Ciao, se sei giunto in questa pagina, hai probabilmente dubbi e confusione sul significato, sulla funzione, oppure su come scrivere una privacy policy GDPR compliant.
Non temere, sei sulla pagina giusta, ma preliminarmente occorre fissare alcuni concetti importanti prima di stabilire come scrivere una privacy policy, come ad esempio: il perché è richiesta la predisposizione della suddetta policy e degli elementi sostanziali che la compongono.
Cos’è la privacy policy?
Ti premetto che la privacy policy (che può talvolta essere chiamata anche privacy prospect o privacy notice) – utilizzata con questo titolo, serve per informare i fruitori di un sito web su come il proprietario del sito stesso (l’organizzazione proprietaria del dominio) tratterà i loro dati personali, per quali finalità e per informali sull’utilizzo di cookie e di quale tipologia.
Dunque, la privacy policy è sostanzialmente, per l’appunto, un’informativa specifica relativa ai trattamenti operati sui siti web. Quindi la privacy policy è impiegata per il sito web. Stante la non poca confusione sull’argomento, bisogna fissare questo semplice concetto.
Quando serve la privacy policy?
Quando parliamo di privacy policy et similia, nella sostanza, ci stiamo riferendo ad una informativa sul trattamento dei dati personali, in questo caso nel contesto del sito web. Ben potrebbe sul sito web coesistere con la privacy e cookie policy una diversa informativa sul trattamento dei dati personali, per esempio quella relativa ai canditati prospect in presenza di una sezione sul sito web “lavora con noi”.
Il principio cardine è il seguente: qualunque sia il soggetto che raccoglie i dati personali degli interessati ed attua il trattamento degli stessi, deve rendere tante informative quanti sono i trattamenti effettivamente realizzati. Dunque, non è ammessa un’unica informativa generica ed onnicomprensiva.
Come detto, prima di valutare come scrivere una privacy policy e dunque stabilire come dovrebbe essere una privacy policy, occorre più in generale comprendere che cos’è un’informativa sul trattamento dei dati personali.
Il GDPR cos’è?
La normativa in materia di privacy, ovvero l’attuale GDPR compliance, prescrive e prescriveva anche dal 2003 che, in occasione della realizzazione di un trattamento di dati personali, l’ente, l’organizzazione o il professionista che li pone in essere deve informare l’interessato, ossia la persona fisica cui i dati si riferiscono, dei trattamenti di dati personali che lo riguarderanno, e ciò deve compiere in un momento antecedente all’effettiva realizzazione del trattamento. I macro-elementi che contraddistinguono un’informativa sono: (i) le finalità del trattamento (dove devono essere inserite le corrette basi giuridiche); (ii) le modalità di trattamento e conservazione; (iii) i tempi di conservazione dei dati personali.
Dalla modifica della legislazione privacy ad opera del GDPR (regolamento EU n.2016/679 c.d. General Data Protection Regulation) il consenso è confermato quale base giuridica per antonomasia, ma è stato retrocesso a base giuridica residuale di trattamento da utilizzare in determinati casi. Tema di cui tratterò più diffusamente in un separato articolo.
Quali sono le prime condizioni legittimanti il trattamento?
Come detto è da preferire la scelta delle altre basi giuridiche (art. 6 lett. b e segg. del GDPR), che però, per essere stabilite correttamente, devono innanzitutto essere frutto di analisi fattuale compiuta internamente all’organizzazione-ente sulla ponderazione delle finalità perseguite e delle modalità di raccolta dei dati personali, ma deve anche essere frutto di un supporto tecnico-giuridico specifico, ciò in quanto il principio della responsabilità-responsabilizzazione (accountability) rappresenta la via maestra da seguire ed integrare nei processi decisionali aziendali, evidentemente non fa eccezione l’ipotesi di scelta delle basi giuridiche di trattamento, che ben potranno essere oggetto di richiesta di spiegazione e di dimostrazione concreta con richiesta delle debite evidenze in occasione di una ispezione. Come si nota è compito che non può essere demandato a personale non qualificato e formato, stante la delicatezza della gestione dell’intero procedimento e ciclo di vita dei dati personali trattati.
Pertanto, in sintesi l’informativa privacy rappresenta:
- Adempimento fondamentale per chi si accinge ad effettuare un trattamento di dati personali;
- Momento espressivo di trasparenza da parte dell’organizzazione e parte degli elementi di conformità normativa;
- Strumento di controllo per l’interessato sui trattamenti che lo riguardano e presupposto per l’esercizio dei diritti allo stesso riconosciuti;
- Adempimento sempre necessario salvo rare ipotesi;
- Contenitore di specifici punti di informazione.
Stabilite le condizioni legittimanti il trattamento, le norme che vengono in considerazione sono innanzitutto gli artt. 13 (“Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”) e 14 (“Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato”) del GDPR, i quali delineano in modo tassativo quelli che devono essere i contenuti di una corretta informativa. Le vecchie informative rese ai sensi del D. Lgs. n.196/2003 non sono più attuali e valide, stante appunto la vasta portata delle modifiche ed integrazioni apportate dalla GDPR compliance.
Tornado invece alla privacy policy, come scrivere una privacy policy?
Ricorda cos’è la privacy policy e quando serve la privacy policy: tipo di informativa sul trattamento dati personali utilizzata nel contesto del sito web. I suoi elementi essenziali, che essa deve necessariamente contenere, sono:
- Dati e dati di contatto del titolare del trattamento e del Responsabile della protezione dei dati personali (D.P.O. se nominato);
- Finalità e base giuridica del trattamento;
- Categorie di dati personali trattati;
- Destinatari o categorie di destinatari dei dati;
- Diritti degli interessati;
- Modalità di esercizio dei diritti;
- Periodi di conservazione dei dati;
- Trasferimento dei dati verso paesi terzi;
- Cookie policy (con specifico punto nell’informativa o mediante separata policy);
- Diritto di reclamo o segnalazione all’autorità di controllo, il Garante Privacy.
Altro tema importate è rappresentato dal momento entro il quale bisogna fornire l’informativa, ovvero quando queste informazioni devono essere comunicate agli interessati e l’organizzazione è legittimata a compiere il trattamento di dati personali. In particolare, nel caso in cui si tratti di dati che siano stati raccolti direttamente presso l’interessato (cioè forniti dall’interessato e non ottenuti da altre fonti, come può avvenire, ad esempio, quando l’interessato dà il consenso affinché i propri dati siano utilizzati per finalità di marketing o per la ricezione di newsletter) art. 13 del GDPR, l’informativa dovrà essere fornita prima che l’organizzazione (in qualità di titolare del trattamento) inizi qualsiasi genere di operazione riguardante i dati raccolti. Nel caso in cui, invece, i dati personali non siano stati ottenuti presso l’interessato art. 14 del GDPR, ma ricevuti da terzi, l’informativa dovrà essere resa non più all’atto della registrazione dei dati come previsto nella precedente ipotesi, ma entro un termine ragionevole (a seconda delle particolari circostanze e della tipologia di dati e di trattamento) dall’ottenimento dei dati stessi (e che comunque non può essere superiore a un mese), oppure al momento della prima comunicazione dei dati all’interessato o al terzo.
Richiedimi una valutazione complessiva o un audit del tuo sito web, così da renderlo GDPR compliant e stabilire, al meglio ed in sicurezza, quali cookie sono necessari per perseguire le finalità di trattamento che hai scelto di perseguire.
DISCLAIMER
Il presente articolo ha il solo scopo di fornire informazioni di carattere generale. Di conseguenza, non costituisce un parere legale né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.