Privacy policy: 10 caratteristiche (senza competenze legali)

Che cos’è l’informativa sulla privacy (o privacy policy), quando è obbligatoria e cosa deve contenere? In questo video ti racconto in dettaglio le caratteristiche del documento richiesto dal GDPR.
Non devi avere alcuna conoscenza specifica. Dai principi di base alle 10 caratteristiche necessarie per scrivere un’informativa sulla privacy, ti racconterò tutto, cercando di mantenere un linguaggio semplice, che non richieda competenze pregresse.
Questo è l’articolo numero 9 della serie dedicata alle PMI. In fondo a questa pagina trovi il video della puntata.

10% di sconto per iubenda

Ti interessa la soluzione iubenda? Premi il pulsante per avere uno sconto del 10% sull’acquisto di generatore di Privacy, generatore di Cookie Policy, Cookie Solution, Internal Privacy Management o Consent Solution.

Cosa è un dato personale per la privacy policy?

Iniziamo con una premessa generale. La privacy policy è necessaria se tratti i dati personali.
È un dato personale ogni dato in grado di identificare direttamente (o indirettamente) una persona fisica vivente.

L’identificazione diretta avviene ad esempio tramite nome e cognome, tramite l’indirizzo email diretto, ma non tramite quello generico dell’azienda.

Ad esempio: nome.cognome@azienda.it è un dato personale, mentre info@azienda.it non è un dato personale.

L’identificazione indiretta invece avviene ad esempio incrociando l’indirizzo IP (cioè il dispositivo utilizzato, che permette di identificare anche la zona geografica) con la cronologia di navigazione.

Sapere che da una certa azienda, per un mese alla stessa ora, qualcuno ha cercato informazioni su “come rimuovere un tatuaggio se hai i capelli viola” (nulla contro i tatuaggi o i capelli viola ovviamente), queste informazioni possono permettere di identificare la persona.

Ribadisco quindi che, l’indirizzo email aziendale che contiene il nome di una persona deve essere considerato un dato personale (anche in ambito B2B), mentre l’indirizzo email generico non lo è.

Leggi anche: chi visita il mio sito web? Come le aziende B2B possono sapere chi sono i potenziali clienti che visitano il loro sito

Per approfondire (ultimo paragrafo del comma 2.2)
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2542348

Chi deve compilare la privacy policy

Prima di affrontare la scrittura della privacy policy, è importante capire se devi crearla. Chi deve creare la privacy policy quindi?

Provo a darti una risposta pragmatica. So che non è una risposta esaustiva, ma credo sia la più efficace in questo caso.
Se la tua azienda ha sede in Italia e sul tuo sito raccogli dati personali tramite ad esempio un modulo di contatto, allora devi pubblicare la privacy policy.

I dati personali vengono raccolti ormai nella quasi totalità dei siti, anche in assenza di un modulo di contatto. Se vuoi approfondire ti suggerisco di dare un’occhiata all’intervista che mi ha rilasciato iubenda, nella quale vado ad analizzare diversi aspetti relativi al tema della privacy sul sito aziendale.

Perchè devo creare una privacy policy?

Se la tua azienda tratta dati personali, allora è tenuta a fare 3 cose:

  1. informare l’utente in merito a come tratterà i suoi dati
  2. proteggere i dati personali dell’utente
  3. gestire opportunamente la raccolta e la revoca del consenso a tale trattamento

Obiettivo della privacy policy è informare l’utente. Perchè solo un utente informato può esprimere un consenso valido. Pertanto, se la privacy policy non è chiara, il consenso che viene rilasciato dall’utente può essere considerato non valido e questo – a cascata – può impattare su tutti i processi che si basano sui dati raccolti.

La privacy policy ha l’obiettivo di rendere valido il consenso fornito dall’utente

Nota che il documento di privacy policy copre solo una parte degli obblighi ai quali è sottoposta un’azienda da parte del GDPR. Il Regolamento Generale sulla Protezione dei Dati obbliga ad esempio l’azienda ad informare le autorità entro 72 ore da una perdita di dati (cosiddetto data breach). Questi sono aspetti che non vengono coperti nè in questo articolo in particolare, nè nella serie in generale.

Finalità: perché chiedo i dati all’utente?

Altro punto fondamentale della privacy policy è quello della finalità.

L’utente esprime il consenso per singole finalità

Quando un utente ti invia dei dati e tu vuoi utilizzare quei dati per diversi obiettivi, come ad esempio, contattare l’utente, iscriverlo alla tua mailing list che utilizzi per la newsletter e magari farlo anche partecipare ad un sondaggio, devi (D-E-V-I) inserire sotto il modulo tre caselle di selezione (checkbox o caselle di spunta) differenti. Una per ogni singola finalità.

E solo una di queste può essere obbligatoria, in particolare quella per la quale l’utente sta effettivamente compilando il modulo. Le altre devono necessariamente essere opzionali.

Base Giuridica: devo sempre chiedere il consenso all’utente?

Immagina di dover cuocere degli asparagi? Come puoi fare? Beh, li puoi far bollire, o li puoi gratinare in forno (credo ?), li puoi cuocere al vapore o ancora nel microonde. Ottieni sempre una cottura, ma in modalità differenti.

Ecco, il consenso che noi chiediamo all’utente è solo uno dei modi che ci permettono di poter trattare legalmente i suoi dati personali. Il consenso è una delle basi giuridiche previste dal GDPR.

Così come esistono diversi metodi di cottura, allo stesso modo, esistono diverse basi giuridiche. Magari il paragone è un po’ azzardato, ma dovrebbe rendere il concetto.

Pertanto, la risposta alla domanda di questo paragrafo (devo sempre chiedere il consenso all’utente?) è NO. Non devi sempre chiedere il consenso, anche se per utilizzare le altre basi giuridiche è opportuno avere una consulenza legale specifica.

Cosa devo scrivere nella privacy policy?

La privacy policy deve contenere obbligatoriamente 9 elementi più possedere una decima caratteristica. Vediamole singolarmente.

1. Titolare dei dati

Ogni privacy policy deve contenere obbligatoriamente un riferimento al titolare dei dati. Bisogna inserire il nome dell’azienda e la sede legale e in generale le informazioni che permettano ad un utente di poter individuare con semplicità il titolare dei dati.

2. Elenco dei dati trattati

Formalmente il GDPR ci obbliga ad inserire almeno le categorie di dati trattati. Tuttavia il principio di trasparenza del GDPR ci invita ad andare oltre, indicando – in questo caso – proprio l’elenco dei dati raccolti e trattati.

Ne ho parlato un po’ più in dettaglio qui.

3. Base giuridica

Di base giuridica te ne ho già parlato qui sopra. All’interno della privacy policy va comunque specificata qual è la base giuridica sulla quale vengono trattati i dati.

4. Finalità

Anche di finalità ti ho già parlato. Prima te ne ho parlato in riferimento ad un modulo di contatto e rispetto alla base giuridica del consenso. In altre parole, chiedo il consenso all’utente per una specifica finalità.

In generale però, nel documento di privacy policy, devi specificare tutte le finalità per le quali puoi trattare i dati dell’utente.

Lo specifico ancora una volta per evitare malintesi. Nella privacy policy devi specificare tutte le finalità. Ma il semplice fatto di elencare una finalità non significa che tu sia autorizzato ad applicarla. Dipende dalla base giuridica utilizzata per quella specifica finalità.

E se, come sarà nella maggior parte dei casi, quella base giuridica è il consenso, l’utente dovrà avertelo dato per ogni singola finalità.

5. Terze parti

Quali sono le terze parti che hanno accesso ai dati dell’utente? Questo è un aspetto fondamentale della privacy policy e troppo spesso implementato nel modo sbagliato. Ne ho parlato in modo dettagliato qui, dove spiego esattamente chi va citato.

Ad ogni modo, per “terze parti” si intende tutti quei soggetti – esterni all’azienda – che non hanno un rapporto diretto con il titolare dei dati. In altre parole, quei soggetti che non sono stati autorizzati direttamente dal titolare tramite un contratto specifico.

6. Trasferimento dei dati all’estero

Se i dati degli utenti vengono trasferiti ad altre aziende, devi inserire il nome dell’azienda e la nazione nella quale i dati saranno trattati. In particolare quando queste aziende sono fuori dai territori protetti da GDPR.

E per questo specifico tema ti invito ad approfondire qui.

7. I diritti degli utenti

Settimo elemento da inserire nella privacy policy è l’elenco dei diritti dei tuoi utenti. Gli utenti, possono far valere i propri diritti nei confronti del titolare dei dati e questi diritti vanno riportati nel documento.

I diritti degli utenti sono:

  • revoca: per togliere il consenso in ogni momento
  • opposizione: per basi giuridiche diverse dal consenso, l’utente può opporsi al trattamento dei propri dati
  • accesso: l’utente può avere accesso ad una copia dei dati trattati
  • rettifica: l’utente può chiedere che i propri dati vengano aggiornati
  • limitazione: in alcune condizioni l’utente può in qualche modo impedire che i propri dati vengano trattati, pur senza chiederne la cancellazione. Il titolare dovrà in questi casi limitarsi a conservare i dati
  • cancellazione: uno dei diritti più noti, ossia quello per il quale l’utente può richiedere che i propri dati vengano cancellati dagli archivi dell’azienda
  • trasferimento (o portabilità): questo è stato invece uno dei diritti che ha probabilmente avuto più impatto sulle piattaforme digitali. L’utente deve poter trasferire i propri dati verso un altro fornitore. Deve quindi poterli tutti e in un formato interscambiabile (tipicamente xml). Tutte le piattaforme ormai soddisfano questo requisito, da WordPress a Facebook.
  • reclamo: l’utente ha il diritto di inviare un reclamo all’autorità di controllo… e questo diritto va inserito nella privacy policy

8. Modalità di aggiornamento

Questa è un’informazione tanto semplice quanto spesso omessa. Come prevedi di informare i tuoi utenti rispetto al fatto che il documento di privacy è stato aggiornato?

Nella maggior parte dei casi le aziende non devono costruire chissà quali meccanismi di informazione. Non si è obbligati a mandare una mail agli utenti per informarli che la privacy policy è stata aggiornata. L’obbligo previsto dal GDPR è solo quello di informare gli utenti in merito alla modalità con la quale loro possono sapere che la privacy policy è cambiata.

Ecco, basta indicare nella privacy policy che nel documento sarà riportata la data di ultima modifica e che pertanto “si prega di consultare con frequenza questa pagina”.

9. Data di ultima modifica

Ed ecco che infatti l’ultima caratteristica obbligatoria è proprio la data di ultima modifica.

10. Chiarezza (extra)

Il decimo elemento di cui ti parlo, non è un contenuto che deve essere obbligatoriamente presente, ma una caratteristica richiesta dal GDPR. Il regolamento infatti ci obbliga a scrivere una privacy policy chiara e comprensibile.
In altri termini, niente “legalese”. Gli utenti devono poter comprendere il senso del documento.

Il video della puntata

Tutte le puntate | Il video successivo