La creazione di un’informativa sulla privacy per il tuo sito web è un passo fondamentale per garantire la trasparenza e la conformità alle normative sulla privacy.
Di seguito ecco alcuni passi generali che puoi seguire per realizzare un’informativa sulla privacy efficace.
Specifichiamo che, prima di inserire delle informazioni scorrette nella privacy policy, il consiglio è di richiedere una consulenza a giuristi o legali specializzati, come ad esempio Remo Lenci o Legal for Digital.
Identificazione, nell’informativa privacy, delle informazioni raccolte nel sito web
Il primo passo fondamentale è riuscire a identificare le informazioni raccolte all’interno del sito web.
All’interno del sito web potrebbe essere presente un form per l’iscrizione alla newsletter, nel quale viene richiesto agli utenti nome e cognome oltre che un indirizzo email.
Inoltre potrebbe essere presente un form che permette agli utenti di contattare l’azienda e che raccoglie, ad esempio, anche il numero di telefono di chi lo compila.
Una volta che sono state identificati tutti i dati raccolti all’interno del sito web, si può procedere al punto successivo.
Perché i dati vengono raccolti
I dati raccolti possono essere utilizzati per diversi motivi: inviare comunicazioni commerciali, fornire dei servizi specifici.
In ogni form deve essere specificato come saranno utilizzati i dati raccolti, così che ci sia la trasparenza nei confronti dell’utente.
Anche l’informativa privacy del sito web deve specificare per quali finalità i dati raccolti vengono utilizzati.
Base giuridica
La base giuridica in un’informativa sulla privacy di un sito web indica la ragione legale per cui l’organizzazione raccoglie, tratta e utilizza le informazioni personali degli utenti.
In altre parole, rappresenta la giustificazione legale per il trattamento dei dati personali.
Ecco alcune basi giuridiche comuni che potrebbero essere citate in un’informativa sulla privacy:
- Consentimento:
Una base giuridica molto comune è il consenso dell’utente. Se l’utente acconsente esplicitamente alla raccolta e al trattamento dei suoi dati personali per determinati scopi, questa diventa la base giuridica. L’informativa sulla privacy dovrebbe spiegare come ottenere, registrare e gestire il consenso degli utenti.
- Esecuzione di un contratto:
Se la raccolta e il trattamento dei dati sono necessari per l’esecuzione di un contratto con l’utente, questa costituisce una base giuridica. Ad esempio, se stai vendendo prodotti online, la raccolta delle informazioni di pagamento è essenziale per l’esecuzione del contratto di vendita.
- Adempimento di obblighi legali:
In alcuni casi, la legge potrebbe richiedere la raccolta e il trattamento di determinate informazioni personali. La conformità a tali obblighi legali costituisce una base giuridica.
- Interessi legittimi:
Il trattamento dei dati può essere giustificato se è nell’interesse legittimo dell’organizzazione e non viola i diritti e le libertà fondamentali degli utenti. Questa base giuridica richiede una valutazione dell’equilibrio tra gli interessi dell’organizzazione e quelli degli utenti.
- Protezione della vita:
In situazioni in cui la vita di una persona è in pericolo, la raccolta e il trattamento dei dati personali possono essere giustificati per proteggere la vita umana.
- Esecuzione di un compito di interesse pubblico o nell’esercizio di pubblici poteri:
Alcune attività di trattamento dati possono essere giustificate se sono svolte nell’interesse pubblico o nell’esercizio di poteri pubblici conferiti all’organizzazione.
È importante che l’informativa sulla privacy sia chiara riguardo alla base giuridica su cui si basa l’organizzazione e spieghi in dettaglio perché è legittimo raccogliere e trattare le informazioni personali degli utenti.
La scelta della base giuridica dovrebbe essere coerente con le leggi sulla privacy applicabili nella tua giurisdizione.
Utilizzo delle informazioni
La sezione “Utilizzo delle informazioni” in un’informativa sulla privacy di un sito web è una parte cruciale in cui si spiega in dettaglio come l’organizzazione intende utilizzare i dati personali raccolti dagli utenti. Questa sezione fornisce trasparenza agli utenti sulle finalità per cui vengono trattati i loro dati e aiuta a stabilire un rapporto di fiducia tra l’utente e l’organizzazione.
Ecco alcuni aspetti importanti che potresti voler includere nella sezione “Utilizzo delle informazioni”:
- Scopi specifici:
Descrivi chiaramente gli scopi per cui le informazioni personali vengono raccolte e trattate. Ad esempio, potrebbero includere l’elaborazione degli ordini, la fornitura di servizi, la personalizzazione dell’esperienza dell’utente, l’invio di comunicazioni di marketing, la gestione dell’account utente, ecc.
- Comunicazioni di marketing:
Se prevedi di utilizzare i dati per finalità di marketing, informa gli utenti in merito. Specifica se invierai newsletter, offerte speciali o comunicazioni promozionali e come gli utenti possono gestire le loro preferenze.
- Condivisione con terze parti:
Se intendi condividere le informazioni con terze parti (come partner commerciali, fornitori di servizi o società di analisi), esplicita chiaramente questo fatto. Fornisci dettagli su chi sono queste terze parti e quali dati verranno condivisi.
- Personalizzazione dell’esperienza:
Se utilizzi i dati per personalizzare l’esperienza dell’utente, spiega come lo fai e quali benefici ciò comporta per l’utente.
- Miglioramento dei servizi:
Se raccogli dati per migliorare i tuoi servizi, spiega come intendi utilizzare queste informazioni per ottimizzare l’esperienza dell’utente.
- Prevenzione di frodi e sicurezza:
Se i dati vengono utilizzati per la sicurezza del sito o per prevenire frodi, spiega le misure adottate e come ciò beneficia gli utenti.
- Durata del trattamento:
Indica per quanto tempo intendi conservare le informazioni e spiega le ragioni dietro questa decisione.
- Decisioni automatizzate:
Se stai utilizzando sistemi automatizzati per prendere decisioni basate sui dati personali, informa gli utenti su questo aspetto e fornisce dettagli su come possono esprimere le proprie opinioni o contestare tali decisioni.
- Trasferimenti internazionali:
Se trasferisci dati al di fuori del paese in cui gli utenti risiedono, spiega come proteggi questi dati durante il trasferimento e assicurati di conformarti alle normative sulla privacy internazionali.
- Politica di retargeting:
Se utilizzi tecniche di retargeting per la pubblicità online, informa gli utenti su come funziona e come possono gestire le impostazioni di tracciamento pubblicitario.
Assicurati che la tua descrizione sia chiara, comprensibile e risponda alle domande potenziali degli utenti sul trattamento dei loro dati personali. La trasparenza in questa sezione è fondamentale per instillare fiducia tra gli utenti e dimostrare la tua conformità alle leggi sulla privacy.
Conservazione delle informazioni
In questa sezione dell’informativa privacy di un sito web gli utenti trovano una specifica per comprendere dove vengono conservati i dati degli utenti.
Ecco alcuni punti chiave che potresti voler includere in questa sezione:
- Periodo di conservazione:
- Indica il periodo di tempo per il quale i dati personali saranno conservati. Questo può variare in base alla natura dei dati e alle finalità del trattamento. Ad esempio, potresti conservare i dati dell’account utente per tutta la durata dell’account, mentre potresti conservare i dati di transazione solo per un periodo di tempo necessario per adempiere a obblighi legali o contrattuali.
- Motivazioni della conservazione:
- Spiega le ragioni per cui è necessario conservare i dati per il periodo indicato. Ad esempio, potresti dover mantenere certe informazioni per rispettare obblighi fiscali, risolvere dispute contrattuali o per motivi di sicurezza.
- Processi di anonimizzazione o pseudonimizzazione:
- Se possibile, descrivi se e come intendi anonimizzare o pseudonimizzare i dati personali una volta che non sono più necessari per le finalità per cui sono stati raccolti. Questa pratica può contribuire a proteggere la privacy degli utenti.
- Diritto all’oblio:
- Informa gli utenti del loro diritto di richiedere la cancellazione dei propri dati personali qualora non siano più necessari per le finalità per cui sono stati raccolti, a meno che non sussistano obblighi legali che richiedano la loro conservazione.
- Procedure di cancellazione:
- Fornisci dettagli sulle procedure che seguirai per eliminare in modo sicuro i dati personali al termine del periodo di conservazione. Ciò può includere la cancellazione fisica o l’eliminazione elettronica dei dati.
- Obblighi contrattuali e legali:
- Spiega se esistono obblighi contrattuali o legali che richiedono la conservazione dei dati per un periodo più lungo. Ad esempio, la legge potrebbe richiedere la conservazione di determinati documenti per scopi fiscali o legali.
Assicurati di rispettare le leggi sulla privacy applicabili nella tua giurisdizione in merito ai periodi di conservazione dei dati. La chiarezza in questa sezione è essenziale per informare gli utenti sulla gestione a lungo termine dei loro dati personali e dimostrare la tua conformità alle normative sulla privacy.
Diritti degli utenti
La sezione “Diritti degli utenti” in un’informativa sulla privacy di un sito web elenca e spiega i diritti che gli utenti hanno riguardo alle proprie informazioni personali. Questi diritti sono spesso previsti dalle leggi sulla privacy e mirano a dare agli utenti un controllo maggiore sulle informazioni che condividono con un’organizzazione. Ecco alcuni dei diritti comuni degli utenti che potrebbero essere inclusi in questa sezione:
- Diritto di accesso:
- Gli utenti hanno il diritto di richiedere e ottenere conferma se i loro dati personali sono in fase di trattamento e di accedere a tali informazioni. L’organizzazione dovrebbe fornire una copia dei dati personali oggetto di trattamento.
- Diritto di rettifica:
- Gli utenti hanno il diritto di richiedere la correzione di eventuali errori nei loro dati personali e di assicurarsi che le informazioni siano accurate e aggiornate.
- Diritto di cancellazione (o “diritto all’oblio”):
- Gli utenti hanno il diritto di richiedere la cancellazione dei propri dati personali, specialmente se i dati non sono più necessari per le finalità per cui sono stati raccolti o se sono trattati illegalmente.
- Diritto di limitazione del trattamento:
- Gli utenti hanno il diritto di richiedere la limitazione del trattamento dei loro dati personali in determinate circostanze, ad esempio, durante la verifica di accuratezza o legittimità di tali dati.
- Diritto alla portabilità dei dati:
- Gli utenti hanno il diritto di ricevere i loro dati personali in un formato strutturato, comunemente utilizzato e leggibile da dispositivo automatico, e hanno il diritto di trasmettere tali dati a un’altra organizzazione senza impedimenti.
- Diritto di opposizione al trattamento:
- Gli utenti hanno il diritto di opporsi al trattamento dei loro dati personali per motivi legati alla loro situazione particolare, a meno che l’organizzazione dimostri motivi legittimi per continuare il trattamento.
- Diritto di revocare il consenso:
- Se il trattamento dei dati si basa sul consenso, gli utenti hanno il diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basato sul consenso prima della revoca.
- Diritto a non essere soggetti a decisioni automatizzate:
- Gli utenti hanno il diritto di non essere soggetti a decisioni basate esclusivamente su trattamenti automatizzati, compresa la profilazione, che producono effetti giuridici significativi o li colpiscono in modo analogo in modo significativo.
- Diritto di presentare reclamo all’autorità di controllo:
- Gli utenti hanno il diritto di presentare reclami all’autorità di controllo competente se ritengono che il trattamento dei loro dati personali violi le leggi sulla privacy.
È importante che l’informativa sulla privacy fornisca informazioni chiare e comprensibili su come gli utenti possono esercitare questi diritti, inclusi i dettagli sui contatti per le richieste e le tempistiche previste per rispondere a tali richieste. La trasparenza su questi diritti contribuisce a costruire la fiducia degli utenti e a dimostrare la conformità alle leggi sulla privacy.
Sicurezza dei dati
La sezione “Sicurezza dei dati” in un’informativa sulla privacy di un sito web è fondamentale per informare gli utenti sulle misure di sicurezza adottate per proteggere le loro informazioni personali. Questa sezione dimostra l’impegno dell’organizzazione nei confronti della sicurezza dei dati e aiuta a costruire la fiducia degli utenti. Ecco cosa potresti voler includere in questa sezione:
Misure di sicurezza tecniche:
Descrivi le misure tecniche implementate per proteggere i dati personali dagli accessi non autorizzati o da utilizzi impropri. Queste misure possono includere l’uso di crittografia, firewall, protocolli di sicurezza web (HTTPS), ecc.
Misure di sicurezza organizzative:
Spiega le pratiche organizzative che contribuiscono alla sicurezza dei dati, come l’accesso limitato alle informazioni personali solo a dipendenti autorizzati e la formazione del personale sulla sicurezza dei dati.
Procedure di gestione degli accessi:
Illustra le procedure che governano l’accesso alle informazioni personali, inclusi i controlli di autenticazione e le autorizzazioni per garantire che solo le persone autorizzate possano accedere a tali dati.
Monitoraggio e rilevamento delle violazioni:
Spiega come l’organizzazione monitora costantemente l’accesso ai dati personali, rileva eventuali violazioni della sicurezza e reagisce prontamente per mitigare i rischi.
Backup e ripristino dei dati:
Descrivi le politiche e le procedure per il backup regolare dei dati e il ripristino in caso di perdita di informazioni o di interruzione dei servizi.
Valutazioni periodiche della sicurezza:
Indica se l’organizzazione sottopone regolarmente i propri sistemi e processi a valutazioni della sicurezza e se effettua aggiornamenti in base alle best practices del settore.
Collaborazione con fornitori di servizi sicuri:
Se l’organizzazione si avvale di servizi di terze parti, spiega come assicuri che anche questi fornitori rispettino standard elevati di sicurezza dei dati.
Comunicazioni in caso di violazione:
Informa gli utenti sulle procedure che saranno adottate nel caso in cui si verifichi una violazione della sicurezza dei dati, incluso il modo in cui verranno notificati e le azioni che potrebbero essere intraprese per mitigare i danni.
Consigli per la sicurezza degli utenti:
Fornisci consigli pratici agli utenti su come proteggere la propria sicurezza online, come l’uso di password robuste, l’aggiornamento regolare delle credenziali, l’evitare di condividere informazioni sensibili su reti non protette, ecc.
Conformità a standard di sicurezza:
Se applicabile, indica se l’organizzazione aderisce a standard di sicurezza riconosciuti, come ISO 27001, per dimostrare un impegno formale per la sicurezza dei dati.
Contatti per segnalare problemi di sicurezza:
Fornisci informazioni di contatto specifiche che gli utenti possono utilizzare per segnalare preoccupazioni o problemi legati alla sicurezza dei dati.
Assicurati di aggiornare regolarmente questa sezione in modo da riflettere qualsiasi modifica alle pratiche di sicurezza e di comunicare in modo proattivo agli utenti le misure che stai adottando per proteggere le loro informazioni personali. La trasparenza su questi aspetti contribuirà a costruire la fiducia degli utenti nel tuo sito web.
Altre voci necessarie nell’informativa privacy di un sito web
Oltre alle voci citate, in un’informativa privacy di un sito web è necessario inserire:
- Cookie e tecnologie simili: Spiega quali tipi di cookie o tecnologie di tracciamento vengono utilizzati, il loro scopo e come gli utenti possono gestire le impostazioni dei cookie.
- Modifiche all’informativa sulla privacy: Spiega che l’informativa può essere modificata e come gli utenti saranno notificati di tali modifiche.
- Contatti: Fornisci informazioni di contatto chiare per domande o preoccupazioni relative alla privacy.
Ultime accortezze per l’informativa privacy di un sito web
Ecco le ultime accortezze per avere un’informativa privacy che rispetti i criteri del GDPR, evitando eventuali sanzioni:
- Design e posizionamento: Assicurati che il link all’informativa sia facilmente visibile su tutte le pagine del sito, solitamente nell’intestazione o nel piè di pagina.
- Consenso: Se richiesto, assicurati di ottenere il consenso esplicito degli utenti prima di raccogliere o trattare le loro informazioni personali.
- Revisione legale: Consulta un professionista legale specializzato per garantire che l’informativa sia conforme alle leggi locali e internazionali.
- Pubblicazione: Assicurati di pubblicare l’informativa sulla privacy sul tuo sito web e di mantenerla aggiornata in caso di modifiche nella politica o nelle leggi sulla privacy.