Come scrivere la privacy policy per un sito web nel 2022? Esiste un modello di informativa privacy da seguire per essere certi di rispettare le norme?
Quando si avvia un progetto web, bisogna avere cura di numerosi aspetti che ne decreteranno la buona riuscita o meno, tra questi, sicuramente enorme attenzione è da dedicare all’aspetto legale e in particolare al rispetto delle norme sulla privacy.
Il quadro normativo sul tema è basato fondamentalmente sul GDPR (Reg. UE 679/2016 General Data Protection Regulation) e sulla direttiva e-privacy, oltre ad altri aspetti marginali normati ancora dal Codice della Privacy (Dlgs 196/2003 – Codice in materia di protezione dei dati personali).
L’obiettivo principale del legislatore è tutelare i diritti delle persone fisiche che sono oggetto del trattamento di dati personali e il modo migliore per farlo è rendere consapevoli gli interessati di come viene effettuato il trattamento e con quali finalità.
Per questo il ruolo della privacy policy (o informativa della privacy) per un sito web assume un ruolo di primo piano per aumentare la fiducia degli utenti che interagiscono con esso e per evitare sanzioni pesanti dall’Autorità.
In questo articolo spiego come creare la privacy policy di un sito, partendo dal suo significato e analizzando la forma e il contenuto che deve avere una informativa privacy che rispetta il GDPR.
| Cos’è la Privacy Policy di un Sito Web? Ecco il significato e quando è obbligatoria
Cosa si intende per privacy policy? La privacy policy per un sito web è obbligatoria? Questi sono i dubbi sul tema che si rilevano con più frequenza. Facciamo chiarezza.
L’informativa privacy di un sito internet è quel documento digitale che informa gli utenti che lo navigano su chi e su come sta effettuando l’eventuale trattamento dei loro dati personali.
Quindi questo significa che ogni qualvolta che avviene un trattamento di dati personali tramite il sito, la privacy policy è obbligatoria. E questo vale per i dati degli abitanti di ognuno dei Paesi dell’Unione Europea o per chi si trova nel territorio dell’UE anche senza esserne cittadino.
Il GDPR per fare luce su questo aspetto, nell’art. 4, da una definizione puntuale sia di dato personale che di trattamento.
Il “dato personale” è qualsiasi informazione riguardante una persona fisica identificata o identificabile (detta “interessato”), mentre per trattamento di dati si intende:
“…qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.”
Nella pratica, quasi la totalità dei siti web implicano un trattamento di dati personali, il caso più evidente sono sicuramente gli shop online per i quali ho creato una guida specifica che approfondisce il modello di privacy policy per gli e-commerce, ma anche nel caso dei blog o dei siti vetrina, ad esempio, basta un form tramite il quale gli utenti possono contattare il gestore del sito per configurare un trattamenti di dati.
Sono rarissimi, invece, i casi nei quali l’informativa privacy per il sito non è necessaria, ossia quando non si tratta di un e-commerce, quando non è presente nessun form di contatto e non viene raccolto (o in generale “trattato”) nessun dato degli utenti.
> Differenza tra Privacy Policy e Cookie Policy di un sito
A volte si tende a confondere la privacy policy con la cookie policy di un sito, ma i due documenti differiscono.
L’informativa sui cookies può essere una parte della privacy policy o un documento a sé stante in cui è descritto quali file di testo vengono rilasciati dal sito e installati sui dispositivi degli utenti e attiene al contesto dei “dati comportamentali”.
Qui puoi approfondire le caratteristiche della cookie policy e le nuove norme relative in vigore da gennaio 2022.
| Modello Privacy Policy Sito Web che rispetta il GDPR
Chiariti questi aspetti, passiamo a definire le caratteristiche che deve avere il documento di privacy policy su un sito web.
Questo template di base è valido a prescindere dalla tecnologia usata, quindi è indifferente impostare il testo della privacy policy per un sito creato con WordPress, Wix, Shopify o altri CMS.
> Informativa Privacy su Sito Web: la forma
Nell’art. 12 del GDPR è stabilito il principio di trasparenza, ossia che la privacy policy dev’essere concisa, facilmente accessibile (soprattutto se destinata anche ai minori) e con un linguaggio semplice e chiaro.
Per chi redige l’informativa privacy di un sito, questo, si traduce nel rispetto di alcuni requisiti e in alcuni accorgimenti pratici da non sottovalutare:
- usare la forma scritta;
- essere breve;
- adeguare il linguaggio al pubblico di riferimento;
- inserire informazioni vere e non ambigue;
Inoltre bisogna assicurarsi che la privacy policy sia sempre:
- molto visibile in fase di inoltro dei dati;
- sempre raggiungibile da ogni pagina, per questo è buona pratica inserirne il link nel footer del sito.
> Testo Informativa Privacy sulla Privacy Sito Web: cosa deve contenere?
L’art. 13 del GDPR, invece, stabilisce il contenuto di una privacy policy lecita e completa e, chiaramente, anche l’informativa privacy di un sito deve adeguarsi a tali dettami.
Ecco cosa deve contenere.
> Il Titolare del trattamento
Una delle informazioni più importanti da inserire obbligatoriamente nella privacy policy di un sito internet è il titolare del trattamento, definito dall’art. 4 del GDPR come il soggetto fisico o giuridico che “determina le finalità e i mezzi del trattamento”.
Per essere completi nell’informativa è bene inserire:
- generalità del titolare del trattamento (se persona fisica) oppure i dati aziendali (se soggetto giuridico)
- modalità di contatto del titolare (es. email, telefono, link al form contatti…)
> Il Responsabile del trattamento dei dati personali
A volte questa indicazione è trascurata, ma è obbligatorio indicare anche il responsabile del trattamento.
Può essere un soggetto interno o esterno all’azienda e consiste nella figura che tratta dati personali raccolti tramite il sito per conto del titolare e per una finalità determinata.
Pensiamo al tipico esempio della web agency che offre servizi al titolare del trattamento e che ha accesso ai dati del sito.
Il GDPR esige che il responsabile del trattamento abbia un atto di nomina in cui bisogna inserire le condizioni con cui avvengono i trattamenti come la tipologia di dati trattati, le misure di sicurezza adottate, ecc…
> Il Responsabile della protezione dei dati personali o ‘DPO’
Il Data Protection Officer (DPO) è una nuova figura introdotta dal Regolamento Europeo.
Si tratta di un professionista esperto che supporta il titolare nel rispetto della norma, può essere interno o esterno nel caso in cui il titolare del trattamento sia una azienda.
Non è sempre obbligatorio nominare il DPO, devono sussistere alcune condizioni come un “monitoraggio dei dati di un gran numero di utenti in maniera regolare e sistematica con strumenti di tracciamento e profilazione”.
Per molti siti potrebbe non essere necessario, il caso più al limite è certamente l’e-commerce, puoi approfondire il tema in questo articolo specifico, ad ogni modo è sempre bene affidarsi a un esperto per una consulenza specifica sulle norme del GDPR.
Quello che è certo è che se sei obbligato/a nominare il DPO, questo dev’essere esplicitato nella privacy policy del sito (come per il titolare e il responsabile del trattamento).
> Le finalità del trattamento
Dopo aver specificato i soggetti che effettuano il trattamento, bisogna specificarne le finalità.
Perché raccogliamo, elaboriamo, usiamo questi dati personali?
In molti casi, nella privacy policy dei siti web ci si perde in elenchi superflui, a volte con voci estranee alle reali finalità.
Non esiste un template predefinito, tutto dipende dal caso soggettivo, ma si possono elencare una serie di finalità comuni a molti siti:
- iscrizione al sito;
- customer care;
- marketing;
- profilazione;
- difesa in giudizio.
> La base giuridica del trattamento
La base giuridica è la condizione che rende lecito il trattamento.
L’art.6 del GDPR specifica tutte le condizioni possibili che possono ricorrere affinchè il trattamento sia lecito, tra le più comuni troviamo:
- si è ottenuto il consenso, se necessario;
- il trattamento è necessario per l’esecuzione di un contratto;
- il trattamento è necessario per adempiere agli obblighi di legge;
- il trattamento è necessario per perseguire un legittimo interesse del titolare.
Per quanto riguarda i siti web, nella maggior parte dei casi il trattamento avviene tramite consenso, necessario, ad esempio, quando le finalità sono quelle di marketing e profilazione.
> I dati trattati
In questa sezione è necessario indicare esattamente quali dati personali vengono raccolti ed elaborati. Ad esempio i dati anagrafici, i dati di contatto, ecc…
> I trasferimenti di dati
Se compiuti, è obbligatorio specificare verso chi vengono effettuati trasferimenti di dati, compreso (e a maggior ragione) se l’eventuale trasferimento avviene verso un’organizzazione internazionale o che opera al di fuori dell’Unione Europea.
È necessario indicare anche tutti quei soggetti (incluse le Pubbliche Autorità) che hanno accesso ai dati personali in forza di provvedimenti normativi o amministrativi.
> Il periodo di conservazione dei dati
I trattamenti di dati non possono avvenire a tempo indeterminato, il GDPR impone un tempo di conservazione proporzionale alle finalità e, in alcuni casi specifici, questo periodo viene proprio esplicitato senza possibilità di interpretazione da parte del titolare.
Questo è il caso dei trattamenti con finalità di marketing, per i quali il periodo di conservazione è indicato in 24 mesi dal consenso e per la profilazione, dove il limite è 12 mesi dal consenso.
Per ogni finalità, quindi, è necessario inserire nell’informativa privacy del sito il periodo di conservazione dei dati.
> I diritti degli interessati
La privacy policy di un sito web deve specificare come opporsi al trattamento e i diritti che gli interessati possono esercitare relativamente ai dati personali che li riguardano.
Ecco i principali:
- diritto di accesso;
- diritto di rettifica;
- diritto di cancellazione o limitazione del trattamento;
- diritto di revoca del consenso al trattamento;
- diritto di proporre reclamo al Garante della Privacy.
Con questa sezione si esaurisce l’elenco delle voci obbligatorie da esplicitare nell’informativa.
| Garante Privacy e Informativa Sito Web: quali sanzioni si rischiano
E se la privacy policy del sito è scritta in maniera approssimativa cosa si rischia?
Le sanzioni possono avere un peso davvero importante, Il Regolamento Europeo prevede multe fino a 20 milioni di euro oppure fino al 4% del fatturato annuo (globale) per le società.
Ma non è finita qui, perché le sanzioni possono avere anche carattere commerciale, come il blocco all’utilizzo dei database di dati raccolti (ad esempio per l’invio della newsletter) o anche causare danni di immagine ingenti, tramite la pubblicazione nel Bollettino dell’Autorità Garante della Concorrenza e del Mercato, consultabile da consumatori e competitor.
| Avvocato dell’e-commerce: ecco cosa posso fare per l’informativa della privacy per il tuo sito
Redigere la privacy policy di un sito web, soprattutto nei casi in cui questo sia il riferimento di un business strutturato, non è un’attività semplice.
Come abbiamo visto, gli adempimenti sono parecchi e può bastare un piccolo dettaglio per andare al di fuori della compliance e incorrere in sanzioni pesanti (anche se tranquillamente evitabili).
La soluzione? Se qualcuno parla di copia e incolla sta sbagliando seriamente, un sito professionale deve avere assolutamente la sua informativa privacy personalizzata, completa e lecita e, in questo, affidarsi a un legale competente in materia è la scelta più intelligente da fare.
Per stare sereno devi assegnare questo task ai professionisti e continuare a concentrarti sul tuo business.
Sono a tua disposizione, qui c’è la sezione contatti.
Floriana Capone
L’Avvocato dell’Ecommerce
