Non capisco. C'è molto rumore su Internet per l'entrata in vigore di un codice che, in realtà, sul piano sostanziale, non apporta alcuna modifica alla normativa concretamente già vigente in materia di Privacy. Anzi, semmai semplifica le cose.

1) Il codice sulla privacy entrato in vigore il 1 gennaio 2004 si limita, in massima parte, a recepire e organizzare del materiale normativo già esistente. È dal 1996 che siamo tenuti a chiedere consensi e a subire dei vincoli nel trattamento dei dati personali di utenti, clienti e persino soggetti privati. Nulla è cambiato in tal senso, se non che ora il riferimento normativo non è più la L. 675/96, ma il D.lgs 196/03, con i diversi articoli da citare nelle informativa (Alvi li ha già diligentemente riportati).

2) La principale differenza del nuovo codice risiede proprio nel fatto che vengono limitati(e specificati) i casi di notificazione obbligatoria del trattamento al Garante, obbligo che prima era invece generalizzato. Ora la situazione è più vantaggiosa per i titolari del trattamento, in quanto non si è più obbligati alla notificazione se non si trattano dati personali cosiddetti "sensibili" o se non si svolge attività di profilazione di utenti. Fino ad ora chiunque acquisiva dati dagli utenti era tenuto alla notifica del trattamento (anche se a molti non si sono mai posti neanche il problema), salvo essere una categoria esonerata (es. commercialisti, avvocati e tutti coloro che sono iscritti ad ordini professionali). Ora invece sono tenuti alla notificazione solo i soggetti che pongono in essere specifiche tipologie di trattamento (pure già indicate da Alvi in un precedente messaggio).

3) Sulla "profilazione dell'utente", quindi, non è cambiato nulla. Chi pratica questa modalità di trattamento è obbligato alla notificazione ora come allora. E il principio è ovvio: sapendo che un utente fa determinate scelte (visitando la pagina A invece che la pagina B, ad esempio) si possono venire a conoscere dei dati "sensibili", cioè quelle informazioni, appartenenti ad una particolare categoria di dati personali, che godono di speciale tutela da parte del legislatore (sono dati sensibili quelli che riguardano l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale).
Un problema sarà stabilire cosa si intende per "profilazione utente". Per il momento inizierei evitando moduli complessi e contenenti opzioni che attengono ai gusti personali (tipo "quali sono i tuoi hobbies"?). Se chiedete queste informazioni per curiosità potete farne tranquillamente a meno. Se chiedete queste informazioni perché vi servono a targettizzare la pubblicità, o le rivendete ad altri, allora sbrigatevi a fare una notifica al Garante, siete 7 anni in ritardo.
Un problema particolare è per chi ha siti "specializzati" in materie strettamente afferenti a dati sensibili (ad esempio per chi ha siti di medicina, anche alternativa, opuure, un caso che immagino frequentissimo, per chi ha siti con materiale pornografico). Ma nulla è cambiato rispetto a prima. Gli obblighi restano i medesimi.

4) Sui cookies e sui file di log ho già dato: trovate il contributo nella categoria "articoli e approfondimenti" sul sito in firma.

Se finora non vi siete fatti alcun problema, godetevi gli ultimi giorni di vacanza, al nuovo codice ci penserete dopo l'Epifania.

s8stress