Riepilogo carrello
Il tuo carrello è vuoto
Prodotti nel carrello: 0
Totale prodotti: € 0,00
20/01/2022
In questo articolo spieghiamo come pubblicare la privacy policy per sito web ai sensi del GDPR ed evitare gli errori più frequenti.
L'informativa privacy è un documento molto importante. Infatti, questo documento spiega agli utenti su come vengono trattati i dati personali conferiti tramite il sito internet.
Pubblicare una privacy policy per un sito internet a norma è importante perchè:
Abbiamo deciso di pubblicare un articolo su come pubblicare una informativa privacy per un sito web conforme al GDPR perchè online esistono ancora molti dubbi e "fraintendimenti" al riguardo.
Insomma, come spesso accade, pubblichiamo un articolo per fare un pò di chiarezza su un tema di interesse per l'ambito digitale!
Se vuoi pubblicare anche una privacy policy a norma, ti consigliamo di leggere la nostra guida sul generatore di privay policy.
Ah, se invece hai un App, leggi il nostro approfondimento su come generare una privacy policy per App.
Vuoi genererare documenti legali per il tuo sito web, in modo veloce e professionale?
Con il pacchetto Fast Legal ottieni i documenti tramite un procedimento innovativo.
Mentre con il pacchetto Easy Merchant curano tutto i nostri legali (e ottieni anche un report sulle criticità legali da correggere nelle pagine del sito, es. informazioni mancanti nel footer).
Ogni pacchetto comprende aggiornamenti automatici e tutte le funzionalità per essere online a norma (banner cookie, privacy policy, cookie policy, termini e condizioni di vendita per ecommerce e molto altro!).
Inoltre, se hai esigenza di avere assistenza e consulenza legale in ambito ecommerce e digitale, i nostri consulenti sono sempre a tua disposizione!
Probabilmente l'informazione più importante nella informativa privacy per un sito internet. Infatti, il Titolare del Trattamento è colui che decide "le finalità e i mezzi del trattamento". E' il soggetto che quindi decide come e se trattare i dati personali degli utenti.
Nel nostro contesto, molto spesso è il titolare del sito vetrina (es.: il blogger, l'azienda "proprietaria" del sito web, etc.).
I dati di riferimento del Titolare del Trattamento sono importanti perchè l'utente ha diritto di conoscere chi tratta i suoi dati personali.
Pertanto, per essere conforme al GDPR, nella privacy policy del tuo sito web dovrai indicare:
In alcuni siti la web agency ha un ruolo attivo nel mantenimento del sito web/blog.
Ad esempio, cura gli aggiornamenti, gestisce il database, cura l'invio delle newsletter.
Una domanda molto comune delle web agency e delle imprese digitali è la seguente:
anche in questo caso il titolare del trattamento è il proprietario del sito web? (e, quindi, non la web agency).
Molto probabilmente sì, visto che rimane sempre lui a decidere le finalità e i mezzi del trattamento.
La web agency potrà essere riconosciuta come responsabile del trattamento dei dati.
Il DPO (Data Protection Officer) è una delle novità più importanti introdotte dal GDPR.
E' un professionista che assiste il Titolare del trattamento a rispettare il GDPR e la privacy degli utenti. E' previsto come obbligatorio in una serie di casi.
Con riferimento al mondo digitale, la casistica più rilevante è la seguente:
"le attività principali del Titolare del trattamento o del Responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala".
Con riferimento a un classico sito web o a un blog, la nomina di un DPO è rara. Infatti, è difficile che queste categorie di siti effettuino profilazione di utenti su larga scala ...
Pertanto, se non è stato nominato il DPO, l'informativa privacy di un sito internet non deve farne menzione.
Dopo aver informato l'utente su chi tratta i suoi dati personali è necessario spiegare per quali finalità il sito web tratta i dati personali degli utenti.
In questo contesto è facile "perdersi" ed elencare finalità estranee a quelle di un sito web.
Per semplificare e permettere di pubblicare una informativa privacy per sito web completa e a norma, ecco le più frequenti finalità da indicare nella privacy policy per sito web:
Per quanto tempo è possibile conservare i dati personali degli utenti? Questa è probabilmente una delle domande più frequenti che ci pongono i titolari di siti web.
Infatti, la privacy policy di un sito web deve indicare anche il periodo di conservazione dei dati personali.
Dopo l'entrata in vigore del GDPR, per molto tempo non vi sono state chiare indicazioni dal Garante Privacy.
Di seguito indichiamo alcuni suggerimenti divisi per categoria di finalità.
Prima dell'entrata in vigore del GDPR, si riteneva che per finalità di marketing, il periodo di conservazione fosse 24 mesi (per finalità di profilazione, 12 mesi). Ciò a seguito di specifici provvedimenti emessi dall'Autorità.
Con l'entrata in vigore del GDPR alcuni operatori ritengono che questi limiti vengano meno. Ciò sopratutto in quanto lo stesso GDPR non prevede nessun limite specifico in tal senso, ma demanda al titolare del sito web la capacità di decidere questo limite.
Di fatto entrambe le impostazioni possono risultare corrette.
Infatti, la privacy policy del sito web potrà decidere di conservare i dati per 12/24 mesi (per finalità di profilazione e di marketing); oppure potrà optare per un tempo più lungo. In questo caso, però, il periodo di conservazione dovrà essere applicato con "buon senso" (si consiglia un periodo massimo di 3-4 anni).
Se conservi i dati personali oltre il periodo indicato nella privacy policy del sito internet commenti una irregolarità. Peggio ancora se non indichi niente nella privacy policy.
Cosa accade quando il periodo di conservazione si sta avvicinando?
Se non vuoi cancellare i dati personali dei tuoi clienti devi richiederne il consenso. Solo se il consenso viene negato (o se l'utente non conferma il proprio consenso) sei obbligato a cancellare il dato per finalità di marketing/profilazione.
Quanto abbiamo scritto sopra rappresenta l'impostazione "classica" per quanto riguarda il termine di conservazione dei dati personali.
Ti segnaliamo però un provvedimento del Garante Privacy emesso a Ottobre 2020. In questo provvedimento si legge che se il consenso è stato validamente ottenuto dall'utente, il sito web o sito di commercio elettronico non deve chiedere nessuna "conferma". Il sito internet può continuare a inviare comunicazioni di marketing fino a quando non sia intervenuto, eventualmente, la revoca del consenso.
In sostanza, il consenso al marketing non scade.
In questo caso il periodo di conservazione è più facile da identificare. Infatti, se l'utente ti contatta , la privacy policy del sito web lo deve informare che il dato personale verrà trattato solo per rispondere alla domanda e che verrà cancellato una volta che verrà data risposta al quesito.
Ovviamente, non è possibile (ne opportuno) cancellare subito l'email dell'utente. Ciò che è importante è evitare la conservazione del dato per troppo tempo a partire da quando hai risposto alle domanda dell'utente.
E' frequente imbattersi in una informativa privacy per un sito internet che indichi i dati personali oggetto di trattamento.
Questo adempimento però non è richiesto dal GDPR. Pertanto, la privacy policy per un sito web può omettere l'elenco dei dati personali trattati.
Omettere questa indicazione ti permetterà anche di modificare di volta in volta i dati personali oggetto di trattamento senza dover sempre intervenire sul testo della informativa privacy del tuo sito web o ecommerce.
La privacy policy del sito web deve informare l'utente circa gli strumenti offerti dalla legge per chiedere informazioni sul trattamento dei dati personali, così come opporsi al trattamento.
Pertanto, la privacy policy del sito web dovrà pubblicare una sezione dove l'utente viene informato che può:
I diritti di cui sopra dovranno essere esercitati con richiesta rivolta senza formalità al titolare del sito ai contatti pubblicati nella privacy policy del sito web oppure nel footer del sito.
La privacy policy per sito web deve informare l'utente anche su quali soggetti potranno trattare i dati personali conferiti sul sito. Soggetti ovviamente diversi rispetto al Titolare del Trattamento (che come abbiamo visto è il titolare del sito internet).
Ecco una lista di uno o più soggetti ai quali è probabile che comunichi i dati personali degli utenti del tuo sito:
In questo ambito ci sono due estremi (entrambi sbagliati).
Alcuni siti web non informano mai gli utenti in merito a modifiche alla privacy policy del sito vetrina.
Altri siti internet invece "tempestano" gli utenti con email riferite alla più minima modifica.
La corretta impostazione è informare in presenza di modifiche sostanziali alla privacy policy del sito vetrina.
Ecco alcuni casi in cui siamo in presenza di modifiche sostanziali alla informativa privacy del sito web:
In tutti questi casi è opportuno inviare per email la privacy policy del sito web aggiornata agli utenti. Inoltre, sarebbe opportuno pubblicare per almeno un paio di giorni un wording sul sito che informi i visitatori di questo aggiornamento.
Il vantaggio di una simile soluzione? In questo modo si evita di fare "spam" informando gli utenti di qualsiasi modifica che coinvolga la privacy policy del sito; al tempo stesso, però, gli utenti vengono coinvolti su modifiche veramente importanti lato privacy.
Inoltre, gli utenti capiscono che il sito web prende sul serio la loro privacy e che non tratta la normativa in modo eccessivamente burocratico o, al contrario, disinteressandosene.
Molti siti internet ignorano di trasferire dati personali all'estero.
Il caso più frequente accade nell'ambito dei servizi di hosting. Infatti, in questo contesto i dati conferiti dagli utenti possono essere allocati presso un server situato in un Paese diverso dall'Italia.
Se il Paese è all'interno dell'UE, la privacy policy per sito web non presenta particolari criticità.
Se i dati possano essere conservati presso server collocati in Paesi extra-UE, allora l'informativa privacy per il sito internet dovrà essere particolarmente precisa in tal senso.
Infatti, il trasferimento dei dati personali in Paesi extra-UE può essere attuato solamente in presenza dei stringenti requisiti imposti dal GDPR. Per questo motivo è opportuno consultare un legale per redigere una privacy policy per sito web a norma.
Tra informativa privacy e formula del consenso c'è un rapporto molto stretto.
Infatti, alcune informazioni contenute nella informativa privacy del sito web devono essere riprese nella formula del consenso per marketing e profilazione.
E' quindi richiesta coerenza tra il contenuto di queste informative.
Infatti, nelle formule del consenso dovrai indicare:
ESEMPIO DI FORMULA DEL CONSENSO AL MARKETING
Letta l'informativa privacy di questo sito, presto il mio consenso a ricevere email pubblicitarie e newsletter da parte di LegalBlink.
Come vedi, la formula del consenso contiene informazioni presenti anche nella informativa privacy: il nome del titolare del trattamento (nel nostro esempio, LegalBlink), il mezzo della comunicazione (email) e l'oggetto (email pubblicitarie e newsletter).
In questo caso, non hai ottenuto un valido consenso al marketing.
Il rischio è di essere sanzionato per "spam", visto che puoi inviare newsletter e comunicazioni di marketing solo se alla base esiste un valido consenso dell'utente.
Quali sanzioni prevede il GDPR per le informative privacy non conformi alla legge?
Il Regolamento Europeo prevede delle sanzioni molto pesanti: fino a 20 milioni di euro oppure il 4% del fatturato annuo per le società.
Le sanzioni più rilevanti, però, possono essere di carattere commerciale.
Infatti, se il Garante Privacy accerta una violazione può bloccare il database fino a quanto la società non si mette in regola con il GDPR.
Il che significa non poter inviare newsletter ai propri clienti!
Inoltre, un eventuale provvedimento sanzionatorio potrebbe essere pubblicato sul Bollettino dell'Autorità ed essere letto dagli utenti o dai competitor. Questa circostanza è di per sé idonea a causare un rilevante danno di immagine alla società.
Questa guida non poteva concludersi senza rispondere alle vostre domande su come pubblicare una informativa privacy per sito web.
Questo articolo, infatti, riassume i quesiti più frequenti che abbiamo ricevuto in tema privacy quando effettuiamo consulenza legale.
La guida ovviamente sarà arricchita nel tempo con le risposte ai vostri ulteriori dubbi.
Privacy policy e cookie policy sono documenti che rispondono a finalità diverse. Vediamole.
La privacy policy di un sito web illustra il trattamento dei dati personali conferiti sul sito.
In questo ambito, per dati personali si intendono:
L'informativa privacy, quindi, spiega all'utente come vengono trattati i dati personali, secondo i principi spiegati in questa guida.
La cookie policy invece spiega all'utente quali cookie vengono rilasciati dal sito. Attiene al contesto dei "dati comportamentali". Non sono quindi i dati che l'utente conferisce sul sito. Al contrario, sono i dati relativi al modo di navigazione sul sito internet o, in ogni caso, online.
Privacy policy e cookie policy sono quindi due documenti diversi che rispondono a finalità diverse. Devono essere sempre presenti sul tuo sito internet!
E' veramente raro che una società non tratti dati personali attraverso il suo sito internet.
Infatti, se il sito web è un ecommerce, sicuramente avviene un trattamento di dati personali (es. per permettere l'acquisto online).
Allo stesso modo, se il sito è un semplice sito "vetrina", vi sarà almeno un form contattati tramite il quale l'utente può contattare il sito.
Se però il tuo sito internet:
... allora puoi anche omettere id pubblicare una privacy policy.
Ricorda, però, questa è una situazione molto rara!
Dipende. Se vuoi inviare comunicazioni promozionali e non pubblichi una formula del consenso non rispetti il GDPR.
Infatti, la formula del consenso (da indicare vicino al box dove l'utente inserisce la sua email) serve per raccogliere un valido consenso al marketing. Mentre l'informativa privacy spiega bene all'utente come verranno trattati i suoi dati personali
Il CCPA è una legge americana sulla privacy, molto simile al GDPR. E' una normativa californiana che si applica - a certe condizioni - agli ecommerce.
E' molto difficile che si applichi anche al tuo sito. Se vuoi legge un approfondimento (scritto per il blog di PrestaShop), leggi questo articolo, dove spieghiamo le condizioni di applicazioni di questa legge privacy.
ULTERIORI DOMANDE SU COME GENERARE UNA PRIVACY POLICY PER SITO WEB?CONTATTACI!
Team LegalBlink