Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Glossario privacy, cookie e condizioni di vendita dell'ecommerce

17/03/2022

Acronimo GDPR: sai cosa significa? Scoprilo nel  nostro glossario


Vuoi sapere cosa significa l'acronimo GDPR? Hai letto su internet di questo importante Regolamento Privacy e vuoi scroprire il suo significato?

Bene, sei atterrato nella pagina giusta. Qui infatti puoi scoprire cosa significa l'acronimo GDPR e approfondire il significato di molti termini utili per generare privacy policy , cookie policy  e condizioni di vendita per il tuo sito web.

Per qualsiasi ulteriore informazione puoi sempre contattarci.

Vuoi generare la privacy policy del tuo sito web? Scopri il nostro innovativo generatore di documenti legali.

Con il pacchetto Fast Legal generi in autonomia informativa privacy, cookie policy, termini d'uso del sito. Come? E' sufficiente rispondere a un questionario riferito al tuo sito web.

Con il pacchetto Easy Merchant pensano a tutto i nostri legali.

Sono i nostri legali (tutti esperti in ecommerce e GDPR) a visionare il tuo sito web per generare privacy policy, cookie policy e formule del consenso. Otterai anche un report sulle eventuali criticità legali da correggere.

Tutti i pacchetti comprendono le funzionalità necessarie per essere online a norma (non ci piacciono gli upgrade inutili!).

I documenti sono tutti in italiano e in inglese. Ottieni una sezione dove poter monitoriare il consenso ai cookie di profilazione e il banner cookie rivisto alla luce delle indicaizoni del Garante Privacy.

NOTA: leggi il nostro approfondimento sui tool di scansione automatica dei cookie (cookie scanner).
 




Accountability: principio di “responsabilizzazione” dei Titolari e dei Responsabili del Trattamento che, nella realizzazione di un sito web, devono mettere in atto tutte le misure tecniche e organizzative adeguate, nonché in determinati casi anche le corrette politiche in materia di protezione, al fine di garantire e poter dimostrare la conformità delle modalità con cui si trattano i dati personali in relazione a quanto previsto dal GDPR .

Ambito di applicazione territoriale: l’ambito di applicazione territoriale del GDPR comprende lo Spazio Economico Europeo (SEE – tutti e 28 gli stati membri dell’UE), l’Islanda, il Lichtenstein e la Norvegia e non include la Svizzera.

Analisi dell’impatto sulla privacy dei dati (DPIA): analisi documentata per la valutazione dell’utilità e i rischi legati al trattamento di dati. L’obiettivo è trovare le misure più consone per il giusto trattamento dei dati raccolti.

Archivio: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.

Autorità di controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51 del  Regolamento UE  2016/679 del parlamento europeo e del consiglio del del 27 aprile 2016.

Autorità di controllo interessata: un’autorità di controllo interessata dal trattamento di dati personali in quanto:

a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;

b) gli interessati che risiedono nello Stato membro dell’autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure

c) un reclamo è stato proposto a tale autorità di controllo.

Azione positiva: il consenso non può essere dedotto dal silenzio, dalle caselle pre-selezionate o dall’inattività. Deve inoltre essere separato dai termini e dalle condizioni e avere un modo semplice per ritirare il consenso. Le autorità pubbliche e i datori di lavoro dovranno prestare particolare attenzione per garantire che il consenso sia dato liberamente.

Clausole contrattuali tipo: le clausole modello, ossia contratti standardizzati approvati dalla Commissione Europea i quali corrispondono ad un metodo per i responsabili al trattamento e ai processori di inviare i dati personali agli stati non appartenenti alla UE.

Compliance: conformità alle regole e disposizioni del GDPR e alle normative cogenti.

Cookie: é una stringa di testo di piccole dimensioni inviate da un web server a un web client (solitamente un browser) che viene restituita, senza modifiche, ogni qualvolta il client accede alla medesima sezione di un sito web.
Ad esempio, un sito potrebbe, per il tramite di un cookie, scrivere delle preferenze di visualizzazione o semplicemente il nome dell’utente, in modo tale da riproporlo alla visita successiva. Originariamente introdotti, dunque, per ottimizzare l’esperienza di navigazione dell’utente, memorizzare alcune informazioni o, nel caso di un e-commerce, per tenere traccia degli oggetti da acquistare (il cosiddetto “carrello della spesa”), oggi i cookie sono oggetto di massima attenzione in tema privacy, in quanto rappresentano una delle modalità per eccellenza per profilare gli utenti. Esistono diversi tipi di cookie, ad es. in base alla loro durata i cookie possono essere distinti in persistenti o permanenti, se rimangono nel computer dell’utente tra una sessione e l’altra, e in cookie di sessione o temporanei, se invece vengono eliminati alla fine della sessione del browser. 

Consenso dell’interessato: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

Contitolare del Trattamento: si manifesta nel caso in cui due o più Titolari del trattamento ne determinino in modo congiunto finalità e mezzi. In tale circostanza le rispettive responsabilità in merito all’osservanza degli obblighi, nonché alla congruità delle modalità applicate, vengono determinate e dichiarate per mezzo di un accordo interno in funzione dei diritti esercitabili dall’interessato e previsti dal regolamento GDPR.

Consenso esplicito: l’utente che compila un modulo di un sito internet deve acconsentire in modo esplicito e volontario al trattamento dei propri dati, ossia marcando il checkbox di consenso di sua spontanea volontà.

Controllore dei dati: qualsiasi organizzazione, persona fisica o organismo che determina le finalità e i mezzi del trattamento dei dati personali, controlla i dati e ne è responsabile, singolarmente o insieme ad altri. Esempi di quando il controllore di dati è un individuo comprendono i medici generici, i farmacisti e i politici, quando questi individui conservano informazioni personali sui loro pazienti, clienti, membri del collegio elettorale ecc. Esempi di organizzazioni possono essere i controllori di dati, a scopo di lucro o non, privati ​​o governativi, grandi o piccoli, quando queste organizzazioni conservano informazioni personali sui propri dipendenti, clienti, ecc.

Dati biometrici: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici.

Data Breach: violazione di sicurezza nella quale i dati sensibili, protetti o riservati vengono consultati, copiati, trasmessi, rubati, persi, distrutti o utilizzati da un soggetto non autorizzato. Solitamente avviene, in maniera volontaria o involontaria, a seguito di attacchi informatici, accessi abusivi, incidenti o eventi avversi, come incendi o altre calamità.

Dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

Dati genetici: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione.

Dati relativi alla salute: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

Dati Personali Giudiziari: dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza.

Dati Personali Particolari (Ex Sensibili): dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

Destinatario: la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell’ambito di una specifica indagine conformemente al diritto dell’Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.

DPIA – Data Privacy Impact Assessment: procedura di analisi per la valutazione dei rischi connessi al trattamento di dati, con lo scopo di identificare le misure idonee per affrontarli. Si tratta di un procedimento obbligatorio per tutti quei trattamenti che presentano rischi elevati per i diritti e le libertà delle persone fisiche.

Diritto alla cancellazione: é il diritto di ogni cittadino UE “di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali”. Le persone possono richiedere la cancellazione di tutti i loro dati personali archiviati sui server del titolare del trattamento. Mi collego alle considerazioni espresse sull’argomento in quest’articolo, ribadendo ulteriormente come l’estrema complessità della norma (art 17 GDPR) possa condurre ad una difficile interpretazione e conseguente applicazione della stessa e, non ultimo, al rischio di essere tratti in inganno sul fatto che la norma si riferisca essenzialmente al diritto alla semplice cancellazione di “qualsiasi link” dai motori di ricerca.

Double opt-in: si intende la modalità di consenso che avviene in un doppio step. In una prima fase l’utente compila un form, fornendo alcune informazioni per avere accesso a determinati contenuti o servizi di un sito web. Quest’ultimo provvederà ad inviare allo stesso una mail di conferma all’indirizzo mail indicato. Nel secondo step dovrà, poi, confermare il consenso all’utilizzo e al trattamento dei dati che ha condiviso con il proprietario del sito.

Doppio consenso: il doppio consenso che deve dare il contatto in due step divisi: prima nel form di richiesta sulla pagina del blog o del sito per accedere ad una determinata offerta, poi nella successiva mail di conferma che gli viene inviata, in cui deve dare nuovamente il suo consenso all’utilizzo e al trattamento dei dati che ha condiviso con il gestore del sito. Auspicabile che nell’email fosse contenuto tutto il testo della politica della privacy adottata dal soggetto che gestisce il sito.

Email Opt-in: con il termine opt-in, invece, si intende la sottoscrizione volontaria a una newsletter con lo scopo di ricevere via mail comunicazioni informative e commerciali da una precisa azienda. Attualmente questa soluzione risulta la più utilizzata nella gestione delle attività di email marketing per via delle maggiori garanzie offerte in materia di privacy e tutela dei dati personali.

Garante Privacy: autorità amministrativa indipendente istituita dalla legge n. 675 del 31 dicembre 1996 (cosiddetta legge sulla privacy), per assicurare la tutela dei diritti e delle libertà fondamentali e il rispetto della dignità nel trattamento dei dati personali.

Garante europeo della protezione dei dati (GEPD): controlla che le istituzioni e gli organi dell’UE rispettino il diritto dei cittadini al trattamento riservato dei dati personali

GDPR: acronimo di ‘General Data Protection Regulation’. Trattasi del regolamento generale sulla protezione dei dati, ufficialmente regolamento n. 2016/679 e meglio noto con la sigla GDPR, è un regolamento dell’Unione europea in materia di trattamento dei dati personali.

Indirizzo IP (Internet Protocol Address): è un’etichetta numerica tramite la quale è possibile identificare in modo univoco un dispositivo, detto host collegato (personal computer, palmare, smartphone, router, elettrodomestico), a una rete informatica che utilizza l’Internet Protocol come protocollo di rete. In parole meno tecniche, può essere considerato come un numero di telefono senza il quale non è possibile entrare in contatto con gli interlocutori.

Informativa: é l’insieme delle informazioni che il titolare del trattamento deve fornire, verbalmente o per iscritto, ad ogni interessato nel momento in cui raccolga dati presso lo stesso oppure presso terzi.Nell’informativa devono essere precisati in un linguaggio sintetico, colloquiale, chiaro, scopi e modalità del trattamento delle informazioni raccolte, se tali dati sono richiesti obbligatoriamente o facoltativamente, le eventuali conseguenze nel caso in cui dette informazioni non vengano fornite, nonché l’elenco degli eventuali soggetti a cui possono essere trasmessi o diffusi. Inoltre, menzione deve essere data in merito ai diritti riconosciuti all’interessato, ai dati del titolare, ai responsabili del trattamento e le modalità con cui raggiungerli.

Interessato: è la la persona fisica, identificata o identificabile, cui si riferiscono i dati personali trattati.

Legittimo interesse: consenso di utilizzare i dati dell’utente per condividere informazioni di vitale importanza per la continuazione del rapporto o della somministrazione del servizio.

Limite temporale: la conservazione dei dati ha come limite il fine dichiarato per il loro utilizzo. In altre parole, nel momento in cui esaurisco lo scopo per cui ho raccolto specificamente dei dati, quest’ultimi devono essere eliminati dal mio database

Limitazione di trattamento: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro.

Norme vincolanti d’impresa: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell’ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un’attività economica comune.

Obiezione pertinente e motivata: un’obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l’azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all’interno dell’Unione.

Persona interessata: soggetto che vive in uno stato appartenente all’Unione Europea e a cui si riferiscono i dati personali raccolti.

Processore: Una organizzazione che aiuta il responsabile del trattamento a trasformare i dati in base alle istruzioni che le vengono date, ma non decide autonomamente come disporre di tali dati, non controlla come i dati vengono raccolti né, tanto meno, il loro utilizzo; li processa semplicemente secondo le tue istruzioni e indicazioni ricevute.

Profilazione: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

Privacy by Design: é il sistema di tutela dei dati personali, con al centro l’utente da cui scaturisce l’obbligo a una tutela effettiva, non solo dal punto di vista formale, ma anche e soprattutto sostanziale.

Privacy by default: si stabilisce il principio per mezzo del quale l’impostazione predefinita delle imprese impone a trattare i dati personali solo nella misura necessaria e sufficiente per le finalità previste, oltre che per il tempo strettamente necessario. L’introduzione nel GDPR vincola di fatto le imprese a predisporre una valutazione di impatto della privacy ogni qualvolta sia avvii un progetto, per il quale è previsto un trattamento di dati.

Pseudonimizzazione: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

Privacy Policy: documento facente parte di un sito internet che informa in modo dettagliato come verranno gestiti e trattati i dati personali dei visitatori da parte del responsabile del sto. La presenza di una privacy policy è necessaria quando un soggetto raccoglie dati personali, quando i dati raccolti non verranno utilizzati solamente per fini personali e se sono coinvolti soggetti terzi nel processo di trattamento dei dati.

Responsabile della Protezione dei Dati: La nomina di un Responsabile della Protezione dei Dati è obbligatoria se:

(1) il trattamento è effettuato da un’autorità pubblica; o

2) le “attività principali” di un controllore dei dati / processore di dati richiedono “il controllo regolare e sistematico degli interessati su larga scala” o consistono nel trattamento di categorie particolari di dati o dati sulle condanne penali “su larga scala”.

Responsabilizzazione: è la capacità di dimostrare la conformità al GDPR. Il Regolamento stabilisce esplicitamente che questa sia a carico dell’organizzazione. Per dimostrare la conformità è necessario implementare adeguate misure tecniche e organizzative. Gli strumenti di miglior pratica come le valutazioni dell’impatto sulla vita privata e la privacy by design sono ora legalmente richiesti in determinate circostanze.

Rappresentante del Trattamento: é il soggetto, persona fisica o giuridica, da designare obbligatoriamente dalle organizzazioni con sede fuori dall’UE, che rappresenti la stessa organizzazione in relazione agli obblighi imposti dal regolamento UE 2016/679 – GDPR.

Registro dei Trattamenti: documento contenente tutte le informazioni relative alle operazioni di trattamento effettuate all’interno di un’organizzazione (azienda, ente o associazione). In esso vengono indicate le finalità del trattamento, ma anche informazioni quali le modalità di conservazione, le categorie degli Interessati e dei dati personali, gli eventuali trasferimenti verso paesi terzi, eventuali misure di sicurezza applicate, etc.Esiste in duplice versione, una per il Titolare e una per il Responsabile del Trattamento.

Responsabile del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

Responsabile per la Protezione dei Dati Personali( DPO (Data Protection Officer): soggetto introdotto dal Regolamento Generale sulla Protezione dei Dati 2016/679 (GDPR), il Data Protection Officer (DPO) ha come principale responsabilità quella di osservare, valutare e organizzare la gestione del trattamento di dati personali nonché la loro protezione all’interno di un’azienda (sia essa pubblica, sia privata), per fare in modo che gli stessi vengano trattati nel rispetto delle normative privacy europee e nazionali.
E’ obbligatorio nominare il DPO se il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico (ad eccezione delle autorità giurisdizionali nello svolgimento delle loro funzioni), laddove le attività del trattamento riguardano ambiti o finalità che, per loro natura, necessitano del monitoraggio regolare e sistematico degli interessati su larga scala o nel caso in cui le stesse riguardino, comunque su larga scala, categorie particolari di dati personali (dati particolari – sensibili) nonché di dati relativi a condanne penali e a reati.

Servizio della società dell’informazione: il servizio definito all’articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio.

Soggetto interessato: È tale qualsiasi persona fisica che fornisca informazioni personali per poter utilizzare dei servizi di varia natura, dallo shopping on line al trattamento sanitario, dai social media alle amministrazioni pubbliche.

Stati terzi: stati non appartenenti all’unione europea.

Terzo: è qualsiasi persona fisica o giuridica, autorità pubblica, agenzia o altro organismo diverso dall’oggetto interessato, dal controllore, dal processore e dalle persone che, sotto l’autorità diretta del controllore o del processore, è autorizzata a elaborare i dati.

Titolare del trattamento: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

Trattamento: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

Trattamento transfrontaliero:

a) trattamento di dati personali che ha luogo nell’ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell’Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

b) trattamento di dati personali che ha luogo nell’ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell’Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro.

Violazione dei dati personali: per Violazione dei dati personali si intende quella violazione della sicurezza che porta, in modo accidentale o illecito, alla distruzione, la perdita, la modifica, la divulgazione non autorizzata o all’accesso ai dati personali trasmessi, conservati o comunque trattati.

Valutazione sulla legittimità degli interessi (LIA): analisi effettuata dal responsabile del trattamento (Data Controller) per decidere se una specifica operazione di trattamento dati si basa sul presupposto legale per trattare quei dati personali specifici dato da GDPR.

Violazione dei dati personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.