Un’informativa sulla privacy per il proprio sito web
Un’informativa sulla privacy è una spiegazione per iscritto delle misure applicate da un’azienda o un’organizzazione, per garantire la sicurezza e l’utilizzo a norma di legge dei dati dei clienti e degli utenti rilevati e registrati dal momento dell’accesso al sito. Inoltre tale informativa serve anche a mettere l’utente al corrente dei metodi di raccolta, archiviazione e del successivo utilizzo dei dati, inclusa la fornitura a soggetti terzi.
In quali casi è obbligatoria l’informativa sulla privacy?
Un’informativa sulla privacy è una spiegazione per iscritto delle misure applicate da un’azienda o un’organizzazione, per garantire la sicurezza e l’utilizzo a norma di legge dei dati dei clienti e degli utenti rilevati e registrati dal momento dell’accesso al sito. Inoltre, tale informativa serve anche a mettere l’utente al corrente dei metodi di raccolta, archiviazione e del successivo utilizzo dei dati, inclusa la fornitura a soggetti terzi.
La legge sulla privacy è ovunque piuttosto complessa. I gestori di siti e online shop, durante la preparazione di un’informativa sulla protezione dei dati, devono tenere in conto il loro obbligo d’informazione, in base al d.lgs. n. 196 sul “Codice in materia di protezione dei dati personali”, che prevede vengano fornite ai soggetti interessati le informazioni in merito al trattamento dei propri dati personali. Vale a dire che colui che eroga i servizi deve descrivere in modo chiaro e preciso come avviene il processo di raccolta dati, se per esempio vengono memorizzati solo nome utente e indirizzo e-mail o anche altri dati.
Al giorno d’oggi è praticamente impossibile gestire un sito web senza raccolta di dati, perciò in ogni sito web dovrebbe anche essere presente un’informativa sulla privacy. Questo vi aiuterà aIn questo modo siete a norma di legge prevenire gli avvertimenti e a fornirefornite un importante servizio ai vostri visitatori.
Per molto tempo non è stata chiara la legislazione in materia di indirizzi IP. La corte europea ha però stabilito che, tramite il provider Internet, è possibile risalire da un indirizzo IP a dati reali di una persona. Perciò anche questi rientrano tra le informazioni personali.
Mentre la funzione della raccolta dati in un negozio online e la necessità dell’informativa sulla protezione sono facilmente comprensibili, in altri siti la situazione sembra piuttosto diversa. Vengono raccolti e memorizzati automaticamente diversi dati, spesso addirittura senza che il gestore ne sia consapevole: server web protocollano indirizzi IP nei file di log, i pulsanti social media collegati forniscono informazioni personali ai social network e anche i cookie memorizzano informazioni sull’utente e sul suo comportamento sul web.
Un tema ancora scottante è quello che riguarda gli strumenti di analisi web come Google Analytics, che protocollano il traffico di dati. Questo strumento di Google è particolarmente problematico per quanto riguarda la legge sulla protezione dei dati, in quanto gli indirizzi IP dell’utente vengono memorizzati su server statunitensi.
Per non dover chiedere all’utente il consenso necessario, i gestori di siti web possono provvedere all’abbreviazione dell’indirizzo IP togliendo le ultime cifre, facendo in modo che non si possa risalire precisamente alla persona.
Quali sono le conseguenze dell’assenza dell’informativa sulla privacy?
Prima dell’entrata in vigore del GDPR la presentazione di un’informativa sulla protezione dei dati personali incompleta o assente era punibile con sanzioni dai 6.000 ai 36.000 euro, come stabilito dal d.lgs 196/03, importo raddoppiabile in base alla gravità della violazione della legge.
A partire dalla metà del 2018, come riportato dal Garante della Privacy, chi omette completamente l’informativa sulla privacy o ne fornisce una inidonea sarà punito con la sanzione amministrativa pecuniaria stabilita dall’articolo 83, paragrafo 5, lett. b) del Regolamento (UE) 2016/679, corrispondente a un massimo di 20 milioni di euro o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Il 25 maggio 2018 è entrato in vigore il Regolamento generale sulla protezione dei dati dell’UE. Nell’articolo vi riassumiamo le informazioni più importanti. Inoltre, nella nostra checklist per il GDPR scoprite a cosa devono fare attenzione le aziende e i gestori dei siti in futuro. Invece, da anni è in discussione il Regolamento ePrivacy con cui verrà regolata ulteriormente la comunicazione online.
Contenuto e integrazione dell’informativa sulla protezione dei dati personali
In qualità di gestori di un sito siete obbligati a informare gli utenti sulla raccolta e sulla protezione di dati personali a partire dal momento in cui gli utenti iniziano a utilizzare il vostro sito. In pratica però su un sito web diventa spesso difficile fornire in modo sufficiente queste informazioni mentre si raccolgono i dati. Per questo motivo è buona prassi quella di rendere l’informativa sulla privacy facilmente accessibile da ogni pagina del vostro sito web, così come per l’impressum se presente.
Il modo migliore per farlo è quello di dedicarle una pagina, raggiungibile da qualunque altra pagina del sito attraverso un collegamento. Inoltre, bisogna prestare attenzione al fatto che tali link non vengano coperti o nascosti da banner vari e che l’informativa sia ben visualizzabile e leggibile da diversi tipi di browser e dispositivi (PC, tablet, smartphone, ecc.).
Un altro importante aspetto è che l’informativa sulla privacy sia formulata in maniera precisa, trasparente e comprensibile, evitando per esempio termini tecnici e giuridici. In base alla propria cerchia di clienti o utenti, è importante che le informazioni vengano messe a disposizione non solo in italiano, ma anche nelle lingue degli utenti interessati. Le dichiarazioni dell’articolo 12 del GDPR sono decisive su questo punto. Inoltre, è consigliabile dare una struttura chiara a questa informativa e usare elementi come elenchi o tabelle in modo che gli utenti possano scorrere rapidamente il contenuto.
Da un punto di vista contenutistico è invece importante badare alla correttezza e alla completezza delle informazioni. Se fino adesso non era del tutto chiaro quali fossero le informazioni imprescindibili, l’articolo 13 del GDPR fornisce un catalogo generale degli obblighi e delle informazioni aggiuntive che non possono mancare nell’informativa sulla privacy.
Dati di contatto dei responsabili
È importante includere i dati di contatto dell’azienda e delle persone responsabili dell’elaborazione dei dati personali degli utenti. Oltre ai nomi è necessario riportare un indirizzo postale valido così come un indirizzo e-mail e un numero telefonico. Se la sede dell’azienda o del responsabile del sito è al di fuori dell’Unione Europea è necessario indicare anche i dati di contatto dei responsabili. Il relativo paragrafo della vostra informativa sulla privacy potrebbe assomigliare all’esempio riportato qui di seguito.
Esempio di dati di contatto
Il responsabile della protezione dei dati conformemente al Regolamento generale sulla protezione dei dati e alle leggi nazionali sulla privacy è:
Nome dell’azienda/del responsabile
Indirizzo postale
CAP Città
Paese
Tel.: numero di telefono
E-Mail: indirizzo e-mail
Dati di contatto del responsabile della protezione dei dati
Se all’interno della vostra azienda il numero di persone addette all’elaborazione automatizzata dei dati è superiore alle venti unità o se l’attività principale dell’azienda stessa è legata alla trasmissione commerciale di dati personali, allora siete obbligati a indicare un responsabile della protezione dei dati. Lo stesso vale anche quando lavorate con particolari categorie di dati personali, come l’orientamento politico, la fede religiosa o l’origine etnica. In ciascuno di questi casi è necessario indicare i dati di contatto della persona responsabile, che può essere sia interna che esterna all’azienda.
Esempio di dati di contatto del responsabile della protezione dei dati
Il responsabile della protezione dei dati dell’azienda è:
Nome del responsabile
Azienda del responsabile (nel caso si tratti di una ditta esterna)
Indirizzo
CAP Città
Paese
Tel.: numero di telefono
E-Mail: indirizzo e-mail
Fondamenti giuridici dell’informativa
È vostro dovere informare gli utenti riguardo ai fondamenti giuridici per la rilevazione e l’elaborazione dei dati personali. A questo scopo è necessario che si verifichi una delle condizioni dell’articolo 6 del GDPR:
- L’interessato ha dato il proprio consenso.
- L’elaborazione dati è necessaria per adempiere a un contratto tra voi e la persona interessata o per l’esecuzione di azioni precontrattuali.
- Il responsabile adempie a un dovere legale al quale sottostà.
- L’elaborazione serve alla protezione di interessi di valore vitali dell’interessato o di un’altra persona.
- L’elaborazione serve l’interesse pubblico.
- L’elaborazione è necessaria per garantire interessi legittimi del responsabile o di un soggetto terzo (sempre ammesso che non vengano inficiati i diritti di base e di libertà dell’interessato).ella persona interessata, allora la base giuridica è l’articolo 6 paragrafo 1 comma 1f del GDPR.
Esempio di indicazione dei diritti di base
Se per l’elaborazione dei dati personali è richiesto il consenso da parte della persona interessata, allora la base giuridica è l’articolo 6 paragrafo 1 comma 1a del GDPR.
Se l’elaborazione dei dati personali è richiesta per la compilazione di un contratto con la persona interessata o per misure precontrattuali disposte a favore dell’interessato, allora la base giuridica è l’articolo 6 paragrafo 1 comma 1b del GDPR.
Se l’elaborazione dei dati è il risultato di un obbligo giuridico al quale l’azienda è sottoposta, allora la base giuridica è l’articolo 6 paragrafo 1 comma 1c del GDPR.
Se l’elaborazione dei dati personali avviene con il fine di proteggere gli interessi d’importanza vitale della persona interessata o di un’altra persona fisica, allora la base giuridica è l’articolo 6 paragrafo 1 comma 1d del GDPR.
Se l’elaborazione dei dati serve a un compito di pubblico interesse o all’esercizio della forza pubblica, allora la base giuridica è l’articolo 6 paragrafo 1 comma 1e del GDPR.
Se l’elaborazione dei dati personali è necessaria per garantire gli interessi del responsabile o di un soggetto terzo senza che vengano messi a rischio gli interessi, i diritti fondamentali e la libertà di base della persona interessata, allora la base giuridica è l’articolo 6 paragrafo 1 comma 1f del GDPR.
Finalità dell’elaborazione dei dati
All’interno della vostra informativa sulla privacy, oltre ai fondamenti giuridici, dovete addurre anche gli obiettivi per l’elaborazione delle relative informazioni personali. Dunque, per una maggiore trasparenza, è consigliabile rendere di pubblica conoscenza anche tutte le componenti del vostro progetto web che raccolgono dati, ad esempio:
- Moduli di contatto
- Registrazione alla newsletter
- Campi di immissione dati (ad esempio i dati bancari all’interno del carrello degli acquisti)
- Codici per il tracciamento
- Plug-in di terze parti (ad esempio i pulsanti social)
- Contenuti di terzi (ad esempio video YouTube)
- Giochi a premi
- Cookie
Se si decide di inserire contenuti esterni, in futuro sarà necessario prestare ancora maggior attenzione: il GDPR rende più rigido l’obbligo di informare i clienti prima che avvenga l’elaborazione dei loro dati. Molti contenuti di provider terzi come, ad esempio, i video YouTube trasmettono solitamente i dati già dall’apertura del sito web. Google ha già reagito implementando il suo “Programma di protezione avanzata“ nelle opzioni di incorporazione di YouTube. Attivando questo programma, viene generato un codice di incorporazione che invierà i dati solo dopo che il video viene realmente visualizzato.
Nel caso in cui la base giuridica della raccolta e dell‘elaborazione dati sia il già menzionato articolo 6 paragrafo 1 lettera f del GDPR, allora dovreste mettere per iscritto anche i vostri legittimi interessi. Successivamente dovreste accertarvi di garantire nel miglior modo possibile gli interessi e i diritti dei vostri utenti. Obiettivi tipici possono essere l’analisi del comportamento dei visitatori finalizzata all’ottimizzazione del sito web, oppure orientata a fornire contenuti personalizzati o ad attuare misure di marketing.
Esempio per l’indicazione degli obiettivi dell’elaborazione dati
Al fine di rendere la vostra visita il più piacevole possibile e offrire tutte le funzioni disponibili, raccogliamo una serie di dati e informazioni del dispositivo con il quale avete effettuato l’accesso al nostro sito web. I dati interessati sono i seguenti:
- Indirizzo IP
- Sistema operativo
- Tipo e versione del browser
- Data e ora dell’accesso
- (altri)
I dati raccolti non vengono utilizzati per scopi di marketing.
I riceventi o le categorie di riceventi dei dati personali
Nell’informativa sulla privacy siete anche tenuti a informare i vostri utenti dell’eventuale inoltro a parti terze dei dati raccolti, come ad esempio i servizi di pagamento nel caso in cui gestiate un negozio online.
Allo stesso modo va fatto riferimento all’implementazione di cookie di fornitori terzi e di estensioni di terze parti, nel caso in cui il loro utilizzo sia legato alle informazioni personali. A questo riguardo vanno menzionati i codici per il tracciamento delle attività e i pulsanti social. In entrambi i casi potete fare riferimento a un interesse legalmente valido, per renderne lecito l’utilizzo. Tuttavia, è consigliabile richiedere comunque il benestare del visitatore e nel caso dei pulsanti social utilizzare assolutamente un procedimento rispettoso della protezione dei dati, come ad esempio la cosiddetta two-click solution.
Inoltre vanno citati come riceventi anche i servizi pubblicitari come Google AdSense o AdWords, sempre che li utilizziate per supportare e finanziare il vostro progetto.
Esempio di indicazione dei provider terzi integrati (come il plug-in di Facebook)
Questo sito web utilizza un social plug-in di Facebook, sviluppato e gestito da Facebook Inc. (1 Hacker Way, Menlo Park, California 94025 USA) e riconoscibile tramite il logo di Facebook. Il plug-in, appena attivato con un clic sul rispettivo pulsante, stabilisce una connessione diretta tra il vostro browser e i server di Facebook. Noi non abbiamo alcuna autorità sulla natura e l’estensione dei dati che vengono inviati a Facebook Inc. Seguite questo link per leggere la dichiarazione di Facebook al riguardo: https://it-it.facebook.com/help/186325668085084.
Se avete in mente di inoltrare dati personali a un destinatario in un paese terzo o a un’organizzazione attiva a livello internazionale, questa intenzione andrebbe dichiarata a questo punto nella vostra informativa sulla privacy.
Durata dell’archiviazione dei dati
Per rendere l’elaborazione dei dati il più corretta e trasparente possibile, dovreste rendere nota la durata dell’archiviazione dei dati personali. Se non è possibile sarà sufficiente indicare i parametri che influenzano l’archiviazione dei dati. Quindi potete fare dichiarazioni concrete per quel che riguarda la memorizzazione di indirizzi IP (anonimi) nei file di log, se ad esempio avete previsto una cancellazione dopo un lasso di tempo prestabilito. Se invece lavorate con cookie che rendono identificabili gli utenti solo per il tempo della loro visita al vostro sito, l’archiviazione dei dati dipende dalle singole visite da parte degli utenti.
Esempio per l’indicazione dei tempi di archiviazione
Tutti i dati personali che abbiamo raccolto attraverso l’utilizzo di cookie di sessione saranno cancellati automaticamente non appena sarà stato realizzato il fine originale per il quale sono stati rilevati. I dati di sessione saranno mantenuti fino al termine della vostra sessione (lasciando o chiudendo le pagine del nostro sito web).
I vostri utenti vanno sempre informati nel caso in cui i server sui quali archiviate i dati si trovino fuori dal territorio italiano, riportando anche informazioni riguardanti le norme sulla protezione dei dati personali nel paese di riferimento, soprattutto se all’infuori dell’Unione europea.
Informazioni sui diritti degli interessati
Tutti gli utenti di cui vengono raccolti dati possiedono una serie di diritti denominati anche diritti degli interessati. L’articolo 15 del GDPR “Diritto di accesso dell’interessato” stabilisce il diritto di ottenere informazioni dettagliate riguardo ai fini dell’elaborazione dati, ai possibili destinatari dei dati, all’origine e alla durata di archiviazione. Oltre a questo gli utenti hanno anche il diritto di rettifica grazie all’articolo 16 e, nel caso si presentino determinate circostanze, il diritto alla cancellazione dei dati personali, anche denominato “diritto all’oblio”.
Esempio di riferimento dei diritti degli interessati
Stando a quanto stabilito dal GDPR contate come interessati nel momento in cui elaboriamo i vostri dati personali. Per questo motivo potete approfittare di diversi diritti degli interessati centrali al Regolamento in materia di protezione dei dati personali. Nello specifico si tratta del diritto di accesso dell’interessato (Articolo 15), il diritto di rettifica (Articolo 16), il diritto all’oblio (Articolo 17), il diritto di limitazione di trattamento (Articolo 18), il diritto di opposizione (Articolo 21), il diritto di proporre reclamo all’autorità di controllo (Articolo 77) e il diritto alla portabilità dei dati (Articolo 20).
Spiegazione sui doveri giuridici o contrattuali sul rilevamento dei dati
I vostri utenti devono sempre essere messi al corrente nel caso in cui la fornitura dei dati personali è prevista giuridicamente o contrattualmente o necessaria per la chiusura di un contratto. Inoltre è necessario rendere noto le conseguenze dell’omissione dei dati.
Esempio per la spiegazione riguardo all’obbligo di rilevamento dei dati
La raccolta dei vostri dati personali è imprescindibile per la chiusura di un contratto così come per l’adempimento di doveri e prestazioni di servizi previsti da contratto. Non fornendo le informazioni necessarie risulta impossibile sia la corretta chiusura di un contratto che ulteriori prestazioni contrattuali.
Istruzioni sull’utilizzo di processi decisionali automatizzati (incluso il profiling)
Se utilizzate processi decisionali automatizzati, incluso il profiling (in italiano: “profilazione”), siete costretti a fare dichiarazioni chiare riguardo alla logica che ne sta alla base. Si tratta principalmente di identificare l’entità e l’impatto desiderati che questi processi di elaborazione dei dati hanno sulle persone interessate. Alla base vi è il fatto che i vostri utenti hanno il diritto “di non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona“ (Articolo 22 del GDPR).
Tuttavia questo diritto non vale se il processo automatizzato è necessario per la chiusura del contratto o per la sua compilazione, se le normative europee o dei singoli Stati membri lo permettono o se avviene con il consenso della persona interessata.
Esempio per l’indicazione dei processi decisionali automatizzati
Prima della chiusura del contratto effettuiamo una verifica della solvibilità completamente automatica per stabilire la vostra affidabilità creditizia tramite…
RGPD: riepilogo dei punti più importanti del regolamento europeo
Il Regolamento generale sulla protezione dei dati rende la privacy nei paesi dell’Unione europea più trasparente, più comprensibile e più sicura. La necessità di un’informativa completa e correttamente redatta rappresenta la parte centrale, in modo particolare per i gestori di siti web che hanno spesso a che fare con una grandissima quantità di dati personali diversi tra loro. Se avete redatto un’informativa sulla privacy ancora secondo il vecchio modello, a rappresentare le maggiori novità tra i punti sopra elencati saranno la rivelazione delle basi giuridiche e i riferimenti ai diritti degli utenti.
Naturalmente questi due aspetti non sono le uniche differenze rispetto ai vecchi modelli. In quanto responsabili avete più che mai il compito di chiarire il senso e l’obiettivo della vostra elaborazione dati e farlo in maniera che ai vostri utenti non rimangano dubbi di alcun tipo. Nel caso in cui questo capiti, ovvero che i vostri utenti abbiano delle domande in merito, voi o il vostro responsabile della protezione dei dati dovete essere pronti a fornire le risposte necessarie. Il GDPR rende chiaro che gli utenti vanno informati il prima possibile e comunque sempre prima che i dati vengano rilevati.
Siete clienti IONOS? Qui potete trovare una checklist pensata per i clienti IONOS con tutte le informazioni a cui gli operatori dei siti web devono prestare attenzione per avere un sito conforme al Regolamento generale sulla protezione dei dati.
La riforma unitaria semplifica la gestione delle infrazioni da parte dei tribunali. Considerando poi la possibilità di sanzioni fino a 20 milioni di euro, è necessario fare estrema attenzione all’informativa sulla tutela dei dati.
Modelli di ausilio per l’informativa sulla privacy
Su Internet trovate numerosi modelli gratuiti che vi aiutano a creare informative sulla protezione di dati personali per il vostro sito web. Ci sono modelli già pronti sia per le informative generali sulla raccolta e protezione dei dati dell’utente sia per categorie speciali, come per esempio social network (Facebook, Twitter e altri), cookie, moduli di contatto o invio di newsletter. È disponibile anche l’informativa per Google Analytics o altri strumenti di analisi in un modulo già compilato inclusivo di link per gli utenti che non sono d’accordo con la registrazione e la cessione dei loro dati.
Insieme ai diversi modelli alcuni siti offrono anche generatori di informative per la raccolta di dati. Potete affidarvi al sito del Garante per la protezione dei dati personali per assicurarvi di includere tutte le informazioni in maniera chiara e precisa.
Nel caso in cui non siate sicuri di avere inserito la giusta informativa sulla privacy o abbiate ancora domande specifiche è consigliabile rivolgersi a esperti legali.
Vi preghiamo di osservare la nota legale relativa a questo articolo.