L’informativa sulla privacy (o privacy policy) è importante non solamente per ingenerare fiducia nei propri clienti dimostrando che la loro privacy è importante, ma anche perché richiesta dalla normativa sulla privacy.
L’informativa sulla privacy dovrà essere rilasciata da tutti coloro che trattato dati personali per fini diversi da quelli di natura personale o domestica. È irrilevante in questo contesto che la raccolta dei dati personali avvenga online o di persona.
Di seguito vediamo 7 elementi che la privacy policy deve contenere per essere ritenuta valida.
1. Informazioni sul titolare del trattamento
2. Finalità del trattamento dei dati personali
4. Destinatari dei dati personali
5. Trasferimenti dei dati all’estero
1. Informazioni sul titolare del trattamento
Il titolare del trattamento è definito direttamente dal GDPR come:
la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4, n. 7, GDPR).
In questo caso sarà considerato come titolare del trattamento chi determina:
➤ la tipologia dei dati personali da trattare;
➤ la ragione per cui i dati vengono trattati;
➤ come i dati personali vengono trattati.
La normativa richiede che, nel momento in cui vengono ottenuti i dati personali, il titolare del trattamento informi l’interessato della sua identità e dei suoi dati di contatto (art. 13, comma 1, lett. a), GDPR).
Sarà pertanto necessario indicare il nominativo della persona fisica o giuridica e i dati di contatto quali l’indirizzo, e-mail e numero di telefono.
Se si è nominato un responsabile della protezione dei dati, i suoi recapiti possono essere indicati nella stessa sezione.
2. Finalità del trattamento dei dati personali
Il GDPR (art. 5, comma 1, lett. b)) impone al titolare del trattamento di raccogliere i dati personali per finalità che sono:
➤ determinate;
➤ esplicite;
➤ legittime.
In questa sezione andrà quindi precisato in modo chiaro e comprensibile la finalità per cui i dati personali vengono raccolti, nonché l’indicazione dei dati raccolti. Da tener presente che i dati personali raccolti non potranno essere trattati per finalità diverse da quelle indicate nell’informativa privacy. Qualora si desiderasse utilizzare i dati raccolti per finalità ulteriori, il titolare del trattamento dovrà chiedere nuovamente il consenso.
3. Base giuridica
Ogni attività di trattamento dei dati personali deve essere fondata su una delle basi giuridiche indicate dall’art. 6 del GDPR. Il trattamento dei dati personali è lecito se ricorre una delle seguenti condizioni:
➤ l’interessato ha espresso il consenso al trattamento;
oppure il trattamento è necessario per:
➤ dare esecuzione ad un contratto con l’interessato;
➤ adempiere ad un obbligo legale;
➤ salvaguardare interessi vitali dell’interessato;
➤ dare esecuzione ad un compito di interesse pubblico;
➤ perseguire il legittimo interesse del titolare del trattamento (a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato).
Se il trattamento dei dati viene fondato sull’interesse legittimo del titolare del trattamento, questo dovrà essere indicato esplicitamente.
Se il trattamento è fondato sul consenso dell’interessato, il titolare del trattamento dovrà dare esplicita comunicazione nell’informativa privacy della possibilità di ritirare il consenso. Attenzione a non fondare il trattamento su una diversa base giuridica una volta che il consenso viene ritirato se questo era alla base del trattamento.
4. Destinatari dei dati personali
Il GDPR richiede che il titolare del trattamento comunichi all’interessato i destinatari o le categorie dei destinatari dei dati personali (art. 13, comma 1, lett. e)).
Per destinatario deve intendersi:
la persona fisica o giuridica, l’autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi (art. 4, n. 9 GDPR).
Dovrà quindi essere data specifica indicazione dei soggetti a cui i dati personali verranno comunicati (ad es. incaricati del trattamento, collaboratori esterni e così via).
5. Trasferimenti dei dati all’estero
Qualora i dati personali raccolti siano oggetto di trasferimento all’estero, il titolare del trattamento dovrà darne indicazione all’interessato. Se, per contro, non vi sarà alcun trasferimento basterà semplicemente indicare che i dati non saranno oggetto di trasferimento all’estero.
6. Periodo di conservazione dei dati
Tra le informazioni che devono essere fornite all’interessato vi rientra il periodo di conservazione dei dati personali da parte del titolare del trattamento.
Per il GDPR, i dati personali dovrebbero essere limitati a quanto necessario per le finalità del loro trattamento (considerando 39 GDPR). A questo è collegato l’obbligo di conservare i dati personali per un periodo limitato, e comunque non oltre il periodo necessario per portare a termine lo scopo per cui i dati sono stati raccolti.
Si dovrà quindi dare specifica indicazione del periodo di conservazione dei dati (ad es. 6 mesi o 1 anno), oppure dei criteri usati per determinare tale periodo (ad es. fornire una risposta alla domanda inviata tramite mail).
Qualora si raccogliessero diverse categorie di dati, si potrà indicare il periodo di conservazione per ciascuna categoria.
7. Diritti dell’interessato
Questa rappresenta una delle più importanti sezioni dell’informativa privacy perché l’interessato viene posto a conoscenza dei suoi diritti e di come esercitarli.
Una volta indicata la lista dei diritti degli interessati, si dovrà fornire l’indicazione su come poter contattare il titolare del trattamento per esercitarli. Si potrà anche indicare quali informazioni l’interessato dovrà allegare per identificarsi al fine di ricevere una risposta.
Il titolare del trattamento dovrà anche indicare il tempo entro cui potrà fornire una risposta tenendo comunque in considerazione che non potrà essere superiore ad un mese dal giorno del ricevimento della richiesta. Quando la richiesta è caratterizzata da una particolare complessità, il termine potrà essere prorogato di due mesi, ma l’interessato dovrà essere adeguatamente informato.
Da ultimo, si dovrà indicare della possibilità di poter contattare l’Autorità garante per la protezione dei dati personali qualora si intenda proporre reclamo.
Conclusioni
L’informativa privacy (o privacy policy) dovrà essere redatta da ogni soggetto che svolge un’attività che non può essere considerata personale o domestica. Per cui, chiunque svolga un’attività commerciale dovrà munirsi di una privacy policy e assicurarsi di fornire l’informativa nel momento della raccolta dei dati personali.
Particolare attenzione va data al linguaggio utilizzato. L’informativa dovrà essere redatta con un linguaggio caratterizzato da semplicità e privo di tecnicismi o costruzioni linguistiche di difficile comprensione.
Il titolare del trattamento dovrà rendere l’informativa privacy facilmente accessibile a tutti gli interessati se fornita sul sito web e adottare i necessari accorgimenti per registrare l’eventuale consenso prestato. Se i dati vengono raccolti di persona, l’informativa dovrà essere allegata ad un eventuale contratto e successivamente archiviata.
All’interno dell’informativa potranno essere inserite altre sezioni per dare un’informazione quanto più possibile esaustiva (ad es. la cookie policy o informazioni circa la sicurezza dei dati e come questa viene raggiunta). Si dovrà però far attenzione a non rendere più difficoltosa la comprensione da parte dell’interessato mediante il sovraccarico di informazioni.
