La privacy policy è obbligatoria per tutti i siti web e consiste in una informativa dettagliata sulla raccolta e il trattamento dei dati personali degli utenti
La privacy policy è un documento legale che descrive come un’azienda raccoglie, utilizza, divulga e protegge le informazioni personali dei suoi utenti o clienti. Questo documento è una parte fondamentale della trasparenza e della conformità normativa per molte aziende e organizzazioni, specialmente in settori che gestiscono dati sensibili come quelli personali, finanziari o sanitari.
La gestione della privacy diventa ancora più delicata e complessa sul web, ed è questo il contesto che andremo ad approfondire.
Per molto tempo Internet ha rappresentato – e in parte è ancora – una zona grigia all’interno della quale sembrava quasi impossibile stabilire regole per via della sua natura mutevole e della sua mancanza di confini. Molto è cambiato però dall’introduzione del GDPR, General Data Protection Regulation, un regolamento dell’Unione Europea entrato in vigore il 25 maggio 2018.
Cos’è la privacy policy in un sito web
La privacy policy, o informativa sulla privacy, è un documento dettagliato che precisa la modalità di trattamento dei dati degli utenti di un sito web. Non si parla soltanto dei dati forniti volontariamente dall’utente come nome, cognome e email, ma anche dei dati estratti in forma aggregata da Google Analytics attraverso i cookies. In sostanza, del famoso tracciamento: quando navighiamo sui vari siti Internet siamo “seguiti”, non lo facciamo in forma anonima (a meno che utilizziamo una rete protetta come una VPN). Da questo tracciamento vengono raccolte informazioni preziosissime sulle nostre abitudini, sui nostri interessi, sulla scansione temporale della nostra giornata. E in questo processo che fine fa la privacy?
Che cosa contiene: privacy e cookie policy
In realtà di fatto non ne resta molta. Quello che fa la privacy policy è semplicemente dichiarare i termini relativi al trattamento dei dati personali degli utenti. In questo documento occorre indicare:
- il titolare del trattamento dei dati e il responsabile della protezione dei dati;
- il luogo e la finalità della raccolta e del trattamento dei dati (fornitura di servizi, gestione dei conti degli utenti, personalizzazione dell’esperienza dell’utente, comunicazione di informazioni di marketing e altro ancora);
- la tipologia dei dati raccolti e trattati (nomi, indirizzi, numeri di telefono, indirizzi email, informazioni di pagamento, dati di geolocalizzazione ecc);
- il modo in cui i dati vengono raccolti (moduli online, cookie sui siti web, interazioni con i servizi dell’azienda, tramite dispositivi mobili o attraverso altre fonti);
- l’eventuale divulgazione delle informazioni a terzi come partner commerciali, fornitori di servizi, autorità di regolamentazione o altre organizzazioni;
- informazioni relative alla conservazione dei dati (misure di sicurezza adottate per proteggere le informazioni personali dagli accessi non autorizzati, dalla perdita, dal furto o dall’abuso);
- i cookies rilasciati dal sito web;
- i link a contenuti esterni;
- i diritti degli utenti (accedere, correggere, cancellare o limitare l’uso delle proprie informazioni) e il modo in cui possono modificare alcune impostazioni.
Privacy sito Internet: come realizzare un documento di privacy policy
La strada più veloce e sicura per realizzare un documento di privacy policy per il proprio sito web è quella di affidarsi ad un avvocato esperto in privacy aziendale e privacy informatica. Ovviamente è anche il metodo più costoso, che può essere quindi adatto per le grandi aziende, per le quali è prioritario tutelarsi al massimo. In alternativa esistono siti web che, inserendo le informazioni precise e i propri dati, generano un documento di privacy policy. Uno dei più noti è Iubenda privacy e cookie policy. Oppure privacypolicies.com o privacypolicyonline.com. Quello che non bisogna proprio fare è copiare e incollare la privacy policy di altri siti web (cosa che in realtà accade abbastanza spesso).
Cos’è il GDPR
Abbiamo citato all’inizio il GDPR (Regolamento UE 2016/679), che stabilisce norme riguardanti la protezione dei dati personali dei cittadini europei. Il GDPR è entrato in vigore il 25 maggio 2018 al posto della precedente Direttiva sulla protezione dei dati (del 1995) con l’obiettivo di rendere più forte e omogeneo il controllo sulla privacy in Europa. Il GDPR stabilisce principi fondamentali per il trattamento dei dati personali, tra cui il principio di trasparenza, l’obbligo di limitare la finalità, l’accuratezza dei dati, la limitazione della conservazione dei dati e l’integrità e la riservatezza dei dati.
Inoltre, il GDPR richiede che il consenso per il trattamento dei dati personali sia libero, specifico, informato e inequivocabile. Le aziende devono ottenere il consenso esplicito degli utenti per trattare i loro dati personali, e gli utenti devono essere in grado di revocare il consenso in qualsiasi momento. In conformità al GDPR, è quindi necessario ottenere un consenso esplicito prima di utilizzare i cookie non essenziali, ad esempio quelli utilizzati per scopi di marketing o di tracciamento. Ecco perché ci viene chiesto di accettare i cookies ogni qualvolta accediamo ad un sito web. L’entrata in vigore del GDPR ha creato scompiglio e paure. Intanto, è bene sapere che per rispettarlo occorre in primo luogo avere proprio un documento di privacy policy conforme.
Privacy policy: sanzioni
La privacy policy è obbligatoria per legge. In sua assenza, un sito web può incorrere in multe che partono dai 3mila euro e raggiungono i 50mila euro. I controlli possono essere effettuati dal Garante della Privacy oppure dalla Guardia di Finanzia. Questi controlli avvengono soprattutto in seguito a segnalazioni. In ogni caso, è bene non rischiare. Anche perché, al di là delle multe, la mancanza di una privacy policy può danneggiare la reputazione dell’azienda agli occhi degli utenti, dei clienti e dei partner commerciali, che potrebbero percepire l’azienda come non affidabile o poco trasparente.