fuori territorio di dati riguardanti persone fisiche o giuridiche sammarinesi”, questo “è soggetto alla preventiva e motivata autorizzazione del Garante di cui all’articolo 15”, ovvero il Garante per la tutela della riservatezza dei dati personali, nella persona del Prof. Guido Guidi, che sta analizzando proprio in questi giorni la questione, anche alla luce dell’entrata in vigore della norma italiana.

 

FA FEDE IL SERVER/LUOGO DEL TRATTAMENTO DATI

La Repubblica di San Marino, pur avendo ratificato proprio a fine aprile la Convenzione di Strasburgo del 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, non fa parte dell’Unione Europea e non deve sottostare alla Raccomandazione n. 2/2001 che le autorità europee per la protezione dei dati personali, riunite nel Gruppo istituito dall’art. 29 della direttiva n. 95/46/CE, hanno adottato il 17 maggio 2001 per individuare alcuni requisiti minimi per la raccolta di dati personali on-line, e, in particolare, le modalità, i tempi e la natura delle informazioni che i titolari del trattamento devono fornire agli utenti quando questi si collegano a pagine web, indipendentemente dagli scopi del collegamento. E nemmeno al Provvedimento del Garante Privacy italiano del 2014 che entrerà in vigore il 2 giugno 2015, come ha confermato l’Urp del Garante alla richiesta di San Marino Fixing, in quanto “fa fede il luogo del trattamento dei dati in oggetto, quindi il server. Se questo è a San Marino il titolare sammarinese non deve sottostare alla norma”. Questo significa che tutte le aziende sammarinesi che hanno un sito internet con server sammarinese (o extra-Ue) non avranno ulteriori obblighi verso gli utenti, salvo quanto eventualmente già previsto nella citata Legge 70/1995. Nonostante quindi non siano obbligati, molti siti sono stati già aggiornati in tal senso (spesso in automatico da parte dei gestori stessi e dei fornitori di servizi di hosting), sia per uniformarsi alla Raccomandazione Ue, sia alla normativa italiana, ma l’eventuale notificazione al Garnate italiano, spetta al titolare. Se il server, ripetiamo, fosse a San Marino così come l’azienda, non occorrerà notificare al Garante italiano il titolare dei trattamenti dei dati.

Al contrario – e molte imprese sammarinesi potrebbero essere in questa situazione – se il luogo di trattamento dei dati/cookies è in Italia, oltre alla pubblicazione online del banner per il consenso e il link all’informativa estesa (l’aggiornamento di cui sopra, che molti hanno già fatto), dovranno nominare un titolare del trattamento dei dati e, se questo è residente a San Marino (come si legge nel modulo online fornito dal Garante Privacy italiano) dovrà essere nominato un rappresentante in Italia. Il titolare, o il rappresentante, dovranno quindi essere registrati presso il Garante italiano tramite la pagina web https://web.garanteprivacy.it/rgt/NotificaTelematica.php), pena le sanzioni previste per la mancata notifica, che sono le più pesanti.

Forse potrebbe interessarti anche:

Lascia un commento