Un’informativa sulla privacy per il proprio sito web

Gli utenti di un sito web forniscono spesso informazioni personali al suo gestore. Quante più informazioni rivelano gli utenti, tanto più è importante che il responsabile del sito web offra una protezione completa dei dati raccolti. Affinché venga a crearsi un rapporto di fiducia con gli utenti, i gestori di siti dovrebbero attenersi all’informativa sulla protezione dei dati personali, chiarendo quali informazioni vengono raccolte, come vengono registrate e utilizzate. Inoltre, l’informativa dovrebbe contenere anche chiarimenti su quali misure vengono adottate per la messa in sicurezza dei dati.

Definizione: informativa sulla privacy

Un’informativa sulla privacy è una spiegazione per iscritto delle misure applicate da un’azienda o un’organizzazione, per garantire la sicurezza e l’utilizzo a norma di legge dei dati dei clienti e degli utenti rilevati e registrati dal momento dell’accesso al sito. Inoltre tale informativa serve anche a mettere l’utente al corrente dei modi di raccolta, archiviazione e del successivo utilizzo dei dati, inclusa la fornitura a soggetti terzi.

In quali casi è obbligatoria l’informativa sulla privacy?

La legge sulla privacy è ovunque piuttosto complessa. I gestori di siti e online shop, durante la preparazione di un’informativa sulla protezione dei dati, devono tenere in conto il loro obbligo d’informazione, in base al d.lgs. n. 196 sul “Codice in materia di protezione dei dati personali”, che prevede vengano fornite ai soggetti interessati le informazioni in merito al trattamento dei propri dati personali. Vale a dire che colui che eroga i servizi deve descrivere in modo chiaro e preciso come avviene il processo di raccolta dati, se per esempio vengono memorizzati solo nome utente e indirizzo e-mail o anche altri dati.

N.B.

Non è ancora chiara la legislazione in materia di indirizzi IP. Solitamente anche questi rientrano nelle informazioni personali, rendendo possibile l’identificazione del detentore.

Mentre la funzione della raccolta dati in un negozio online e la necessità dell’informativa sulla protezione sono facilmente comprensibili, in altri siti la situazione sembra piuttosto diversa. Vengono raccolti e memorizzati automaticamente diversi dati, spesso addirittura senza che il gestore ne sia consapevole: server web protocollano indirizzi IP nei file di log, i pulsanti social media collegati forniscono informazioni personali ai social network e anche i cookies memorizzano informazioni sull’utente e sul suo comportamento sul web.

Un tema ancora scottante è quello che riguarda gli strumenti di analisi web come Google Analytics, che protocollano il traffico di dati. Questo strumento di Google è particolarmente problematico per quanto riguarda la legge sulla protezione dei dati, in quanto gli indirizzi IP dell’utente vengono memorizzati su server statunitensi.

Per non dover chiedere all’utente il consenso necessario, i gestori di siti web possono provvedere all’abbreviazione dell’indirizzo IP togliendo le ultime cifre, facendo in modo che non si possa risalire precisamente alla persona.

Quali sono le conseguenze dell’assenza dell’informativa sulla privacy?

Prima dell’entrata in vigore del GDPR la presentazione di un’informativa sulla protezione dei dati personali incompleta o assente era punibile con sanzioni dai 6.000 ai 36.000 euro, come stabilito dal d.lgs 196/03, importo raddoppiabile in base alla gravità della violazione della legge.

A partire dallo scorso 25 maggio, come riportato dal Garante della Privacy, chi omette completamente l’informativa sulla privacy o ne fornisce una inidonea sarà punito con la sanzione amministrativa pecuniaria stabilita dall’articolo 83, paragrafo 5, lett. b) del Regolamento (UE) 2016/679, corrispondente a un massimo di 20 milioni di euro o, per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Fatto

Il Regolamento generale sulla protezione dei dati, anche GDPR o RGPD, è stato pubblicato sulla Gazzetta Ufficiale Europea in data 4 maggio 2016 ma è entrato in vigore ufficialmente solo lo scorso 25 maggio 2018. Per maggiori informazioni leggi l’articolo apposito nella nostra Digital Guide.

Contenuto e integrazione dell’informativa sulla protezione dei dati personali

In qualità di gestori di un sito siete obbligati a informare gli utenti sulla raccolta e sulla protezione di dati personali a partire dal momento in cui gli utenti iniziano a utilizzare il vostro sito. In pratica però su un sito web diventa abbastanza difficile fornire in modo sufficiente queste informazioni mentre si raccolgono i dati. Per questo motivo è buona prassi quella di rendere l’informativa sulla privacy facilmente accessibile da ogni pagina del vostro sito web, così come per l’impressum.

Il modo migliore per farlo è quello di dedicarle una pagina, raggiungibile da qualunque altra pagina del sito attraverso un collegamento. Inoltre bisogna prestare attenzione al fatto che tali link non vengano coperti o nascosti da banner vari e che l’informativa sia ben visualizzabile e leggibile da diversi tipi di browser e dispositivi (PC, tablet, smartphone, ecc.).

Un altro importante aspetto è che l’informativa sulla privacy sia formulata in maniera precisa, trasparente e comprensibile, evitando per esempio termini tecnici e giuridici. In base al raggio d’azione, è importante che le informazioni vengano messe a disposizione non solo in italiano, ma anche nelle lingue degli utenti interessati. Da un punto di vista contenutistico è invece importante badare alla correttezza e alla completezza delle informazioni. Se fino adesso non era del tutto chiaro quali fossero le informazioni imprescindibili, l’articolo 13 del GDPR fornisce un catalogo generale degli obblighi e delle informazioni aggiuntive che non possono mancare nell’informativa sulla privacy.

Dati di contatto dei responsabili

È importante includere i dati di contatto dell’azienda e delle persone responsabili dell’elaborazione dei dati personali degli utenti. Oltre ai nomi è necessario riportare un indirizzo postale valido così come un indirizzo e-mail e un numero telefonico. Se la sede dell’azienda o del responsabile del sito è al di fuori dell’Unione Europea è necessario indicare anche i dati di contatto dei responsabili. Il relativo paragrafo della vostra informativa sulla privacy potrebbe assomigliare all’esempio riportato qui in seguito.

Esempio di dati di contatto

Il responsabile della protezione dei dati conformemente al Regolamento generale sulla protezione dei dati e alle leggi nazionali sulla privacy è:

Nome dell’azienda/del responsabile

Indirizzo postale
CAP Città
Paese

Tel.: numero di telefono
E-Mail: indirizzo e-mail

Dati di contatto del garante della protezione dei dati

Se all’interno della vostra azienda il numero di persone addette all’elaborazione automatizzata dei dati è superiore alle dieci unità o se l’attività principale dell’azienda stessa è legata alla trasmissione commerciale di dati personali, allora siete obbligati a indicare un garante della protezione dei dati. Lo stesso vale anche quando lavorate con particolari categorie di dati personali, come l’orientamento politico, la fede religiosa o l’origine etnica. In ciascuno di questi casi è necessario indicare i dati di contatti della persona responsabile, che può essere sia interna che esterna all’azienda.

Esempio di dati di contatto del garante della protezione dei dati

Il garante della protezione dei dati dell’azienda/del responsabile è:

Nome del garante

Azienda del garante (nel caso si tratti di una soluzione esterna)
Indirizzo
CAP Città
Paese

Tel.: numero di telefono
E-Mail: indirizzo email

Fondamenti giuridici dell’informativa

È vostro dovere informare gli utenti riguardo ai fondamenti giuridici per la rilevazione e l’elaborazione dei dati personali. A questo scopo è necessario che si verifichi una delle condizioni dell’articolo 5 del GDPR:

  • L’interessato ha dato il proprio consenso.
  • L’elaborazione dati è necessaria per adempiere a un contratto tra voi e la persona interessata o per l’esecuzione di azioni precontrattuali.
  • Il responsabile adempie a un dovere legale al quale sottostà.
  • L’elaborazione serve alla protezione di interessi di valore vitali dell’interessato o di un’altra persona.
  • L’elaborazione serve l’interesse pubblico.
  • L’elaborazione è necessaria per garantire interessi legittimi del responsabile o di un soggetto terzo (sempre ammesso che non vengano inficiati i diritti di base e di libertà dell’interessato).ella persona interessata, allora la base giuridica è l’articolo 6 paragrafo 1 comma 1f del GDPR.

Esempio di indicazione dei diritti di base

Se per l’elaborazione dei dati personali è richiesto il consenso da parte della persona interessata, allora la base giuridica è l’articolo 6 paragrafo 1 comma 1a del GDPR.

Se l’elaborazione dei dati personali è richiesta per la compilazione di un contratto con la persona interessata o per misure precontrattuali disposte a favore dell’interessato, allora la base giuridica è l’articolo 5 paragrafo 1 comma 1b del GDPR.

Se l’elaborazione dati è il risultato di un obbligo giuridico al quale l’azienda è sottoposta, allora la base giuridica è l’articolo 6 paragrafo 1 comma 1c del GDPR.

Se l’elaborazione di dati personali avviene con il fine di proteggere gli interessi d’importanza vitale della persona interessata o di un’altra persona fisica, allora la base giuridica è l’articolo 6 paragrafo 1 comma 1d del GDPR.

Se l’elaborazione dei dati serve a un compito di pubblico interesse o all’esercizio della forza pubblica allora la base giuridica è l’articolo 6 paragrafo 1 comma 1e del GDPR.

Se l’elaborazione dei dati personali è necessaria per garantire gli interessi del responsabile o di un soggetto terzo senza che vengano messi a rischio gli interessi, i diritti fondamentali e la libertà di base d

Finalità dell’elaborazione dati

All’interno della vostra informativa sulla privacy, oltre ai fondamenti giuridici, dovete addurre anche gli obiettivi per l’elaborazione delle relative informazioni personali. Dunque, per una maggiore trasparenza, è consigliabile rendere di pubblica conoscenza anche tutte le componenti del vostro progetto web che raccolgono dati, ad esempio:

  • Moduli di contatto
  • Registrazione alla newsletter
  • Campi di immissione dati (ad esempio i dati bancari all’interno del carrello degli acquisti)
  • Tracking code
  • Plug-in terzi (ad esempio i cosiddetti social button)
  • Contenuti di terzi (ad esempio video YouTube)
  • Giochi a premi
  • Cookies
N.B.

Se si decide di inserire contenuti esterni, in futuro sarà necessario prestare ancora maggior attenzione: il GDPR rende più rigido l’obbligo di informare i clienti prima che avvenga l’elaborazione dei loro dati. Molti contenuti di provider terzi come ad esempio i video YouTube trasmettono solitamente i dati già dall’apertura del sito web. Google ha già reagito implementando il suo „Programma di protezione avanzata“ nelle opzioni di incorporazione di YouTube. Attivando questo programma, viene generato un codice di incorporazione che invierà i dati solo dopo che il video viene realmente visualizzato.

Nel caso in cui la base giuridica della raccolta e dell‘elaborazione dati sia il già menzionato articolo 6 paragrafo 1 lettera f del GDPR, allora dovreste mettere per iscritto anche i vostri legittimi interessi. Successivamente dovreste accertarvi di garantire nel miglior modo possibile gli interessi e i diritti dei vostri utenti. Obiettivi tipici possono essere l’analisi del comportamento dei visitatori finalizzata all’ottimizzazione del sito web, oppure orientata a fornire contenuti personalizzati o ad attuare misure di marketing.

Esempio per l’indicazione degli obiettivi dell’elaborazione dati

Al fine di rendere la vostra visita il più piacevole possibile e offrire tutte le funzioni disponibili, raccogliamo una serie di dati e informazioni del dispositivo con il quale avete acceduto al nostro sito web. I dati interessati sono i seguenti:

  • Indirizzo IP
  • Sistema operativo
  • Tipo e versione del browser
  • Data e ora dell’accesso
  • …(altri)

I dati raccolti non vengono utilizzati per analisi di marketing.

I riceventi o le categorie di riceventi dei dati personali

Nell’informativa sulla privacy siete anche tenuti a informare i vostri utenti dell’eventuale inoltro a parti terze dei dati raccolti, come ad esempio servizi di pagamento nel caso in cui gestiate un negozio online.

Allo stesso modo va fatto riferimento all’implementazione di cookies di fornitori terzi e di estensioni di terze parti, nel caso in cui il loro utilizzo sia legato alle informazioni personali. A questo riguardo vanno menzionati i tracking code e i social media button. In entrambi i casi potete fare riferimento a un interesse legalmente valido, per renderne lecito l’utilizzo. Tuttavia è consigliabile richiedere comunque il benestare del visitatore e nel caso dei social media button utilizzare assolutamente un procedimento rispettoso della protezione dei dati, come ad esempio la cosiddetta two-click solution.

Inoltre vanno citati come riceventi anche i servizi pubblicitari come Google AdSense o AdWords, sempre che li utilizziate per supportare e finanziare il vostro progetto.

Esempio di indicazione dei provider terzi integrati (come il plug-in di Facebook)

Questo sito web utilizza un social plug-in di Facebook, sviluppato e gestito da Facebook Inc. (1 Hacker Way, Menlo Park, California 94025 USA) e riconoscibile tramite il logo di Facebook. Il plug-in, appena attivato con un clic sul rispettivo pulsante, stabilisce una connessione diretta tra il vostro browser e i server di Facebook. Noi non abbiamo alcuna autorità sulla natura e l’estensione dei dati che vengono inviati a Facebook Inc. Seguite questo link per leggere la dichiarazione di Facebook a riguardo: www.facebook.com/help/186325668085084.

N.B.

Se avete in mente di inoltrare dati personali a un destinatario in un paese terzo o a un’organizzazione attiva a livello internazionale, questa intenzione andrebbe dichiarata a questo punto nella vostra informativa sulla privacy.

Durata dell’archiviazione dei dati

Per rendere l’elaborazione dei dati il più corretta e trasparente possibile, dovreste rendere nota la durata dell’archiviazione dei dati personali. Se non è possibile sarà sufficiente indicare i parametri che influenzano l’archiviazione dei dati. Quindi potete fare dichiarazioni concrete per quel che riguarda la memorizzazione di indirizzi IP (anonimi) nei file di log, se ad esempio avete previsto una cancellazione dopo un lasso di tempo prestabilito. Se invece lavorate con cookies che rendono identificabili gli utenti solo per il tempo della loro visita al vostro sito, l’archiviazione dei dati dipende dalle singole visite da parte degli utenti.

Esempio per l’indicazione dei tempi di archiviazione

Tutti i dati personali che abbiamo collezionato attraverso l’utilizzo di cookies di sessione saranno cancellati automaticamente non appena sarà stato realizzato il fine originale per il quale sono stati rilevati. I dati di sessione saranno mantenuti fino al termine della vostra sessione (lasciando o chiudendo le pagine del nostro sito web).

N.B.

I vostri utenti vanno sempre informati nel caso in cui i server sui quali archiviate i dati si trovino fuori dal territorio Italiano, riportando anche informazioni riguardanti le norme sulla protezione dei dati personali nel paese di riferimento, soprattutto se all’infuori dell’Unione europea.

Informazioni sui diritti degli interessati

Tutti gli utenti di cui vengono raccolti dati possiedono una serie di diritti denominati anche diritti degli interessati. L’Articolo 15 del GDPR “Diritto di accesso dell’interessato” stabilisce il diritto di ottenere informazioni dettagliate riguardo ai fini dell’elaborazione dati, ai possibili destinatari dei dati, all’origine e alla durata di archiviazione. Oltre a questo gli utenti hanno anche il diritto di rettifica grazie all’articolo 16 e, nel caso si presentino determinate circostanze, il diritto alla cancellazione dei dati personali, anche denominato “diritto all’oblio”.

Esempio di riferimento dei diritti degli interessati

Stando a quanto stabilito dal GDPR contate come interessati nel momento in cui elaboriamo i vostri dati personali. Per questo motivo potete approfittare di diversi diritti degli interessati centrali al nuovo Regolamento in materia di protezione dei dati personali. Nello specifico si tratta del diritto di accesso dell’interessato, (Articolo 15), il diritto di rettifica (Articolo 16), il diritto all’oblio (Articolo 17), il diritto di limitazione di trattamento (Articolo 18), il diritto di opposizione (Articolo 21), il diritto di proporre reclamo all’autorità di controllo (Articolo 77) e il diritto alla portabilità dei dati (Articolo 20).

Spiegazione sui doveri giuridici o contrattuali sul rilevamento dei dati

I vostri utenti devono sempre essere messi al corrente nel caso in cui la fornitura dei dati personali è prevista giuridicamente o contrattualmente o necessaria per la chiusura di un contratto. Inoltre è necessario rendere noto le conseguenze dell’omissione dei dati.

Esempio per la spiegazione riguardo all’obbligo di rilevamento dei dati

La raccolta dei vostri dati personali è imprescindibile per la chiusura di un contratto così come per l’adempimento di doveri e prestazioni di servizi previsti da contratto. Non fornendo le informazioni necessarie risulta impossibile sia la corretta chiusura di un contratto che ulteriori prestazioni contrattuali.

Istruzioni sull’utilizzo di processi decisionali automatizzati (incluso il Profiling)

Se utilizzate processi decisionali automatizzati, incluso il Profiling, siete costretti a fare dichiarazioni chiare riguardo alla logica che ne sta alla base. Si tratta principalmente di identificare l’entità e l’impatto desiderati che questi processi di elaborazione dei dati hanno sulle persone interessate. Alla base vi è il fatto che i vostri utenti hanno il diritto “di non essere sottoposti a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona“ (Articolo 22 del GDPR).

Tuttavia questo diritto non vale se il processo automatizzato è necessario per la chiusura del contratto o per la sua compilazione, se le normative europee o dei singoli Stati membri lo permettono o se avviene con il consenso della persona interessata.

Esempio per l’indicazione dei processi decisionali automatizzati

Prima della chiusura del contratto effettuiamo una verifica della solvibilità completamente automatica per stabilire la vostra affidabilità creditizia tramite …

RGPD: riepilogo dei punti più importanti del nuovo regolamento europeo

Il nuovo regolamento generale sulla protezione dei dati rende la privacy nei paesi dell’Unione europea più trasparente, più comprensibile e più sicura. La necessità di un’informativa completa e correttamente redatta rappresenta la parte centrale, in modo particolare per i gestori di siti web e che hanno spesso a che fare con una grandissima quantità di dati personali diversi tra loro. Se avete già redatto un’informativa sulla privacy secondo il vecchio modello, A rappresentare le maggiori novità tra i punti sopra elencati saranno la rivelazione delle basi giuridiche e i riferimenti ai diritti degli utenti.

Naturalmente questi due aspetti non sono le uniche differenze rispetto ai vecchi modelli. In quanto responsabili avete più che mai il compito di chiarire il senso e l’obiettivo della vostra elaborazione dati e farlo in maniera che ai vostri utenti non rimangano dubbi di alcun tipo. Nel caso in cui questo capiti, ovvero che i vostri utenti abbiano delle domande in merito, voi o il vostro garante dovete essere pronti a fornire le risposte necessarie. Il GDPR rende chiaro che gli utenti vanno informati il prima possibile e comunque sempre prima che i dati vengano rilevati.

N.B.

In questa checklist pensata appositamente per i clienti IONOS troverete le linee guida alle quali il vostro sito web deve attenersi affinché sia conforme al nuovo Regolamento Generale sulla Protezione dei Dati (RGPD).

La nuova riforma unitaria semplifica la gestione delle infrazioni da parte dei tribunali. Considerando poi la possibilità di una sanzione fino a 20 milioni di euro, è necessario fare estrema attenzione all’informativa sulla tutela dei dati.

Modelli di ausilio per l’informativa sulla privacy

Su internet trovate numerosi modelli gratuiti che vi aiutano a creare informative sulla protezione di dati personali per il vostro sito web. Ci sono modelli già pronti sia per le informative generali sulla raccolta e protezione dei dati dell’utente sia per categorie speciali come per esempio social network (Facebook, Twitter e altri), cookies, moduli di contatto o invio di newsletter. È disponibile anche l’informativa per Google Analytics o altri strumenti di analisi in un form già compilato inclusivo di link per gli utenti che non sono d’accordo con la registrazione e la cessione dei loro dati.

Insieme ai diversi modelli alcuni siti offrono anche generatori di informative per la raccolta di dati. Potete affidarvi al sito del Garante per la protezione dei dati personali per assicurarvi di includere tutte le informazioni in maniera chiara e precisa.

Nel caso in cui non siate sicuri di avere inserito la giusta informativa sulla privacy o abbiate ancora domande specifiche è consigliabile rivolgersi a esperti legali.

Vi preghiamo di osservare la nota legale relativa a questo articolo.


Un attimo: abbiamo ancora qualcosa per voi!
Web hosting a partire da 1 €/mese per un anno!

Dominio gratis
Certificato SSL Wildcard incluso
Assistenza Clienti 24/7
A partire da 1 €/mese IVA escl. per un anno,
poi 8 € mese IVA escl.