Cosa significa politica sulla privacy?

Cosa si intende per informativa sulla privacy? Perché ogni sito web deve avere informazioni che illustrino chiaramente come vengono raccolti, utilizzati e gestiti i dati degli utenti. Quali sono le sanzioni in caso di mancato rispetto del GDPR?

I gestori di blog e siti web stanno diventando ossessionati dalla conformità al GDPR e dalla necessità di redigere la propria politica sulla privacy . Ora, perché è necessario redigere un documento che illustri chiaramente come vengono raccolti e gestiti i dati? Soprattutto, cosa deve contenere?

Gli utenti lasciano i loro dati personali come nomi, cognomi e indirizzi su Internet, insieme a molte altre informazioni che li identificano e tracciano il loro comportamento sul web. Negli ultimi anni il legislatore ha posto particolare attenzione alla raccolta di dati comportamentali per finalità di profilazione da parte dei siti web. Pertanto, il loro utilizzo è ora consentito solo dopo il consenso informato dell'utente. Il Parlamento Europeo ha regolato la materia con il Regolamento Generale sulla Protezione dei Dati (GDPR 2016/679) che, tra l'altro, obbliga tutti gli operatori del sito web a redigere una privacy policy .

Che cos'è una politica sulla privacy?

Il legislatore ha posto la tutela della privacy online degli utenti come obiettivo primario di ogni blog o gestore di siti web.

La privacy policy è il documento che ogni sito web deve redigere per specificare come vengono gestiti i dati personali. Le informazioni devono essere quanto più dettagliate possibile e illustrare chiaramente come verranno trattati e gestiti i dati personali dei visitatori affinché gli utenti possano esprimere liberamente il proprio consenso esplicito e informato. In primis, infatti, i dati personali includono i cookie utilizzati da Google Analytics per tracciare il comportamento dei visitatori.

Come accennato, l'obbligo di redigere una privacy policy per tutti i siti web deriva dal regolamento UE . Di seguito, scopri di cosa si tratta e cosa stabilisce.

Cos'è il GDPR?

Il Regolamento generale sulla protezione dei dati 2016/679 (alias GDPR ) disciplina e armonizza tutte le normative europee in materia attraverso 99 articoli e 173 “considerando”. Ogni Stato dell'Unione deve, quindi, attuarla senza margini di libertà. Il Regolamento è stato pubblicato sulla Gazzetta Ufficiale dell'Unione Europea il 4 maggio 2016 ed è entrato in vigore il 25 maggio 2018. Da tale data la compliance al GDPR è quindi diventata obbligatoria per tutti gli stati UE.

Il regolamento prevede che i dati debbano essere trattati esclusivamente previo consenso informato dell'interessato che deve conoscere le modalità di raccolta e utilizzo, nonché i possibili rischi connessi al loro trattamento. Non si tratta solo di diritto alla protezione dei dati personali , già sancito dalla direttiva 95/46 . Piuttosto, comporta una visione proprietaria dei dati dove l' autodeterminazione informativa è il principio cardine .

Da qui l'importanza per ogni gestore di siti web di avere un documento chiaro ed esauriente sulla privacy policy del proprio sito .

Caratteristiche dell'informativa sulla privacy

L'informativa ha lo scopo di informare l'utente circa le finalità e le modalità del trattamento dei dati effettuato dal titolare . Pertanto, deve essere chiaro, esaustivo e il più dettagliato possibile. Deve essere suddiviso in paragrafi indicanti il ​​titolare del trattamento dei dati, i diritti dell'utente, la tipologia dei dati trattati, la loro conservazione , il luogo e le finalità del trattamento, i cookie rilasciati dal sito, ed i link a contenuti esterni (più modi per modificare le impostazioni).

Garantire la trasparenza e la correttezza del trattamento , dalla raccolta alla gestione, è un dovere del titolare del trattamento che deve altresì dimostrare di poterlo fare in ogni momento.

In sostanza, la privacy policy deve indicare :

• il titolare del trattamento e il responsabile della protezione dei dati
• i dati personali oggetto di trattamento
• luogo e finalità del trattamento
• base giuridica del trattamento
• i destinatari
• trasferimenti di dati personali (soprattutto se verso paesi extra UE)
• modalità e periodo di conservazione
• diritti dell'interessato
• procedura di reclamo
• cookie coinvolti
• collegamenti a contenuti esterni
• come modificare le impostazioni

Nel caso di siti di e-commerce , il GDPR prevede espressamente che ciascun titolare sia responsabile del trattamento e debba dimostrare la propria sicurezza all'organismo di controllo attraverso le registrazioni del trattamento.

Chi deve redigere la privacy policy?

L'informativa privacy policy deve essere redatta dal Titolare del trattamento , ovvero il legale rappresentante del sito. Tale figura, infatti, è obbligata a stabilire le finalità e le modalità della raccolta e del trattamento dei dati . Il Titolare può anche delegare uno stretto collaboratore, ovvero un Responsabile della Privacy , purché nel documento sia chiaramente indicata la sua identità.

Le informazioni devono essere il più possibile pertinenti al caso specifico, ovvero personalizzate sul sito web e non "copiate". Per questo è consigliabile affidarsi a professionisti della materia.

Obbligo di politica sulla privacy

La privacy policy è un documento indispensabile per ogni sito web . È un dovere e non una scelta perché il trattamento dei dati dei visitatori è sia professionalmente fondamentale che espressamente regolamentato. Raccogliere, archiviare e analizzare le informazioni è un'attività vitale per un web marketer. Consente infatti di progettare e realizzare campagne estremamente personalizzate e, quindi, efficaci. Ma è altrettanto importante farlo nel pieno rispetto delle norme sulla privacy.

Fino a pochi anni fa la prospettiva degli obblighi in materia di dati personali era quella dell'abuso di raccolta. Oggi si tratta piuttosto dell'obbligo di gestire la privacy e di elaborare un sistema di registrazione regolarmente aggiornato e conforme al GDPR.

Questa è la logica dell'accountability , ovvero della corretta organizzazione e tracciabilità obbligatoria delle attività di tracciamento. Chi non riesce a garantire una corretta raccolta e gestione dei dati incorre in sanzioni (a prescindere dall'abuso).

Multe: cosa succede se un sito non ha una privacy policy?

L'utente che ritenga violato il proprio diritto alla riservatezza deve trasmettere al titolare del trattamento una richiesta di cessazione immediata del comportamento illecito. Se la risposta non arriva entro 30 giorni o se l'interessato la ritiene insufficiente, può presentare ricorso, reclamo o denuncia al Garante.

Il GDPR prevede sanzioni fino a 20 milioni di euro in caso di violazione dei dati personali. Al fine di verificare il rispetto della normativa, ha istituito la figura del Data Protection Officer (DPO) .

Le sanzioni sono divise in due fasce. Vengono attivati ​​in base alla gravità della cattiva condotta:

• la prima arriva fino ad un massimo di 10 milioni di euro o del 2% del fatturato se questo è superiore;
• la seconda fino ad un massimo di 20 milioni o 4% del fatturato .

Nel caso in cui la violazione abbia danneggiato anche l'interessato, deve essere previsto un risarcimento .

Modelli ed esempi di norme sulla privacy

Redigere un'efficace politica sulla privacy basandosi solo sui requisiti legali. Per una politica sulla privacy di un sito web, il modello GDPR offre informazioni dettagliate. Evita, infatti, qualsiasi “burocratese”. Sii semplice e diretto. Le informazioni possono essere pubblicate sul sito con un link alla home page.

È necessario personalizzare l'informativa sulla privacy in base alle specifiche del sito web . Evita qualsiasi copia/incolla da altri siti. Potresti voler fare affidamento su alcuni CSM.

Crea la tua privacy policy con WordPress

WordPress è probabilmente uno dei sistemi di gestione dei contenuti (CMS) più popolari, che offre anche supporto per la creazione di politiche sulla privacy . Infatti, nella sezione Privacy del menu, troverai un modello standard di privacy policy del sito web che può essere modificato e personalizzato . Il CMS offre linee guida dettagliate per la redazione di politiche sulla privacy valide con numerosi plugin dedicati. Ciò, tuttavia, non può garantire una privacy policy corretta al 100%, né garantire contro il rischio di sanzioni.

Privacy e Cookie Policy

I cookie sono spesso menzionati nel contesto dei dati personali. Cosa sono i cookie sui siti web ?

In breve, possono essere rappresentati come piccoli file di testo salvati nel browser durante la visita del sito. Si dividono in due tipologie:

• cookie di prima parte , che vengono depositati sul dominio navigato dall'utente
• cookie di terze parti , che sono memorizzati su un altro dominio

I cookie di terze parti consentono di tracciare il comportamento di un utente sul web, quindi le sue abitudini e i suoi interessi.

Sul versante privacy, i riflettori sono puntati proprio sui cookie di terze parti . Ciò ha spinto i principali browser come Firefox, Edge e Safari ad abbandonarli, mentre Google Chrome ha proposto un graduale processo di eliminazione, che si concluderà nel 2023.

L'informativa sulla privacy deve sempre indicare i cookie che veicola e come disabilitarla.

Il Garante ha precisato che la sezione cookie deve costituire parte integrante della privacy policy e non un documento separato. Se si trova su una pagina diversa, deve contenere il collegamento alle Informazioni.

Se in questo periodo di transizione da oggi al 2023 i dati sono raccolti da terze parti, l'informativa privacy deve indicare :

• le categorie di dati personali oggetto di trattamento
• la fonte dei dati personali

Infine, l'informativa sulla privacy può essere aggiornata , sia perché il Titolare può cambiare, sia perché il sito può implementare nuove tecnologie. Per questo motivo gli utenti sono invitati a visitarlo periodicamente.

Per concludere, non possiamo sottovalutare l'importanza di aderire al regolamento europeo sulla privacy, né panico.