Germania, Amburgo: Come funziona un sito web conforme alla privacy? (Cookies)

datenschutz-hamburg.de

Il Commissario di Amburgo per la protezione dei dati e la libertà

di informazione Ludwig- Erhard-Str. 22, 20459 Amburgo
Telefono: 040/42854- 4040 | Fax: 040/42854- 4000
E-Mail: mailbox@datenschutz.hamburg.de | Internet: www.datenschutz-hamburg.de

Il Commissario di Amburgo per
la protezione dei dati e la libertà
di informazione INFORMAZIONI





Come funziona un sito web conforme
alla privacy?

Il Commissario di Amburgo per la protezione dei dati e la libertà di informazione fornisce informazioni
compatte sulla protezione dei dati sui siti web.

Gestire un sito Web è più conveniente oggi che mai. Le offerte
standardizzate consentono, ad esempio, di mettere online anche negozi online estesi con poco sforzo. La protezione dei dati non
viene sempre presa in considerazione. Spesso non è chiaro agli operatori a cosa prestare
attenzione e come possono essere attuati i requisiti di protezione dei dati.

In qualità di autorità di controllo della protezione dei dati, siamo consapevoli che la questione non è facile da capire.

Con questo opuscolo, vorremmo quindi chiarire gli aspetti essenziali del funzionamento dei siti web e facilitare il percorso verso una maggiore protezione dei dati. La consulenza individuale non può sostituirla. Se vuoi approfondire l'argomento, troverai riferimenti a ulteriori aiuti alla fine.

In questo opuscolo, affrontiamo le seguenti questioni chiave:

1. Quando è richiesto il consenso?
2. Come dovrebbe essere progettato un banner di consenso?
3. Come possono essere integrati i contenuti di terze parti?
4. Di cosa devono essere informati gli utenti?
5. A cosa devo prestare attenzione durante il funzionamento tecnico?
6. Cosa minaccia se gli obblighi vengono disattesi?

21 . 20 aprile 23
2

1. Quando è richiesto il consenso?

I visitatori dei siti web non devono accettare accessi indesiderati e non necessari ai propri dispositivi
(computer, tablet o telefoni cellulari) senza che venga richiesto. Questa è l'attuale
situazione giuridica. Tali accessi si verificano quando i cookie e altre tecnologie comparabili
(ad es. cronologia web o fingerprinting del browser) vengono utilizzati sui siti web.

Nella maggior parte dei casi, i fornitori devono quindi ottenere il Consenso degli utenti sul loro sito web prima di utilizzare cookie e simili . Di norma, la memorizzazione o il recupero di informazioni nel browser è consentito solo con tale consenso. Ciò è previsto dalla Sezione 25 (2) n. 2 TTDSG (Telecommunications - Telemedia Data Protection Act). Obbliga quindi i fornitori di siti web a progettare le loro offerte di conseguenza.

In via eccezionale, il Consenso non deve essere fornito solo se un cookie è "assolutamente necessario" per la fornitura del servizio (§ 25 par. 2 n. 2 TDDSG ). Questo è da intendersi solo in senso tecnico e si applica, ad esempio, ai cookie che sono necessari non appena gli utenti accedono al proprio account utente. L'uso del tracciamento degli utenti per scopi pubblicitari o per migliorare l'offerta può avere un senso economico e auspicabile, ma di solito non è necessario per poter visualizzare il contenuto web ai visitatori.

L'obbligo ai sensi del TDDSG di ottenere il Consenso degli utenti si applica indipendentemente dal fatto che
i Dati personali vengano elaborati nel processo. Spesso, però, l'uso di cookie
, ecc. associato a un riferimento personale, ad esempio perché vengono assegnati identificatori individuali o
vengono memorizzate preferenze personali. In questi casi, potrebbe essere necessario
ottenere un ulteriore Consenso ai sensi del GDPR.

Buono a sapersi: Entrambi i consensi (TTDSG e GDPR) possono essere ottenuti contemporaneamente
se le informazioni corrispondenti sono contenute nel banner di Consenso (maggiori informazioni su questo nella sezione 2 ).

Importante: fino a quando il Consenso non è stato ancora dato, non può essere effettuato alcun accesso ai dispositivi che richiedono
il Consenso o nessun dato personale dei visitatori può essere
elaborato. Questo deve essere
preso in considerazione nella progettazione tecnica dell'offerta. Solo quando gli utenti hanno effettuato una scelta, i servizi
per l'uso dei quali è stato prestato il Consenso possono essere integrati.

3

2. Come dovrebbe essere progettato un banner di consenso?

Il Consenso sui siti web viene solitamente ottenuto tramite i cosiddetti banner. Si tratta di finestre di dialogo a monte del contenuto, che forniscono informazioni
sul Trattamento dei cookie, ecc., E danno agli utenti il
diritto di scegliere.

Se, in casi eccezionali, nessuna informazione che richiede il Consenso viene elaborata nell'ambito di un sito web, non è richiesto alcun banner di consenso.

Nella progettazione di banner per cookie, gli operatori sono in gran parte liberi in termini di design, colore, dimensioni o contrasti. È anche permesso e spesso utile distribuire le informazioni su più
sottopagine. Tuttavia, la libertà di progettazione termina quando i visitatori sono persuasi a comportarsi in un certo modo attraverso un design di banner confuso - di solito per ottenere il Consenso con "Accetta tutto", "Ok", ecc. – dovrebbe essere spostato.

Primo livello di un banner di Consenso Le aree di selezione sul primo livello banner dovrebbero essere progettate in modo uniforme. In termini concreti, ha senso prevedere una richiesta di Consenso generale (ad esempio "Accetta tutto"), una funzione di rifiuto altrettanto importante (ad esempio "Rifiuta tutto") e, se necessario, la possibilità di ulteriori informazioni dettagliate:




affinché il Consenso sia dato in modo informato,

1. Il banner di Consenso deve indicare le finalità specifiche del trattamento
previsto, come la creazionen di profili di utilizzo o trattamento
dei dati al di fuori dello Spazio economico europeo (trasferimento in paesi terzi)

2. I fornitori terzi coinvolti devono essere nominati ("i nostri partner" non è sufficiente)

3. deve esserci un link alle informazioni sulla protezione dei dati se le informazioni sulla protezione dei dati non
sarebbero altrimenti visibili a causa del banner utilizzato 4. Deve esserci un'indicazione che il Consenso può essere revocato in qualsiasi momento.

Accetta tutto Rifiuta tutto

Informazioni dettagliate
4



Quali informazioni possono essere fornite ad altri livelli del banner?
Informazioni più dettagliate sul Trattamento dei Dati personali dovrebbero essere utilmente fornite ad
altri livelli del banner di consenso. Si tratta di informazioni quali:
il nome e il periodo di validità dei cookie utilizzati, la tecnologia utilizzata (archiviazione dei cookie, Archiviazione web), le finalità del Trattamento dei dati, i nomi delle società che inseriscono informazioni come i cookie sul dispositivo finale e informazioni sulla base giuridica che consente di impostare queste informazioni.

Se le informazioni sui cookie e sulle tecnologie analoghe utilizzate non sono già
state comunicate tramite il banner, è necessario fornire un link all'informativa
sulla protezione dei dati. Nel caso di informazioni sulla protezione dei dati più lunghe, il link dovrebbe portare direttamente alla sezione in cui
tali informazioni possono essere trovate.

3. Come possono essere integrati i contenuti di terze parti?

I contenuti di terze parti sono forniti da altri fornitori e integrati nel tuo sito web
. Questi includono, ad esempio: ● Servizi
di mappe ● Video
● Font (font caricati da server esterni)
● Gestori di tag
● Integrazioni con i
social media Quanto sopra si applica anche a questi contenuti:
G I consensi devono essere
ottenuti anche in conformità con il TTDSG e, se applicabile, anche in
conformità con il GDPR.

Per quanto possibile, l'integrazione concreta dovrebbe tecnicamente avvenire solo se gli
utenti richiedono esplicitamente tale servizio (ad esempio vogliono guardare un video).

4. Di cosa devono essere informati gli utenti?

Gli operatori del sito web devono fornire ai propri visitatori informazioni complete quando i
dati personali vengono elaborati sul sito web. Le informazioni da
fornire nelle informazioni sulla protezione dei dati derivano dagli articoli 12 e 13 del GDPR
. Queste informazioni devono essere
facilmente accessibili da ogni pagina di un sito web. Ciò significa anche che
le avvertenze sulla protezione dei dati non devono essere coperte dal banner dei cookie.


5

5. Di cosa tenere conto durante il funzionamento tecnico?

Oltre ai contenuti, un sito webAnche le circostanze tecniche dell'operazione erano rilevanti.
Un server Web deve essere configurato e amministrato in modo sicuro e i siti Web devono essere protetti da
attacchi noti.

Dal punto di vista della protezione dei dati, i seguenti punti sono particolarmente rilevanti:

Crittografia

del trasporto Se i Dati personali vengono elaborati su un sito Web, è necessario fornire la crittografia
del trasporto tramite TLS (Transport Layer Security). La crittografia deve essere protetta con un certificato
valido rilasciato da un'autorità di certificazione attendibile riconosciuta. I certificati scaduti o
autogenerati non servono a questo scopo.

Va notato che i moduli di contatto, le funzioni di ricerca o altre opzioni di
interazione a bassa soglia innescano già una corrispondente necessità di crittografia.
L'obbligo di utilizzare la crittografia r spetta al provider. Se si tenta di utilizzare l'offerta non crittografata tramite "http", è quindi necessario essere reindirizzati immediatamente all'offerta protetta da TLS.

Registrazione
server Tutti i server Web comuni creano registri degli accessi alle singole pagine per impostazione predefinita,
di solito nel cosiddetto formato di registro comune o combinato. Tali file di registro costituiscono
dati personali se contengono l'indirizzo IP o se le
informazioni di richiesta o di riferimento contengono Dati personali (ad es. un nome utente o un
termine di ricerca personale).
I registri del server possono quindi essere conservati solo nella misura necessaria e possono essere utilizzati solo per scopi
adeguati, come garantire un funzionamento sicuro. Non appena non sono più
necessarie per questi scopi, le voci di registro devono essere cancellate o completamente rese anonime. Un
periodo di cancellazione fisso non è specificato dalla legge. Ai fini del funzionamento sicuro del sito web
, sette giorni sono una linea guida. Non è consentito un collegamento regolare delle voci di registro con altri
dati degli utenti. Gli utenti devono inoltre essere informati sulla politica di registro come parte delle
informazioni sulla protezione dei dati (vedi punto 4 ).

6. Cosa minaccia se gli obblighi vengono disattesi?

L'articolo 28 del TDDSG prevede che chiunque non rispetti gli obblighi legali di cui alla sezione 1 può
essere punito con una multa fino a trecentomila euro. Il GDPR può prevedere multe
più elevate a seconda delle vendite. Inoltre, l'autorità di controllo competente può ordinare l'istituzione 6

di un'operazione

legalmente conforme in modo vincolante. Per gli operatori
di siti web con sede ad Amburgo, l'autorità di vigilanza competente è il Commissario di Amburgo per la protezione dei dati e la
libertà di informazione.
Ulteriori informazioni  Maggiori informazioni
sulla protezione dei dati per i siti web sono disponibili nelle linee guida delle autorità di controllo per
i fornitori di media telematici.
Alle domande e risposte sull'argomento hanno risposto il Commissario di Stato per la protezione dei
dati e il Libertà di informazione Baden-Württemberg.
 Informazioni dettagliate fornite dal BSI (Ufficio federale tedesco per la sicurezza delle informazioni) sono disponibili nella
sezione 5.


22, 20459 Amburgo
Tel.: 040/42854- 4040
Fax: 040/42854- 4000
E-Mail: mailbox@datenschutz.hamburg.de
Internet: www.datenschutz-hamburg.de