Se gestisci un sito web o un App, saprai sicuramente che esiste l’obbligo di avere un’informativa privacy da sottoporre agli utenti i cui dati vengono raccolti e trattati tramite il sito o la tua app. Si tratta di un documento obbligatorio che tutela l’utente, in quanto serve a garantire che lui/lei possa comprendere e prevedere la “sorte” dei dati che lo/la riguardano. Attraverso questo documento, l’utente ha accesso ad una serie di informazioni, per esempio: come vengono trattati i suoi dati; per quale finalità; per quanto vengono conservati; a chi saranno comunicati e così via.
In questo articolo vedremo come creare un’informativa privacy e quali informazioni inserire per adeguare la propria presenza online aziendale (sito e app) alle leggi vigenti in materia di protezione dei dati degli utenti.
È obbligatoria?
Sì! L’informativa privacy è un documento che spiega le modalità e le finalità del trattamento dei dati agli utenti che utilizzano il sito web o l’app.
Questo obbligo è stato introdotto dal GDPR (General Data Protection Regulation), il regolamento europeo in materia di protezione dei dati personali entrato in vigore il 24 maggio 2016 e applicabile dal 25 maggio 2018. Il regolamento EU 2016/679 ha introdotto nuovi obblighi per le aziende, tra cui appunto l’informativa privacy. Vediamo di cosa si tratta e come redigerla per non incorrere in sanzioni.
Che cos’è e come deve essere?
L’informativa privacy è un documento obbligatorio che il titolare del trattamento deve fornire all’utente nel momento in cui questo entra in contatto con l’azienda (attraverso il sito web o l’app dell’azienda stessa).
Secondo gli artt.13 e 14 del GDPR quando il sito o l’app aziendale raccolgono dati dell’utente, il titolare del trattamento è obbligato a rendere disponibile una privacy policy in cui vengono indicate alcune informazioni in merito al trattamento dei dati, al loro periodo di conservazione o alle finalità del trattamento stesso.
Il titolare del trattamento deve prestare particolare attenzione alla formulazione della privacy policy, affinché questa garantisca un trattamento corretto e trasparente dei dati degli utenti.
In particolare, secondo l’art. 12 del GDPR, l’informativa privacy deve essere concisa, comprensibile e facilmente accessibile agli utenti. Inoltre, per non creare ambiguità, il documento deve essere scritto utilizzando un linguaggio chiaro e semplice.
L’informativa deve essere redatta in forma scritta, meglio se in formato elettronico. Tuttavia, se richiesto dall’interessato, le informazioni possono essere fornite anche oralmente.
Infine, ricordate che esistono 3 tipi di informativa:
- c.d. “diretta”: quando il titolare raccoglie i dati personali presso l’interessato – in questi casi l’informativa deve essere fornita al momento della raccolta diretta;
- c.d. “successiva”: quando il titolare raccoglie i dati personali dell’interessato presso altro titolare – in questi casi l’informativa deve essere fornita al momento della raccolta indiretta (tale ipotesi comprende anche la raccolta presso una fonte accessibile pubblicamente);
- c.d. “ulteriore”: quando le finalità del trattamento cambiano rispetto alle finalità per cui i dati sono stati inizialmente raccolti – in questi casi l’informativa deve essere fornita al momento della variazione di finalità.
Ora che abbiamo compreso quali requisiti deve rispettare l’informativa privacy, approfondiamo nel dettaglio quali sono le informazioni che deve contenere.
Cosa deve contenere?
Oltre ad essere concisa, chiara e facilmente comprensibile, la policy deve essere anche completa e deve riportare le informazioni necessarie a tutelare e proteggere i dati degli utenti. Per rispettare la normativa vigente, ecco cosa deve contenere l’informativa privacy:
- l’identità e i dati di contatto del titolare del trattamento, ossia del titolare del sito web o dell’app. Se presente, ti consigliamo di aggiungere anche i dati del responsabile della protezione dei dati (o DPO);
- le finalità del trattamento a cui sono destinati i dati personali (per esempio invio di comunicazioni di marketing);
- la base giuridica che legittima il trattamento stesso (può trattarsi di consenso, contratto, legittimo interesse, interesse pubblico, etc.);
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali raccolti;
- se esistente, l’intenzione di trasferire i dati personali a un paese terzo o a un’organizzazione internazionale e, in caso affermativo, attraverso quali strumenti;
- il periodo di conservazione dei dati personali. Questo deve essere deciso dal titolare del trattamento secondo il principio della limitazione della conservazione (puoi conservare i dati per un periodo non superiore rispetto alle finalità per le quali è stato effettuato il trattamento). Quando non è possibile indicare questo periodo con precisione, occorre segnalare i criteri adoperati per stabilire tale periodo di conservazione;
- quali sono i diritti degli utenti e come possono essere esercitati, secondo quanto riportato nel GDPR. Come ad esempio: il diritto di proporre reclamo all’autorità di controllo; il diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento; il diritto alla portabilità dei dati.
E se non mi adeguo?
Il GDPR prevede delle sanzioni a carico del titolare nel caso in cui non si offra l’informativa privacy. Tali sanzioni sono pari a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
In conclusione
In questo articolo abbiamo compreso come creare l’informativa privacy e quali informazioni inserire all’interno di questo documento. Oltre a questo obbligo, il GDPR ha introdotto altri adempimenti per le aziende, come: l’istituzione del registro dei trattamenti e la valutazione d’impatto (o Data Protection Impact Assessment); leggi i nostri articoli per saperne di più.
L’informativa privacy è un documento complesso da redigere, per questo è bene affidarsi a figure specializzate che abbiamo un’elevata competenza in materia di privacy policy e Data Protection. Grazie all’esperienza nel settore, il nostro team di esperti può fornirti una consulenza personalizzata in base alle tue esigenze: contattaci ora.