Consulenza legale per ecommerce con un Team di avvocati esperti in privacy e diritto digitale, dal 2011.

Riepilogo carrello

Il tuo carrello è vuoto

Prodotti nel carrello: 0
Totale prodotti: € 0,00

Prosegui al carrello

Generare Privacy Policy per sito web

20/01/2022

Come generare e pubblicare la privacy policy per sito web conforme al GDPR


In questo articolo spieghiamo come pubblicare la privacy policy per sito web ai sensi del GDPR ed evitare gli errori più frequenti. 


L'informativa privacy è un documento molto importante. Infatti, questo documento spiega agli utenti su come vengono trattati i dati personali conferiti tramite il sito internet.
 

Pubblicare una privacy policy per un sito internet a norma è importante perchè:
 

  • aumenti il livello di fiducia degli utenti
  • eviti le sanzioni del Garante Privacy
  • posizioni il tuo sito web come "virtuoso" e attento ai diritti degli utenti.


Abbiamo deciso di pubblicare un articolo su come pubblicare una informativa privacy per un sito web conforme al GDPR perchè online esistono ancora molti dubbi e "fraintendimenti" al riguardo. 


Insomma, come spesso accade, pubblichiamo un articolo per fare un pò di chiarezza su un tema di interesse per l'ambito digitale!
 

Se vuoi pubblicare anche una privacy policy a norma, ti consigliamo di leggere la nostra guida sul generatore di privay policy.


Ah, se invece hai un App, leggi il nostro approfondimento su come generare una privacy policy per App.
 

privacy policy per siti web


Vuoi genererare documenti legali per il tuo sito web, in modo veloce e professionale?

Con il pacchetto Fast Legal ottieni i documenti tramite un procedimento innovativo.

Mentre con il pacchetto Easy Merchant curano tutto i nostri legali (e ottieni anche un report sulle criticità legali da correggere nelle pagine del sito, es. informazioni mancanti nel footer). 

Ogni pacchetto comprende aggiornamenti automatici e tutte le funzionalità per essere online a norma  (banner cookie, privacy policy, cookie policy, termini e condizioni di vendita per ecommerce e molto altro!).

Inoltre, se hai esigenza di avere assistenza e consulenza legale in ambito ecommerce e digitale, i nostri consulenti sono sempre a tua disposizione!

 

Privacy policy per sito web e dati del Titolare del Trattamento

 

Probabilmente l'informazione più importante nella informativa privacy per un sito internet. Infatti, il Titolare del Trattamento è colui che decide "le finalità e i mezzi del trattamento". E' il soggetto che quindi decide come e se trattare i dati personali degli utenti.


Nel nostro contesto, molto spesso è il titolare del sito vetrina (es.: il blogger, l'azienda "proprietaria" del sito web, etc.).


I dati di riferimento del Titolare del Trattamento sono importanti perchè l'utente ha diritto di conoscere chi tratta i suoi dati personali.


Pertanto, per essere conforme al GDPRnella privacy policy del tuo sito web dovrai indicare:
 

  • generalità del Titolare del Trattamento (nome e cognome se persona fisica oppure denominazione e dati aziendali se società o ditta individuale)
  • email
  • numero di telefono (consigliabile)
  • link al modulo di contatto del sito (se presente sul sito web).


In alcuni siti la web agency ha un ruolo attivo nel mantenimento del sito web/blog. 


Ad esempio, cura gli aggiornamenti, gestisce il database, cura l'invio delle newsletter. 


Una domanda molto comune delle web agency e delle imprese digitali è la seguente: 
 

anche in questo caso il titolare del trattamento è il proprietario del sito web? (e, quindi, non la web agency).


Molto probabilmente sì, visto che rimane sempre lui a decidere le finalità e i mezzi del trattamento.

La web agency potrà essere riconosciuta come responsabile del trattamento dei dati.


I dati del DPO


Il DPO (Data Protection Officer) è una delle novità più importanti introdotte dal GDPR.


E' un professionista che assiste il Titolare del trattamento a rispettare il GDPR e la privacy degli utenti. E' previsto come obbligatorio in una serie di casi.


Con riferimento al mondo digitale, la casistica più rilevante è la seguente:
 

"le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala".


Con riferimento a un classico sito web o a un blog, la nomina di un DPO è rara. Infatti, è difficile che queste categorie di siti effettuino profilazione di utenti su larga scala ...


Pertanto, se non è stato nominato il DPO, l'informativa privacy di un sito internet non deve farne menzione.
 

Le finalità del trattamento nella privacy policy per sito web 

 

Dopo aver informato l'utente su chi tratta i suoi dati personali è necessario spiegare per quali finalità il sito web tratta i dati personali degli utenti.


In questo contesto è facile "perdersi" ed elencare finalità estranee a quelle di un sito web.


Per semplificare e permettere di pubblicare una informativa privacy per sito web completa e a norma, ecco le più frequenti finalità da indicare nella privacy policy per sito web:
 

  • iscrizione al sito.Questa finalità è da indicare se l'utente ha la possibilità di iscriversi al sito internet
  • risposte alle domande degli utenti. Molto probabilmente il tuo sito web contiene una email o un modulo di contatto attraverso i quali gli utenti possono porti domande, quesiti etc. Ebbene, in questo caso il sito internet tratta i dati degli utenti (es.: l'email) per risponde alle domande e di ciò ne devi fare menzione nella informativa privacy del sito.
  • marketing e invio di newsletter. E' da indicare quando vuoi trattare i dati personali degli utenti (di solito l'email) per inviare comunicazioni pubblicitarie o newsletter.
  • profilazione. E' una finalità da tenere sempre distinta rispetto a quella di semplice marketing. Si verifica quando vuoi creare nel tuo database dei "gruppi" di utenti per inviare comunicazioni pubblicitarie personalizzate.
  • difesa in giudizio. Ebbene sì, può capitare anche al titolare di un sito web di avere questioni legali con i propri utenti. In questo caso è opportuno informare che i dati personali conferiti dagli utenti sul sito potranno essere trattati per permetterti la difesa in giudizio.


Privacy policy per sito internet e conservazione dei dati personali: cosa dice il GDPR?


Per quanto tempo è possibile conservare i dati personali degli utenti? Questa è probabilmente una delle domande più frequenti che ci pongono i titolari di siti web.


Infatti, la privacy policy di un sito web deve indicare anche il periodo di conservazione dei dati personali.


Dopo l'entrata in vigore del GDPR, per molto tempo non vi sono state chiare indicazioni dal Garante Privacy.


Di seguito indichiamo alcuni suggerimenti divisi per categoria di finalità.


Finalità di marketing e profilazione per sito vetrina


Prima dell'entrata in vigore del GDPR, si riteneva che per finalità di marketing, il periodo di conservazione fosse 24 mesi (per finalità di profilazione, 12 mesi). Ciò a seguito di specifici provvedimenti emessi dall'Autorità.


Con l'entrata in vigore del GDPR alcuni operatori ritengono che questi limiti vengano meno. Ciò sopratutto in quanto lo stesso GDPR non prevede nessun limite specifico in tal senso, ma demanda al titolare del sito web la capacità di decidere questo limite.


Di fatto entrambe le impostazioni possono risultare corrette.


Infatti, la privacy policy del sito web potrà decidere di conservare i dati per 12/24 mesi (per finalità di profilazione e di marketing); oppure potrà optare per un tempo più lungo. In questo caso, però, il periodo di conservazione dovrà essere applicato con "buon senso" (si consiglia un periodo massimo di 3-4 anni). 


Se conservi i dati personali oltre il periodo indicato nella privacy policy del sito internet commenti una irregolarità. Peggio ancora se non indichi niente nella privacy policy.


Cosa accade quando il periodo di conservazione si sta avvicinando?


Se non vuoi cancellare i dati personali dei tuoi clienti devi richiederne il consenso. Solo se il consenso viene negato (o se l'utente non conferma il proprio consenso) sei obbligato a cancellare il dato per finalità di marketing/profilazione.


Per il Garante Privacy che il consenso "non scade"


Quanto abbiamo scritto sopra rappresenta l'impostazione "classica" per quanto riguarda il termine di conservazione dei dati personali.


Ti segnaliamo però un provvedimento del Garante Privacy emesso a Ottobre 2020. In questo provvedimento si legge che se il consenso è stato validamente ottenuto dall'utente, il sito web o sito di commercio elettronico non deve chiedere nessuna "conferma". Il sito internet può continuare a inviare comunicazioni di marketing fino a quando non sia intervenuto, eventualmente, la revoca del consenso.


In sostanza, il consenso al marketing non scade.


Finalità di risposta alle domande degli utenti


In questo caso il periodo di conservazione è più facile da identificare. Infatti, se l'utente ti contatta , la privacy policy del sito web lo deve informare che il dato personale verrà trattato solo per rispondere alla domanda e che verrà cancellato una volta che verrà data risposta al quesito.


Ovviamente, non è possibile (ne opportuno) cancellare subito l'email dell'utente. Ciò che è importante è evitare la conservazione del dato per troppo tempo a partire da quando hai risposto alle domanda dell'utente. 


La privacy policy per sito web deve indicare i dati personali trattati?


E' frequente imbattersi in una informativa privacy per un sito internet che indichi i dati personali oggetto di trattamento.


Questo adempimento però non è richiesto dal GDPR. Pertanto, la privacy policy per un sito web può omettere l'elenco dei dati personali trattati.


Omettere questa indicazione ti permetterà anche di modificare di volta in volta i dati personali oggetto di trattamento senza dover sempre intervenire sul testo della informativa privacy del tuo sito web o ecommerce.


Come opporsi al trattamento dei dati


La privacy policy del sito web deve informare l'utente circa gli strumenti offerti dalla legge per chiedere informazioni sul trattamento dei dati personali, così come opporsi al trattamento.


Pertanto, la privacy policy del sito web dovrà pubblicare una sezione dove l'utente viene informato che può:
 

  • chiedere l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati
  • revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca
  • proporre reclamo a un’autorità di controllo (es.: il Garante Privacy).


I diritti di cui sopra dovranno essere esercitati con richiesta rivolta senza formalità al titolare del sito ai contatti pubblicati nella privacy policy del sito web oppure nel footer del sito.

 

Privacy policy per sito internet: soggetti che ricevono i dati personali  

 

La privacy policy per sito web deve informare l'utente anche su quali soggetti potranno trattare i dati personali conferiti sul sito. Soggetti ovviamente diversi rispetto al Titolare del Trattamento (che come abbiamo visto è il titolare del sito internet).


Ecco una lista di uno o più soggetti ai quali è probabile che comunichi i dati personali degli utenti del tuo sito:
 

  • a tutti quei soggetti (ivi incluse le Pubbliche Autorità) che hanno accesso ai dati personali in forza di provvedimenti normativi o amministrativi
  • a società, consulenti o professionisti eventualmente incaricati dell’installazione, della manutenzione, dell’aggiornamento e, in generale, della gestione degli hardware e software della Società o di cui la Società si serve per l’erogazione dei propri servizi
  • alla società incaricata della effettuazione dell’attività di customer care
  • a tutte quei soggetti pubblici e/o privati, persone fisiche e/o giuridiche (studi di consulenza legale, amministrativa e fiscale, Uffici Giudiziari, Camere di Commercio, Camere ed Uffici del Lavoro, ecc.), qualora la comunicazione risulti necessaria o funzionale al corretto adempimento degli obblighi derivanti dalla legge.


Quando informare su modifiche all'informativa privacy per sito
internet
 


In questo ambito ci sono due estremi (entrambi sbagliati). 
 

Alcuni siti web non informano mai gli utenti in merito a modifiche alla privacy policy del sito vetrina. 


Altri siti internet invece "tempestano" gli utenti con email riferite alla più minima modifica.


La corretta impostazione è informare in presenza di modifiche sostanziali alla privacy policy del sito vetrina.


Ecco alcuni casi in cui siamo in presenza di modifiche sostanziali alla informativa privacy del sito web:

  • modifica della identità del Titolare del Trattamento (si può verificare quando ad esempio il sito cambia proprietà)
  • aggiunta di finalità del trattamento: magari oltre al marketing si intende effettuare profilazione
  • modifica al termine di conservazione dei dati personali


In tutti questi casi è opportuno inviare per email la privacy policy del sito web aggiornata agli utenti. Inoltre, sarebbe opportuno pubblicare per almeno un paio di giorni un wording sul sito che informi i visitatori di questo aggiornamento.


Il vantaggio di una simile soluzione? In questo modo si evita di fare "spam" informando gli utenti di qualsiasi modifica che coinvolga la privacy policy del sito; al tempo stesso, però, gli utenti vengono coinvolti su modifiche veramente importanti lato privacy.


Inoltre, gli utenti capiscono che il sito web prende sul serio la loro privacy e che non tratta la normativa in modo eccessivamente burocratico o, al contrario, disinteressandosene.


Il trasferimento dei dati all'estero


Molti siti internet ignorano di trasferire dati personali all'estero.


Il caso più frequente accade nell'ambito dei servizi di hosting. Infatti, in questo contesto i dati conferiti dagli utenti possono essere allocati presso un server situato in un Paese diverso dall'Italia.


Se il Paese è all'interno dell'UE, la privacy policy per sito web non presenta particolari criticità.


Se i dati possano essere conservati presso server collocati in Paesi extra-UE, allora l'informativa privacy per il sito internet dovrà essere particolarmente precisa in tal senso.


Infatti, il trasferimento dei dati personali in Paesi extra-UE può essere attuato solamente in presenza dei stringenti requisiti imposti dal GDPR. Per questo motivo è opportuno consultare un legale per redigere una privacy policy per sito web a norma.
 

Il rapporto con la formula del consenso al marketing

 

Tra informativa privacy e formula del consenso c'è un rapporto molto stretto. 


Infatti, alcune informazioni contenute nella informativa privacy del sito web devono essere riprese nella formula del consenso per marketing e profilazione.  


E' quindi richiesta coerenza tra il contenuto di queste informative.


Infatti, nelle formule del consenso dovrai indicare:
 

  • chi invierà la comunicazione (il nome del sito web)
  • il mezzo della comunicazione (es. email)
  • l'oggetto della comunicazione


ESEMPIO DI FORMULA DEL CONSENSO AL MARKETING


Letta l'informativa privacy di questo sito, presto il mio consenso a ricevere email pubblicitarie e newsletter da parte di LegalBlink.


Come vedi, la formula del consenso contiene informazioni presenti anche nella informativa privacy: il nome del titolare del trattamento (nel nostro esempio, LegalBlink), il mezzo della comunicazione (email) e l'oggetto (email pubblicitarie e newsletter).

Cosa succede privacy policy per sito web e formula del consenso non coincidono? 


In questo caso, non hai ottenuto un valido consenso al marketing. 


Il rischio è di essere sanzionato per "spam", visto che puoi inviare newsletter e comunicazioni di marketing solo se alla base esiste un valido consenso dell'utente.


Le sanzioni ai sensi del GDPR per privacy policy per sito internet 


Quali sanzioni prevede il GDPR per le informative privacy non conformi alla legge?


Il Regolamento Europeo prevede delle sanzioni molto pesanti: fino a 20 milioni di euro oppure il 4% del fatturato annuo per le società.


Le sanzioni più rilevanti, però, possono essere di carattere commerciale.


Infatti, se il Garante Privacy accerta una violazione può bloccare il database fino a quanto la società non si mette in regola con il GDPR.


Il che significa non poter inviare newsletter ai propri clienti!


Inoltre, un eventuale provvedimento sanzionatorio potrebbe essere pubblicato sul Bollettino dell'Autorità ed essere letto dagli utenti o dai competitor. Questa circostanza è di per sé idonea a causare un rilevante danno di immagine alla società.
 

Le vostre domande su come pubblicare una privacy policy per un sito internet


Questa guida non poteva concludersi senza rispondere alle vostre domande su come pubblicare una informativa privacy per sito web.


Questo articolo, infatti, riassume i quesiti più frequenti che abbiamo ricevuto in tema privacy quando effettuiamo consulenza legale.


La guida ovviamente sarà arricchita nel tempo con le risposte ai vostri ulteriori dubbi.


Quali sono le differenze principali tra informativa privacy e cookie policy?


Privacy policy e cookie policy sono documenti che rispondono a finalità diverse. Vediamole.


La privacy policy di un sito internet


La privacy policy di un sito web illustra il trattamento dei dati personali conferiti sul sito.
 

In questo ambito, per dati personali si intendono:
 

  • email e pw di accesso al sito
  • dati conferiti in occasione dell'acquisto
  • dati personali conferiti nello scambio di corrispondenza con il customer car


L'informativa privacy, quindi, spiega all'utente come vengono trattati i dati personali, secondo i principi spiegati in questa guida.


L'informativa cookie


La cookie policy invece spiega all'utente quali cookie vengono rilasciati dal sito. Attiene al contesto dei "dati comportamentali". Non sono quindi i dati che l'utente conferisce sul sito. Al contrario, sono i dati relativi al modo di navigazione sul sito internet o, in ogni caso, online.


Privacy policy e cookie policy sono quindi due documenti diversi che rispondono a finalità diverse. Devono essere sempre presenti sul tuo sito internet!


Devo sempre pubblicare una privacy policy?


E' veramente raro che una società non tratti dati personali attraverso il suo sito internet. 


Infatti, se il sito web è un ecommerce, sicuramente avviene un trattamento di dati personali (es. per permettere l'acquisto online). 


Allo stesso modo, se il sito è un semplice sito "vetrina", vi sarà almeno un form contattati tramite il quale l'utente può contattare il sito.
 

Se però il tuo sito internet:
 

  • è un sito "istituzionale" oppure "vetrina" (quindi un semplice sito internet)
  • non è un ecommerce
  • non ospita un form di contatto e non tratta in alcun modo dati personali

... allora puoi anche omettere id pubblicare una privacy policy.
 

Ricorda, però, questa è una situazione molto rara!


Sono a norma se pubblico una informativa privacy per il mio sito web ma ometto la formula del consenso? 


Dipende. Se vuoi inviare comunicazioni promozionali e non pubblichi una formula del consenso non rispetti il GDPR.
 

Infatti, la formula del consenso (da indicare vicino al box dove l'utente inserisce la sua email) serve per raccogliere un valido consenso al marketing. Mentre l'informativa privacy spiega bene all'utente come verranno trattati i suoi dati personali 


Il CCPA si applica anche mio sito?


Il CCPA è una legge americana sulla privacy, molto simile al GDPR. E' una normativa californiana che si applica - a certe condizioni - agli ecommerce.


E' molto difficile che si applichi anche al tuo sito. Se vuoi legge un approfondimento (scritto per il blog di PrestaShop), leggi questo articolo, dove spieghiamo  le condizioni di applicazioni di questa legge privacy


ULTERIORI DOMANDE SU COME GENERARE UNA PRIVACY POLICY PER SITO WEB?CONTATTACI!
 

Team LegalBlink