Informativa sul trattamento dei dati personali
In questa informativa ti forniamo tutte le informazioni riguardo al modo in cui acquisiamo e trattiamo i Vostri dati personali quando navigate e/o utilizzate i servizi della SCS SICUREZZA srl
I dati forniti a SCS SICUREZZA srl, saranno trattati in conformità a quanto previsto dalla vigente normativa sulla privacy che trova il suo fondamento nel Regolamento UE 2016/679 (GDPR) e smi quale dlgs 101/2018.
La presente Informativa ha lo scopo di informare l’utente circa le modalità di trattamento dei dati personali che riguardano gli interessati in modo il più possibile semplice e dettagliato.
Definizioni principali contenute nel GDPR 679/2016
Vi informiamo delle principali definizioni relative al trattamento dei dati personali contenute nel GDPR 679/2016
Ai fini del presente regolamento s’intende per:
1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro;
4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica;
5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;
6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;
7) «titolare del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri;
8) «responsabile del trattamento»: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
… omissis
11) «consenso dell’interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;
… omissis
Dati oggetto di trattamento
Vi illustriamo quali sono i dati che possono essere oggetto di trattamento, eventualmente inviati alla SCS SICUREZZA srl e/o navigando le pagine di questo sito web.
Dati di navigazione
I nostri sistemi e/o quelli di aziende terze, con le quali abbiamo stretto accordi diretti o indiretti di collaborazione, potrebbero registrare diversi dati di connessione relativi alla tua sessione di navigazione: indirizzo IP, data ed orario di accesso, indirizzo della risorsa visualizzata (URL), eventuale pagina web di provenienza (referrer), browser e sistema operativo utilizzati. Tali dati possono consentire, solo a seguito di eventuali indagini effettuate dalle autorità giudiziarie, di risalire all’identità del titolare della connessione Internet. In nessun caso i nostri addetti potranno risalire autonomamente all’identità dei visitatori tramite tali dati di navigazione ed in nessun caso verrà effettuato il ricongiungimento con altri dati in ns. possesso o in possesso di terzi.
Cookie
I nostri sistemi e/o quelli di aziende terze, con le quali abbiamo stretto accordi diretti o indiretti di collaborazione, potrebbero trasmettere, al device dell’utente, cookie di vario tipo e con diverse finalità. Per maggiori informazioni circa i cookie e il loro utilizzo da parte di SCS SICUREZZA srl, vi invitiamo a leggere l’allegato1 in coda alla presente informativa.
Dati conferiti in modo volontario
Al fine dell’accesso a determinati servizi o prestazioni potrebbe essere richiesta, da parte dell’utente, la compilazione di moduli (come, ad esempio, moduli di contatto o moduli di registrazione) che prevedono la comunicazione di dati personali (ad esempio l’indirizzo di posta elettronica). Tale conferimento di dati, talvolta, potrà essere eseguito dall’utente in via semplificata mediante procedure di “connessione” con servizi esterni, se presenti, i quali provvederanno, dopo l’esplicito consenso dell’interessato, a trasmetterci in modo automatico e per via telematica solo ed esclusivamente i dati richiesti ai fini dell’iscrizione al servizio richiesto. L’acquisizione dei dati, ove richiesta, è il presupposto indispensabile per accedere ai servizi offerti dalla SCS SICUREZZA srl. Sono intesi come “dati conferiti in modo volontario” anche quelli che vengono inviati via posta elettronica (e-mail) per contattare un addetto del nostro sito.
Finalità del trattamento
Vi spieghiamo perché acquisiamo e trattiamo i Vostri dati in relazione a specifiche finalità.
Utilizziamo i dati di navigazione, i cookie ed i dati che ci vengono conferiti volontariamente dagli utenti solamente per gli scopi per i quali sono stati raccolti, in genere in sede di richieste specifiche di interventi, formalizzati da contratti, incarichi in materia di sicurezza sul lavoro e protezione dati ad esempio. In taluni casi è possibile che tali dati vengano comunicati, trattati e/o archiviati mediante l’ausilio di aziende terze per l’elenco delle quali si rimanda all’apposita sezione della informativa contenuta negli incarichi ricevuti e controfirmati dall’interessato.
In materia di sicurezza, salute sul lavoro i dati sono forniti dietro specifico consenso dell’interessato, mediante forma scritta e sottoscritta dal medesimo.
File di log e similari
Per motivi di sicurezza, ed al fine di adempiere a specifici obblighi di legge, vengono registrati i dati tecnici di connessione degli utenti all’interno di file di testo che vengono archiviati nel nostro server allo scopo di monitorare il corretto funzionamento del sito e proteggere i nostri sistemi da eventuali attacchi informatici. Altri software presenti sui nostri sistemi potrebbero compiere operazioni analoghe per finalità connesse alla sicurezza informatica.
Statistiche di accesso al sito
Utilizziamo Google Analytics e/o altro sistema con finalità puramente statistica per la misurazione del traffico del nostro sito Web. Al fine di garantire la privacy degli utenti abbiamo provveduto ad attivare l’anonimizzazione degli indirizzi IP.
Commenti ai contenuti
Su talune pagine del sito è offerta la possibilità, agli utenti, di scrivere commenti ai contenuti pubblicati. Tali commenti sono resi pubblici dagli interessati e quelli ritenuti inidonei, volgari o comunque non pertinenti verranno cancellati
Newsletter / DEM
Le news letter presenti sono pubbliche e sono di libera consultazione. Quelle inviate via email sono riservate ai clienti SCS SICUREZZA SRL e quelli alle aziende collaboratrici eventualmente presenti che ne fanno richiesta.
Base giuridica del trattamento
Vi illustriamo il fondamento giuridico su cui si basano i vari trattamenti di dati effettuati dal sito e Vi spieghiamo quali sono i requisiti di validità del Vostro eventuale consenso al trattamento dei Vostri dati personali.
Il trattamento di dati inviati si basa sul consenso dell’interessato che è libero di prestarlo o meno. Il consenso dell’interessato è indispensabile per le finalità di consulenza, certificazione, assunzione il ruolo di CTP, come richiesta marketing come, ad esempio, l’invio di informazioni commerciali, news letter come NOTIZIARIO SICURBOOK, tramite posta elettronica o l’accettazione di cookie di profilazione per la visualizzazione di messaggi pubblicitari personalizzati.
Le principali Normative cogenti di riferimento sono:
-
dlgs. 81/2008 testo unico in materia sicurezza sul lavoro
-
GDPR679/2016 protezione dati personali
-
Dlgs 101/2018 protezione dati personali, modifiche e/o integrazioni al dlgs 196/2003
-
dlgs 231/2001 Responsabilità ammnistrative delle imprese
-
SA8000 codice etico
Consenso dell’interessato
In tutti i casi nei quali per il trattamento è richiesto il consenso dell’utente, questo deve essere consapevole, libero ed incondizionato. Il mancato conferimento dei dati, tuttavia, potrebbe comportare l’impossibilità di ottenere taluni servizi o prestazioni (ad esempio, non si può sottoscrivere il servizio di newsletter se non si presta il relativo consenso contenuto nei contratti di consulenza, assistenza annuale, nomina RSPP esterno , CTP, Coordinatore cantieri etc,).
In materia di dati sensibili come quelli riguardanti la salute, il consenso è scritto e obbligatorio ( art9 GDPR679/2016)
Modalità del trattamento
Vi informiamo il modo in cui vengono gestiti i tuoi dati.
I dati oggetto di trattamento sono trattati con strumenti informatici in modo prevalentemente automatizzato con tecniche e accorgimenti tali da ridurre, il più possibile, l’intervento umano. L’accesso manuale da parte di operatori autorizzati è previsto solo in casi particolari e limitati, solitamente dietro richiesta del diretto interessato o per adempiere a specifici obblighi di legge (ad esempio per la fatturazione di eventuali servizi a pagamento).
Conservazione dei dati
Vi informiamo dove sono conservati i dati che acquisiamo in prima persona.
-
I dati che trattiamo in modo diretto sono archiviati all’interno dei nostri sistemi allocati presso SCS sicurezza SRL, società con sede legale in via Roma 7/9 Genova in collaborazione con lo Studio Consulenza Sicurezza di Roberto Ferro recapito via Mendozza 2d Genova( Contitolare trattamento)
Soggetti autorizzati ad accedere ai dati
Vi informiamo chi può accedere ai dati che gestiamo in prima persona.
L’accesso ai nostri sistemi è consentito, oltre che ai ns. incaricati, agli addetti nominati SCS SICUREZZA srl al fine dell’espletamento dei compiti di aggiornamento e manutenzione dei sistemi informatici a loro affidati. I dati relativi al servizio di newsletter sono accessibili ai ns. incaricati, ove presenti.
Misure di sicurezza
Vi informiamo in che modo proteggiamo i Vostri dati.
Idonee misure di sicurezza sono osservate per prevenire la perdita dei dati, la loro manomissione, usi illeciti ed accessi non autorizzati. Ove opportuno, inoltre, i dati degli utenti vengono trattati ed archiviati in modo criptato e/o pseudoanonimizzato.
Durata del trattamento
Vi informiamo per quanto tempo i Vostri dati verranno trattati all’interno dei nostri sistemi.
I dati sono trattati per il tempo necessario allo svolgimento del servizio richiesto dall’utente, o richiesto dalle finalità descritte in questo documento e/o nei documenti inviati presso la SCS SICUREZZA srl. L’utente può sempre chiedere l’interruzione di specifici trattamenti (ad esempio la cancellazione dal servizio di newsletter) o la cancellazione integrale dei propri dati, escluso i casi previsti dalla normativa vigente in materia. I test, i registri e gli attestati relativi ai corsi in materia di sicurezza sul lavoro, devono essere da noi conservati per legge 10 anni.
Così come i dati relativi a specifiche perizie in materia di sicurezza lavoro, potranno essere conservati, per un periodo pari al legittimo interesse del titolare del trattamento SCS SICUREZZA srl.
Taluni dati potrebbero essere conservati anche dopo la cancellazione per il periodo previsto per l’adempimento di obblighi di legge, sempre che non risulti necessario conservarli ulteriormente per difendere o far valere un diritto, quale il legittimo interesse del titolare del trattamento, per adempiere a eventuali ulteriori obblighi di legge o ordini delle autorità.
Titolare del trattamento
Vi indichiamo chi è il titolare del trattamento ed in che modo potete contattarlo per fare le Vostre domande o esercitare i Vostri diritti.
Titolare del trattamento dei dati personali è
-
SCS SICUREZZA srl nella persona di Roberto Ferro email info@sicurezzascs.it tel 3483127720 via Roma 7/9 Genova – recapito via Mendozza 2d Genova
Diritti dell’interessato
Vi informiamo quali sono i Vostri diritti ed in che modo potete esercitarli.
I soggetti cui si riferiscono i sopra citati dati personali (c.d. “interessati”), hanno la facoltà di esercitare i propri diritti secondo le modalità e nei limiti previsti dalla vigente normativa privacy. In particolare all’interessato sono riconosciuti i seguenti diritti:
-
accesso: l’interessato ha diritto di chiedere se sia in essere o meno un trattamento di dati che lo riguarda e, in caso affermativo, ha diritto di conoscere tali dati.
-
rettifica: l’interessato può chiedere di rettificare o integrare i dati che ci ha fornito o comunque in nostro possesso, qualora inesatti.
-
cancellazione: l’interessato può chiedere che i suoi dati vengano cancellati, qualora non siano più necessari alle finalità per le quali sono stati raccolti o in caso di revoca del consenso, di opposizione al trattamento, in caso di trattamento illecito, ovvero qualora sussista un obbligo legale di cancellazione;
-
limitazione: l’interessato può chiedere la limitazione del trattamento dei suoi dati personali, quando ricorre una delle condizioni di cui all’art. 18 del GDPR; in tal caso, i suoi dati non saranno trattati, salvo che per la conservazione, senza il suo consenso fatta eccezione per quanto esplicitato nel medesimo articolo al comma 2.
-
opposizione: l’interessato può opporsi in qualunque momento al trattamento dei suoi dati effettuato sulla base di un nostro legittimo interesse, salvo che vi siano nostri motivi legittimi per procedere al trattamento che prevalgano sui suoi, per esempio per l’esercizio o la nostra difesa in sede giudiziaria.
-
portabilità: l’interessato può chiedere di ricevere i suoi dati, o di farli trasmettere ad altro titolare da lui indicato, in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
Inoltre, ai sensi dell’art. 7, par. 3, GDPR, Vi informiamo che potet esercitare in qualsiasi momento il Vostro diritto di revoca del consenso, senza che venga pregiudicata la liceità del trattamento basata sul consenso prestato antecedentemente.
Per esercitare tali diritti, segnalare problemi o chiedere chiarimenti sul trattamento dei propri dati personali inviare email a : info@sicurezzascs.it . Qualora l’utente ritenga di non aver ottenuto un’adeguata e tempestiva risposta circa le proprie richieste in materia di privacy, avete il diritto di rivolgersi all’autorità competente.
Ricordiamo che è possibile cancellarsi dalla Newsletter SICURBOOK in ogni momento attraverso il form contenuto all’interno di ogni numero di NOTIZIARIO SICURBOOK
Allegato 1 informativa sui COOKIE
Vi sono vari tipi di cookie, alcuni per rendere più efficace l’uso del Sito, altri per abilitare determinate funzionalità.
Analizzandoli in maniera particolareggiata i nostri cookie permettono di:
-
memorizzare le preferenze inserite;
-
evitare di reinserire le stesse informazioni più volte durante la visita quali ad esempio nome utente e password;
-
analizzare l’utilizzo dei servizi e dei contenuti forniti da SCS SICUREZZA SRL per ottimizzarne l’esperienza di navigazione e i servizi offerti.
Cookie tecnici
Questa tipologia di cookie permette il corretto funzionamento di alcune sezioni del Sito. Sono di due categorie: persistenti e di sessione:
-
persistenti: una volta chiuso il browser non vengono distrutti ma rimangono fino ad una data di scadenza preimpostata
-
di sessione: vengono distrutti ogni volta che il browser viene chiuso
Questi cookie, inviati sempre dal nostro dominio, sono necessari a visualizzare correttamente il sito e in relazione ai servizi tecnici offerti, verranno quindi sempre utilizzati e inviati, a meno che l’utenza non modifichi le impostazioni nel proprio browser (inficiando così la visualizzazione delle pagine del sito).
-
Cookie analitici
I cookie in questa categoria vengono utilizzati per collezionare informazioni sull’uso del sito. Art-news.it userà queste informazioni in merito ad analisi statistiche anonime al fine di migliorare l’utilizzo del Sito e per rendere i contenuti più interessanti e attinenti ai desideri dell’utenza. Questa tipologia di cookie raccoglie dati in forma anonima sull’attività dell’utenza e su come è arrivata sul Sito. I cookie analitici sono inviati dal Sito Stesso o da domini di terze parti.
-
Cookie di analisi di servizi di terze parti
Questi cookie sono utilizzati al fine di raccogliere informazioni sull’uso del Sito da parte degli utenti in forma anonima quali: pagine visitate, tempo di permanenza, origini del traffico di provenienza, provenienza geografica, età, genere e interessi ai fini di campagne di marketing. Questi cookie sono inviati da domini di terze parti esterni al Sito.
-
Cookie per integrare prodotti e funzioni di software di terze parti
Questa tipologia di cookie integra funzionalità sviluppate da terzi all’interno delle pagine del Sito come le icone e le preferenze espresse nei social network al fine di condivisione dei contenuti del sito o per l’uso di servizi software di terze parti (come i software per generare le mappe e ulteriori software che offrono servizi aggiuntivi). Questi cookie sono inviati da domini di terze parti e da siti partner che offrono le loro funzionalità tra le pagine del Sito.
-
Cookie di profilazione
Sono quei cookie necessari a creare profili utenti al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dall’utente all’interno delle pagine del Sito.
SCS SICUREZZA SRL secondo la normativa vigente, non è tenuto a chiedere consenso per i cookie tecnici e di analytics, in quanto necessari a fornire i servizi richiesti.
Per tutte le altre tipologie di cookie il consenso può essere espresso dall’Utente con una o più di una delle seguenti modalità:
-
Mediante specifiche configurazioni del browser utilizzato o dei relativi programmi informatici utilizzati per navigare le pagine che compongono il Sito.
-
Mediante modifica delle impostazioni nell’uso dei servizi di terze parti
Entrambe queste soluzioni potrebbero impedire all’utente di utilizzare o visualizzare parti del Sito.
Siti Web e servizi di terze parti
Il Sito potrebbe contenere collegamenti ad altri siti Web che dispongono di una propria informativa sulla privacy che può essere diverse da quella adottata da art-news.it e che quindi non risponde di questi siti.
Informazioni sui cookie (ESEMPIO):
-
GPS
Quando un utente utilizza servizi Google, potremmo raccogliere ed elaborare informazioni sulla sua posizione. Utilizziamo varie tecnologie per stabilire la posizione, inclusi indirizzo IP, GPS e altri sensori che potrebbero, ad esempio, fornire a Google informazioni sui dispositivi, sui punti di accesso Wi-Fi e sui ripetitori di segnale dei cellulari nelle vicinanze.
-
PREF
La maggior parte degli utenti di Google ha un cookie delle preferenze chiamato “PREF” nei browser. Un browser invia questo cookie con le richieste ai siti di Google. Il cookie PREF potrebbe memorizzare le tue preferenze e altre informazioni, in particolare la tua lingua preferita (ad esempio l’italiano), il numero di risultati di ricerca che desideri visualizzare per ogni pagina (ad esempio 10 o 20) e la tua preferenza di attivazione del filtro SafeSearch di Google.
-
VISITOR_INFO1_LIVE
Ricorda le preferenze dell’utente in merito all’interfaccia scelta per l’utilizzo di visualizzazione dei video.
-
YSC
Un identificatore univoco assegnato al visitatore del sito durante la visualizzazione di un video
-
_gat
Il cookie _gat fa parte del servizio di analisi e monitoraggio Google Analytics. Si tratta di un cookie che scade dopo 10 minuti dopo la creazione o l’aggiornamento. Viene utilizzato per bloccare il numero di richieste degli script di analisi in modo da considerare uniche le visite dell’utente.
developers.google.com › cookie-usage
-
ga
Il cookie _ga fa parte del servizio di analisi e monitoraggio Google Analytics. Si tratta di un cookie che scade dopo 2 anni dopo la creazione o l’aggiornamento. Viene utilizzato per distinguere gli utenti.
developers.google.com › cookie-usage
Come disabilitare i cookie mediante configurazione del browser
Se desideri approfondire le modalità con cui il tuo browser memorizza i cookies durante la tua navigazione, ti invitiamo a seguire questi link sui siti dei rispettivi fornitori.
Nel caso in cui il tuo browser non sia presente all’interno di questo elenco puoi richiedere maggiori informazioni inviando una email all’indirizzo info@sicurezzascs.it . Provvederemo a fornirti le informazioni necessarie per una navigazione anonima e sicura.
Il presente sito incorpora anche plugin e/o bottoni al fine di consentire una facile condivisione dei contenuti sui vostri social network preferiti. Quando visiti una pagina del nostro sito web che contiene eventualmente un plugin, il tuo browser si collega direttamente ai server del social network da dove è caricato il plugin, il quale server può tracciare la tua visita al nostro sito web e, se del caso, associarla al tuo account del social, in particolare se sei connesso al momento della visita o se hai recentemente navigato in uno dei siti web contenenti plugin social. Se non desideri che il social network registri i dati relativi alla tua visita sul nostro sito web, devi uscire dal tuo account del social e, probabilmente, eliminare i cookie che il social network ha installato nel tuo browser.
Sul presente sito saranno installati plugin con funzioni di tutela avanzata della privacy degli Utenti, che non inviano cookie o accedono ai cookie presenti sul browser dell’Utente all’apertura della pagina ma solo dopo il click sul plugin.
La raccolta e l’uso delle informazioni da parte di tali terzi sono regolati dalle rispettive informative privacy alle quali si prega di fare riferimento.
– Facebook (link informativa cookie)
– Twitter (link informativa cookie)
– LinkedIn (link informativa cookie)
– Google+ (link informativa cookie).
Trattiamo i dati dei visitatori/utenti in maniera lecita e corretta, adottando le opportune misure di sicurezza volte ad impedire accessi non autorizzati, divulgazione, modifica o distruzione non autorizzata dei dati. Ci impegniamo a tutelare la sicurezza dei tuoi dati personali durante il loro invio, utilizzando il software inserito dal programmatore del presente sito, che cripta le informazioni in transito. Il trattamento viene effettuato mediante strumenti informatici e/o telematici, con modalità organizzative e con logiche strettamente correlate alle finalità indicate. Oltre al Titolare, in alcuni casi, potrebbero avere accesso ai dati categorie di incaricati coinvolti nell’organizzazione del sito ovvero soggetti esterni (come fornitori di servizi tecnici terzi, hosting provider).
Ai sensi del Regolamento europeo 679/2016 (GDPR) e dell’art. 7 del D. Lgs. 30 giugno 2003, n. 196, l’Utente può, secondo le modalità e nei limiti previsti dalla vigente normativa, esercitare i seguenti diritti:
– opporsi in tutto o in parte, per motivi legittimi al trattamento dei dati personali che lo riguardano ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale;
– richiedere la conferma dell’esistenza di dati personali che lo riguardano (diritto di accesso);
– conoscerne l’origine;
– riceverne comunicazione intelligibile;
– avere informazioni circa la logica, le modalità e le finalità del trattamento;
– richiederne l’aggiornamento, la rettifica, l’integrazione, la cancellazione, la trasformazione in forma anonima, il blocco dei dati trattati in violazione di legge, ivi compresi quelli non più necessari al perseguimento degli scopi per i quali sono stati raccolti;
– nei casi di trattamento basato su consenso, ricevere al solo costo dell’eventuale supporto, i suoi dati forniti al titolare, in forma strutturata e leggibile da un elaboratore di dati e in un formato comunemente usato da un dispositivo elettronico;
– il diritto di presentare un reclamo all’Autorità di controllo (Garante Privacy – link alla pagina del Garante);
– nonché, più in generale, esercitare tutti i diritti che gli sono riconosciuti dalle vigenti disposizioni di legge.
Le richieste vanno rivolte al Titolare del trattamento.
Titolare del trattamento ai sensi delle leggi vigenti è l’amministratore del sito, SCS SICUREZZA srl contattabile tramite la sezione CONTATTI (link in in intestazione al sito e indicato nella presente pagina).
Il WWW è responsabile del trattamento, elaborando i dati per conto del titolare. WWW si trova nello Spazio Economico Europeo e agisce in conformità delle norme europee.
Google è nominato responsabile del trattamento, elaborando dati per conto del titolare (Google Analytics).
I cookie HTTP
I cookie HTTP (più comunemente denominati cookie web, o per antonomasia cookie)[1] sono un tipo particolare di magic cookie (una sorta di gettone identificativo). Vengono utilizzati dalle applicazioni web lato server che archiviano e recuperano informazioni a lungo termine sul lato client.
I server inviano i cookie nella risposta HTTP e ci si aspetta che i browser salvino e inviino i cookie al server, ogni qual volta si facciano richieste aggiuntive al server.
Tale riconoscimento permette di realizzare meccanismi di autenticazione, usati ad esempio per i login; di memorizzare dati utili alla sessione di navigazione, come le preferenze sull’aspetto grafico o linguistico del sito; di associare dati memorizzati dal server, ad esempio il contenuto del carrello di un negozio elettronico; di tracciare la navigazione dell’utente, ad esempio per fini statistici o pubblicitari.
Date le implicazioni per la riservatezza dei naviganti del web, l’uso dei cookie è categorizzato e disciplinato negli ordinamenti giuridici di numerosi paesi, tra cui quelli europei, inclusa l’Italia. La sicurezza di un cookie di autenticazione dipende generalmente dalla sicurezza del sito che lo emette, dal browser web dell’utente, e dipende dal fatto che il cookie sia criptato o meno. Le vulnerabilità di sicurezza possono permettere agli hacker di leggere i dati del cookie, che potrebbe essere usato per ottenere l’accesso ai dati degli utenti, o per ottenere l’accesso (con le credenziali dell’utente) al sito web a cui il cookie appartiene (vedi cross-site scripting e cross-site request forgery per esempio).[2]
I cookie, e in particolare i cookie di terza parte, sono comunemente usati per memorizzare le ricerche di navigazione degli utenti; questi dati sensibili, possono essere una potenziale minaccia alla privacy degli utenti; proprio questo ha indotto le autorità europee[3] e degli Stati Uniti a regolamentarne l’uso mediante una legge nel 2011[4]. Infatti la legislazione europea impone a tutti i siti degli stati membri, di informare gli utenti che il sito utilizza certe tipologie di cookie.
Contrariamente a quanto comunemente si crede, un cookie non è un piccolo file di testo: può essere sì memorizzato in un file di testo, ma non necessariamente. Nel cookie solitamente possiamo trovare quattro attributi:
-
Nome/valore è una variabile ed un campo obbligatorio.
-
Scadenza (expiration date) è un attributo opzionale che permette di stabilire la data di scadenza del cookie. Può essere espressa come data, come numero massimo di giorni oppure come Now (adesso) (implica che il cookie viene eliminato subito dal computer dell’utente in quanto scade nel momento in cui viene creato) o Never (mai) (implica che il cookie non è soggetto a scadenza e questi sono denominati persistenti).
-
Modalità d’accesso (HttpOnly) rende il cookie invisibile a JavaScript e altri linguaggi client-side presenti nella pagina.
-
Sicuro (secure) indica se il cookie debba essere trasmesso criptato con HTTPS.
La grande varietà esistente di cookie nel mondo del web rende difficile una loro classificazione. È possibile comunque stilarne una tassonomia generale separandoli in diverse categorie.[5] L’attributo principale tramite cui possiamo dividere i cookie è il loro ciclo di vita, il quale ci permette di distinguerli in:
-
Cookie di sessione: questi cookie non vengono memorizzati in modo persistente sul dispositivo dell’utente e vengono cancellati alla chiusura del browser[6]. A differenza di altri cookie, i cookie di sessione non hanno una data di scadenza, ed in base a questo il browser riesce ad identificarli come tali.
-
Cookie persistenti: invece di svanire alla chiusura del browser, come vale per i cookie di sessione, i cookie persistenti scadono ad una data specifica o dopo un determinato periodo di tempo. Ciò significa che, per l’intera durata di vita del cookie (che può essere lunga o breve a seconda della data di scadenza decisa dai suoi creatori), le sue informazioni verranno trasmesse al server ogni volta che l’utente visita il sito web, o ogni volta che l’utente visualizza una risorsa appartenente a tale sito da un altro sito (ad esempio un annuncio pubblicitario). Per questo motivo, i cookie persistenti possono essere utilizzati dagli inserzionisti per registrare le informazioni sulle abitudini di navigazione web di un utente per un periodo prolungato di tempo. Tuttavia, essi sono utilizzati anche per motivi “legittimi ” (come ad esempio mantenere gli utenti registrati nel loro account sui siti web, al fine di evitare, ad ogni visita, l’inserimento delle credenziali per l’accesso ai siti web).
Classifica dei cookie in base alla provenienza:
-
Cookie di prima parte: normalmente, l’attributo di dominio di un cookie corrisponderà al dominio che viene visualizzato nella barra degli indirizzi del browser web; sono i cookie inviati al browser direttamente dal sito che si sta visitando. Questo è chiamato un cookie di prima parte. Possono essere sia persistenti sia di sessione; sono gestiti direttamente dal proprietario e/o responsabile del sito e vengono utilizzati, ad esempio, per garantirne il funzionamento tecnico o tenere traccia di preferenze espresse in merito all’uso del sito stesso.
-
Cookie di terza parte: i cookie di terze parti, appartengono a domini diversi da quello mostrato nella barra degli indirizzi. Questi tipi di cookie appaiono in genere quando le pagine web sono dotate di contenuti, come ad esempio banner pubblicitari, da siti web esterni. Questo implica la possibilità di monitoraggio della cronologia di navigazione dell’utente, ed è spesso usato dagli inserzionisti, nel tentativo di servire annunci rilevanti e personalizzati per ciascun utente. Per esempio, supponiamo che un utente visiti www.example.org. Questo sito web contiene un annuncio da ad.foxytracking.com, che, una volta scaricato, imposta un cookie che appartiene al dominio della pubblicità (ad.foxytracking.com). Quindi, l’utente visita un altro sito web, www.foo.com, che contiene anche un annuncio da ad.foxytracking.com/, e che stabilisce anche un cookie appartenente a quel dominio (ad.foxytracking.com). Alla fine, entrambi questi cookie saranno inviati al venditore quando si caricano le loro pubblicità o visitando il loro sito web. L’inserzionista può quindi utilizzare questi cookie per costruire una cronologia di navigazione degli utenti in tutti i siti che hanno gli annunci di questo inserzionista. La maggior parte dei moderni browser web contengono delle impostazioni di privacy che sono in grado di bloccare i cookie di terze parti.
Distinzione dal punto di vista dell’utilizzo (o finalità):
-
Cookie tecnici: servono per la navigazione e per facilitare l’accesso e la fruizione del sito da parte dell’utente. I cookie tecnici sono essenziali per esempio per accedere a Google o a Facebook senza doversi loggare a tutte le sessioni. Lo sono anche in operazioni molto delicate quali quelle della home banking o del pagamento tramite carta di credito o per mezzo di altri sistemi.
-
Cookie statistici o “analytics”: vengono utilizzati a fini di ottimizzazione del sito, direttamente dal titolare del sito stesso, che potrà raccogliere informazioni in forma aggregata sul numero degli utenti e su come questi visitano il sito. A queste condizioni, per i cookie analytics valgono le stesse regole, in tema di informativa e consenso, previste per i cookie tecnici.
-
Cookie per la memorizzazione delle preferenze: sono cookie utili a favorire l’utilizzo corretto del sito da parte dell’utente. Vengono utilizzati, ad esempio, per tenere traccia della lingua scelta.
-
Cookie pubblicitari: questi cookie hanno lo scopo di fornire spazi pubblicitari. Essi possono essere installati, dal titolare del sito oppure da terze parti. Alcuni servono a riconoscere i singoli messaggi pubblicitari e sapere quali sono stati selezionati e quando. Altri cookie pubblicitari vengono utilizzati per ipotizzare un “profilo” di navigazione dell’utente, in modo da poter proporre messaggi pubblicitari in linea al suo comportamento e interessi nella rete. Tale “profilo” è anonimo e le informazioni raccolte tramite questi cookie non consentono di risalire all’identità dell’utente. In questo caso il cookie presiede uno dei sistemi per pilotare la cosiddetta “pubblicità comportamentale”[7].
-
Cookie di social network: si tratta dei cookie che consentono di condividere anche con altri utenti i contenuti del sito che si sta visitando. Sono i cookie tipicamente utilizzati per attivare le funzioni “Mi piace” o “Segui” dei Social Network quali Facebook e Twitter, solo per citarne alcuni. Queste funzioni consentono ai Social Network di identificare i propri utenti e raccogliere informazioni anche mentre navigano su altri siti.
Altre tipologie utili di cookie:
-
Secure cookie: un cookie con il Secure flag può essere trasmesso solo su una connessione crittografata (cioè HTTPS). Questo diminuisce la probabilità di essere esposti al furto di cookie tramite intercettazioni. Per raggiungere questo obiettivo, i browser che supportano questo flag, invieranno soltanto i cookie con il Secureflag quando viene richiesta una pagina HTTPS. In altri termini, il browser non invierà un cookie con il Secure flag su una richiesta HTTP, ovvero su una connessione non crittografata.
-
HttpOnly cookie: cookie con il flag HttpOnly possono essere utilizzati solo se trasmessi via HTTP (o HTTPS). Essi non sono accessibili attraverso non-HTTP API come JavaScript. Questa restrizione elimina la minaccia del furto di cookie tramite cross-site scripting (XSS), evitando le minacce del cross-site tracing(XST) e cross-site request forgery (CSRF).
-
SameSite cookie: Google Chrome 51 ha introdotto[8] un nuovo flag SameSite che consente l’invio del cookie solo per richieste provenienti dalla stessa fonte, riuscendo così a neutralizzare attacchi come CSRF e altri tipi di attacchi.
-
SuperCookie: Il “supercookie” è un cookie con un’origine di un dominio di primo livello (ad esempio .com) o un public suffix (come ad esempio.co.uk). I cookie ordinari, al contrario, hanno origine in un determinato dominio, ad esempioexample.com. I supercookie possono essere un potenziale problema di sicurezza e sono quindi spesso bloccati dai browser web. Se sbloccato dal computer client, un utente malintenzionato, attraverso un sito web malevolo, potrebbe impostare un supercookie, e potenzialmente distruggere o reindirizzare le richieste degli utenti legittimi ad un altro sito web che condivide lo stesso dominio di primo livello o public suffix del sito web malevolo. Ad esempio, un supercookie con dominio .com, potrebbe maliziosamente influenzare una richiesta avanzata a example.com, anche se il cookie non ha avuto origine da example.com. Questo può essere usato per effettuare falsi accessi o modificare le informazioni degli utenti. La Public Suffix List[9] aiuta a a diminuire il rischio che si può creare attraverso i supercookie. Questo elenco è un’iniziativa trasversale che mira a fornire un’accurata e aggiornata lista di nomi dei domini. Le vecchie versioni dei browser non possono avere un elenco aggiornato, e saranno quindi vulnerabili a supercookie da determinati domini.
-
Zombie cookie: Gli Zombie cookie sono cookie che vengono ricreati automaticamente dopo essere stati eliminati. Questo si ottiene attraverso la memorizzazione dei contenuti del cookie in più posizioni, come la flash local storage, HTML5 storage, e attraverso altri meccanismi di archiviazione sia da parte del client che da parte del server. Quando viene rilevata l’assenza del cookie, quest’ultimo viene ricreato utilizzando i dati memorizzati in queste posizioni.
Un cookie è un header aggiuntivo presente in una richiesta (Cookie:) o risposta (Set-cookie:) HTTP: nel caso il server voglia assegnare un cookie all’utente, lo aggiungerà tra gli header di risposta. Il client deve notare la presenza del cookie e memorizzarlo in un’area apposita (in genere, si utilizza una directory dove ogni cookie veniva memorizzato in un file). Il cookie è composto da una stringa di testo arbitraria, una data di scadenza (oltre la quale non deve essere considerato valido) e un pattern per riconoscere i domini a cui rimandarlo. È possibile impostare più cookie in una sola risposta HTTP.
Il browser web client rimanderà il cookie, senza alcuna modifica, allegandolo a tutte le richieste HTTP che soddisfano il pattern, entro la data di scadenza. Il server può quindi scegliere di assegnare il cookie di nuovo, sovrascrivendo quello vecchio. Il reinvio tramite pattern permette a tutti i sottodomini di un dato dominio di ricevere il cookie, se così si vuole.
I cookie vengono utilizzati per aggiungere uno stato ad un protocollo privo di stato. Senza i cookie non vi sarebbe differenza in una pagina caricata prima di effettuare un login, dalla stessa pagina caricata dopo. Dato che i cookie permangono nel sistema per lunghi periodi, i siti possono assegnare un indice all’utente e tenere traccia della sua navigazione all’interno del sito, solitamente allo scopo di creare statistiche. Possono essere utilizzati anche per tracciare la navigazione su siti terzi, nel caso in cui questi siti terzi utilizzino contenuti provenienti dal sito che ha impostato il cookie. Solitamente la pubblicità sui siti viene gestita da compagnie che hanno inserzioni su svariati siti internet.
Il contenuto della pubblicità stessa viene caricato direttamente dal loro server (tramite una richiesta HTTP) e visualizzato in maniera integrata nel sito che l’utente desidera visitare. In questo modo il server della compagnia pubblicitaria riceverà dal browser dell’utente l’indirizzo della pagina che si sta visualizzando, e potrà inviare un cookie al client. Tramite questo meccanismo le società pubblicitarie possono aggregare informazioni sugli utenti e costruirne profili e mostrare loro pubblicità mirate.
Poiché possono essere usati per monitorare la navigazione su Internet, i cookie sono oggetto di discussioni concernenti il diritto alla privacy. Molti paesi ed organizzazioni, fra cui gli Stati Uniti e l’Unione europea, hanno legiferato in merito. I cookie sono stati inoltre criticati perché non sempre sono in grado di identificare l’utente in modo accurato ed inoltre perché possono potenzialmente essere oggetto di attacchi informatici. Esistono alcune alternative ai cookie, ma tutte, insieme ad alcuni vantaggi, presentano controindicazioni.
Più in dettaglio i diversi utilizzi dei cookie sono dunque:
-
Per riempire il carrello della spesa virtuale in siti commerciali (i cookie ci permettono di mettere o togliere gli articoli dal carrello in qualsiasi momento).
-
Per permettere ad un utente il login in un sito web.
-
Per personalizzare la pagina web sulla base delle preferenze dell’utente (per esempio il motore di ricerca Google permette all’utente di decidere quanti risultati della ricerca voglia visualizzare per pagina).
-
Per tracciare i percorsi dell’utente (tipicamente usato dalle compagnie pubblicitarie per ottenere informazioni sul navigatore, i suoi gusti le sue preferenze. Questi dati vengono usati per tracciare un profilo del visitatore in modo da presentare solo i banner pubblicitari che gli potrebbero interessare).
-
Per la gestione di un sito: i cookie servono a chi si occupa dell’aggiornamento di un sito per capire in che modo avviene la visita degli utenti, quale percorso compiono all’interno del sito. Se il percorso porta a dei vicoli ciechi il gestore se ne può accorgere e può migliorare la navigazione del sito.
-
Per condividere le informazioni di social network con altri utenti.
Molti dei moderni browser permettono all’utente di decidere quando accettare cookie, ma respingere alcuni cookie non permette l’utilizzo di alcuni siti (prendiamo come esempio l’iscrizione ad un sito web come Wikipedia).
Le impostazioni possono essere personalizzate per abilitarli o bloccarli sempre, entro un determinato periodo di permanenza, per filtrare i siti in base a whitelist e blacklist, e per filtrare cookie che sono utilizzati dallo stesso server o anche da link (spesso pubblicitari) a siti ospitati su server differenti.
È da notare che il funzionamento dei cookie è totalmente dipendente dal browser di navigazione che l’utente usa: in teoria, tale programma può dare all’utente il controllo completo dei cookie e permettere o rifiutare la loro creazione e diffusione. Microsoft Internet Explorer ha solo una gestione rudimentale dei cookie, mentre alternative come Opera o Mozilla Firefox danno un maggiore controllo all’utente e permettono di accettare/rifiutare cookie da siti specifici. Anche altri programmi, da usare come proxy, permettono all’utente un grado maggiore di controllo su cosa succede.
Un Tor o un proxy server hanno l’effetto finale, non di cancellare l’indirizzo IP, ma di farne apparire uno differente da quello del proprio computer. Nel caso di rilevazione dell’indirizzo IP, con questi accorgimenti, non si incontra alcuna limitazione nel numero di siti navigabili.