Al giorno d’oggi è praticamente impossibile gestire un sito web senza raccolta di dati, perciò in ogni sito web dovrebbe anche essere presente un’informativa sulla privacy e sui cookie. Mentre la funzione della raccolta dati in un negozio online e la necessità dell’informativa sulla protezione sono facilmente comprensibili, in altri siti la situazione sembra piuttosto diversa. Vengono raccolti e memorizzati automaticamente diversi dati, spesso addirittura senza che il gestore ne sia consapevole: server web protocollano indirizzi IP nei file di log, i pulsanti social media collegati forniscono informazioni personali ai social network e anche i cookie memorizzano informazioni sull’utente e sul suo comportamento sul web.
Contenuto e integrazione dell’informativa sulla protezione dei dati personali
Da un punto di vista contenutistico è invece importante badare alla correttezza e alla completezza delle informazioni. Se fino adesso non era del tutto chiaro quali fossero le informazioni imprescindibili, l’articolo 13 del GDPR fornisce un catalogo generale degli obblighi e delle informazioni aggiuntive che non possono mancare nell’informativa sulla privacy.
Dati di contatto dei responsabili
È importante includere i dati di contatto dell’azienda e delle persone responsabili dell’elaborazione dei dati personali degli utenti. Oltre ai nomi è necessario riportare un indirizzo postale valido così come un indirizzo e-mail e un numero telefonico. Se la sede dell’azienda o del responsabile del sito è al di fuori dell’Unione Europea è necessario indicare anche i dati di contatto dei responsabili. Il relativo paragrafo della vostra informativa sulla privacy potrebbe assomigliare all’esempio riportato qui di seguito.
Esempio di dati di contatto
Il responsabile della protezione dei dati conformemente al Regolamento generale sulla protezione dei dati e alle leggi nazionali sulla privacy è:
Nome dell’azienda/del responsabile
Indirizzo postale
CAP Città
Paese
Tel.: numero di telefono
E-Mail: indirizzo e-mail
Dati di contatto del responsabile della protezione dei dati: DPO
Se all’interno della vostra azienda il numero di persone addette all’elaborazione automatizzata dei dati è superiore alle venti unità o se l’attività principale dell’azienda stessa è legata alla trasmissione commerciale di dati personali, allora siete obbligati a indicare un responsabile della protezione dei dati. Lo stesso vale anche quando lavorate con particolari categorie di dati personali, come l’orientamento politico, la fede religiosa o l’origine etnica. In ciascuno di questi casi è necessario indicare i dati di contatto della persona responsabile, che può essere sia interna che esterna all’azienda.
Finalità dell’elaborazione dei dati
All’interno della vostra informativa sulla privacy, oltre ai fondamenti giuridici, dovete addurre anche gli obiettivi per l’elaborazione delle relative informazioni personali. Dunque, per una maggiore trasparenza, è consigliabile rendere di pubblica conoscenza anche tutte le componenti del vostro progetto web che raccolgono dati, ad esempio:
- Moduli di contatto
- Registrazione alla newsletter
- Campi di immissione dati (ad esempio i dati bancari all’interno del carrello degli acquisti)
- Codici per il tracciamento
- Plug-in di terze parti (ad esempio i pulsanti social)
- Contenuti di terzi (ad esempio video YouTube)
- Giochi a premi
- Cookie
I riceventi o le categorie di riceventi dei dati personali
Nell’informativa sulla privacy siete anche tenuti a informare i vostri utenti dell’eventuale inoltro a parti terze dei dati raccolti, come ad esempio i servizi di pagamento nel caso in cui gestiate un negozio online.
Allo stesso modo va fatto riferimento all’implementazione di cookie di fornitori terzi e di estensioni di terze parti, nel caso in cui il loro utilizzo sia legato alle informazioni personali. A questo riguardo vanno menzionati i codici per il tracciamento delle attività e i pulsanti social. In entrambi i casi potete fare riferimento a un interesse legalmente valido, per renderne lecito l’utilizzo. Tuttavia, è consigliabile richiedere comunque il benestare del visitatore e nel caso dei pulsanti social utilizzare assolutamente un procedimento rispettoso della protezione dei dati, come ad esempio la cosiddetta two-click solution.
Inoltre vanno citati come riceventi anche i servizi pubblicitari come Google AdSense o AdWords, sempre che li utilizziate per supportare e finanziare il vostro progetto.
Durata dell’archiviazione dei dati
Per rendere l’elaborazione dei dati il più corretta e trasparente possibile, dovreste rendere nota la durata dell’archiviazione dei dati personali. Se non è possibile sarà sufficiente indicare i parametri che influenzano l’archiviazione dei dati. Quindi potete fare dichiarazioni concrete per quel che riguarda la memorizzazione di indirizzi IP (anonimi) nei file di log, se ad esempio avete previsto una cancellazione dopo un lasso di tempo prestabilito. Se invece lavorate con cookie che rendono identificabili gli utenti solo per il tempo della loro visita al vostro sito, l’archiviazione dei dati dipende dalle singole visite da parte degli utenti.
Informazioni sui diritti degli interessati
Tutti gli utenti di cui vengono raccolti dati possiedono una serie di diritti denominati anche diritti degli interessati. L’Articolo 15 del GDPR “Diritto di accesso dell’interessato” stabilisce il diritto di ottenere informazioni dettagliate riguardo ai fini dell’elaborazione dati, ai possibili destinatari dei dati, all’origine e alla durata di archiviazione. Oltre a questo gli utenti hanno anche il diritto di rettifica grazie all’articolo 16, nel caso si presentino determinate circostanze, il diritto alla cancellazione dei dati personali, anche denominato “diritto all’oblio”.
Chi vi deve redigere una privacy policy?
Contattami per saperne di più
