menu

Informativa sulla privacy: come scriverla in modo corretto e a norma di legge

“Privacy policy”, “informativa sul trattamento dei dati personali” e “GDPR policy”: sono i diversi modi di chiamare l’informativa sulla privacy di un sito web o di un’app, ovvero il documento con cui gli utenti vengono informati sulle finalità e modalità di trattamento dei loro dati personali.

 

Avere una privacy policy scritta in modo corretto, chiaro e trasparente è molto importante, ed è un obbligo di legge. Con l’entrata in vigore della GDPR, non dare informazioni su come vengono trattati i dati degli utenti o fornirle in modo incompleto o errato può costarti fino a 20 milioni di euro oppure fino al 4% del tuo fatturato mondiale annuale (tenuto conto del singolo caso, della natura, gravità, durata della violazione, etc.; se vuoi approfondire, ti consigliamo questo articolo).

 

Informativa sulla privacy: come si usa e cosa contiene

L’informativa sulla privacy si usa per comunicare agli utenti le informazioni previste dalla legge  per i siti web e per le applicazioni desktop o mobile. Potrà essere usata per qualsiasi tipologia di servizio fornito agli utenti (ad es. blog, e-commerce, siti di informazione, e-marketplace, etc.) e per qualunque finalità di trattamento dei dati.

 

Per  legge, l’informativa sulla privacy deve essere sempre comprensibile anche agli utenti di altri paesi: se tramite il tuo sito web o la tua app offri prodotti o servizi anche ad utenti stranieri, dovrai creare una versione della privacy policy anche in lingua inglese (o comunque nelle lingue in cui è disponibile il sito o l’app) per facilitarne la consultazione.

 

Per soddisfare tutti i requisiti richiesti dalla legislazione vigente, l’informativa sulla privacy deve contenere le seguenti informazioni.

 

> Tipologie di dati personali raccolti: l’utente deve poter scegliere se autorizzarti o meno al trattamento dei dati volontariamente forniti (dati di contatto, informazioni, contenuti, dati sensibili, dati raccolti da social media, etc.) e/o di quelli acquisiti automaticamente (dati di utilizzo, dati di geolocalizzazione, dati raccolti tramite cookie, etc.);

> Finalità del trattamento: devi elencare gli scopi per cui raccogli i dati personali degli utenti (ad es. fini statistici, profilazione dell’utente, gestione dei pagamenti, etc.).

> Modalità del trattamento: devi indicare gli strumenti elettronici o manuali con i quali raccogli i dati, in che modi li organizzi e quali misure di sicurezza adotti per impedire l’accesso, la divulgazione, la modifica o la distruzione non autorizzata dei dati;

> Destinatari terzi: se comunichi i dati personali degli utenti a terze parti, devi informare gli utenti sui nomi di questi soggetti e sulle categorie economiche o merceologiche di appartenenza (ad es. marketing, trasporto, etc.) e devi ottenere il loro consenso;

> Base giuridica del trattamento: se il trattamento è basato sul consenso, sulla legge, su un contratto o è necessario per concludere un contratto;

> Luogo: devi indicare dove i dati vengono trattati e se vengono trasferiti in un paese extra UE;

> Periodo di conservazione dei dati: devi specificare per quanti anni i dati vengono conservati (anche dopo l’eventuale cessazione del rapporto con l’utente);

> Diritti esercitabili dagli utenti: devi inserire un elenco dettagliato di cosa gli utenti  possono fare rispetto ai loro dati (ad esempio chiederne la rimozione, la cancellazione, la trasformazione in forma anonima o il blocco);

> Processi decisionali automatizzati: devi chiarire se vengono utilizzate procedure automatiche, come quelle per la profilazione;

> Dati identificativi del titolare del trattamento e/o del responsabile della protezione dei dati (DPO): devi inserire tutti i dati per identificare e contattare chi determina le finalità e i mezzi del trattamento di dati personali (solitamente il Titolare è il proprietario o il gestore del sito web o dell’applicazione). Se nominato, va indicato anche il responsabile della protezione dei dati.

> Selezione della lingua: il documento deve essere consultabile anche in inglese (o in altre lingue) nel caso in cui gli utenti siano anche stranieri.

 

La Privacy Policy è solo uno degli adempimenti previsti dalla GDPR.
Se vuoi approfondire l’argomento, ti consigliamo di leggere:

> GDPR e aziende: 10 cose da fare per preparare il tuo business

> Diritto all’oblio: quali novità con il GDPR?

> Protezione dei dati personali: come agire per tutelare i propri diritti

 

Facci sapere se possiamo esserti d’aiuto.

Devi predisporre l’informativa sulla privacy per il tuo sito web o la tua app?
Ti serve assistenza legale su questioni legate alla GDPR e al trattamento dei dati personali?

Contattaci per una consulenza gratuita.