5/5/2023 - di Davide Turrini
blog-im

Informativa sulla Privacy [guida rapida con modello]

Quando ti registri ad un sito web, avrai sicuramente notato che, prima di confermare la registrazione, ti viene proposta la lettura della cosiddetta “policy privacy”, ovvero quel documento in cui il sito web ti spiega come e perché potrebbe raccogliere i tuoi dati personali. Si tratta della famosa “informativa sulla privacy”, resa obbligatorio dal GDPR (link all’altro articolo) entrato in vigore nel 2018.

Scrivo contenuti per il web da quando le GIF animate erano la norma nei siti internet, quindi di evoluzioni in Rete ne ho viste parecchie. In queste righe, proverò a spiegarti in un linguaggio semplice cos’è l’informativa sulla privacy e quali contenuti deve avere.

Cos’è l’informativa sulla privacy?

Con il termine “informativa sulla privacy” si indica un documento, di valore legale, che un’azienda o un sito web deve sempre proporre alla propria utenza, all’interno del quale il soggetto scrivente dichiara in maniera esplicita in che modo gestisce ed elabora i dati dei propri visitatori e/o clienti. Nello specifico, inoltre, all’interno dell’informativa sulla privacy deve essere chiaramente detto se i dati sono poi mantenuti in maniera riservata o se invece sono condivisi (se non addirittura venduti) a terzi.

In buona sostanza, l’informativa sulla privacy è una dichiarazione d’intenti, in cui il sito web o l’azienda deve chiaramente farci capire come userà i nostri nomi, cognomi, ecc.

L’informativa sulla privacy deve essere sottoposta ben prima del consenso al trattamento dei dati personali, anche se l’utente è ancora in quella fase in cui non è detto che sia interessato al bene o al servizio erogato.

Ovviamente l’informativa sulla privacy non può essere scritta “a testo libero”, perché varie tematiche potrebbero essere mal interpretate e quindi sottrarsi a un’adeguata protezione dei dati personali.

I requisiti dell’informativa sulla privacy sono tutti indicati nel famoso (o famigerato, fai un po’ tu) GDPR: vediamo di cosa si tratta.

Cos’è il GDPR?

Anche se non sei un addetto ai lavori, ti sarai sicuramente trovato di fronte alla scritta “GDPR” centinaia di volte negli ultimi anni, senza però mai capire di cosa si tratta. Il General Data Protection Regulation (per gli amici GDPR, appunto) è il testo ufficiale dell’Unione Europea che regolamenta la protezione dei dati a partire dal 25 maggio 2018.

Qualunque sia il tipo di interazione fra soggetti, se vi è una procedura che prevede la raccolta dei dati personali, il soggetto richiedente deve esporre in maniera evidente l’informativa sulla privacy e deve soprattutto richiedere all’utente e/o cliente finale il consenso al trattamento dei dati raccolti.

Fra le novità interessanti del GDPR, oltre al consenso del trattamento, vi è anche la possibilità da parte dell’utente finale di cambiare idea in corso d’opera. Questo significa che sei hai fornito, ad esempio, alcuni tuoi dati personali a un e-commerce per acquistare un paio di scarpe, puoi chiedere successivamente la cancellazione dei suddetti.

Si tratta di una procedura molto importante, perché nella maggior parte dei casi non basta eliminare l’account da un sito web per cancellare i dati che hai fornito.

Fra gli addetti ai lavori la possibilità di cancellare i dati viene anche chiamata “diritto all’oblio”, ed è un argomento balzato più volte alle cronache soprattutto nei casi di “revenge porn”.

Cosa sono i dati personali, e perché c’è bisogno di un regolamento per proteggerli?

I dati personali sono semplicemente quelle informazioni che rendono possibile la tua identificazione, quindi non solo nome e cognome, ma anche indirizzi, contatti telefonici, info reddituali e sanitarie. Anche se agli occhi dell’utente medio possono sembrare banali informazioni, per chi sa usarli i dati personali rappresentano una miniera d’oro.

Se un soggetto conosce i tuoi gusti e le tue passioni, tanto per fare un esempio, può proporti contenuti o prodotti da acquistare che possono solleticare il tuo interesse.

Ti capita mai che, dopo aver cercato un prodotto su un motore di ricerca, questo ti viene proposto a ogni annuncio pubblicitario nei tuoi canali social? Ecco, questo è un esempio di come Google sfrutta i tuoi dati personali per quelle che vengono chiamate “campagne di remarketing”.

Cosa deve contenere l’informativa sulla privacy?

Tutto quello che c’è da sapere sull’informativa sulla privacy, ovviamente, è ben esplicitato all’interno del GDPR. Ti dirò di più: se sei interessato alla sola informativa sulla privacy, tutto quello che devi sapere lo troverai all’interno dell’articolo 13 del GDPR [1].

Tuttavia, se sei il classico utente web, quello che legge a malapena i titoli, al solo pensiero di dover leggere un intero articolo di un regolamento europeo ti sarà già venuto il mal di testa. Dato che non vorrei avere un’emicrania sulla coscienza, di seguito ti riassumerò quello che deve contenere un’informativa sulla privacy per definirsi completa.

Anzi, per fartela ancora più semplice, ti propongo l’elenco che vedi di seguito:

  • Finalità del trattamento
  • Titolare e (se presente) responsabile del trattamento
  • Dati personali trattati
  • Modalità di conservazione dei dati
  • Tempi di conservazione dei dati
  • Diritti di cui utente può beneficiare secondo la legge
  • Eventuale nomina DPO (Data Protection Officer)
  • Motivo del trattamento dei dati personalizzare
  • Eventuale trasferimento a terzi
  • Eventuale profilazione

Se stai per redarre un’informativa sulla privacy, quindi, assicurati che tutti gli elementi che ti ho indicato siano presenti, e potrai ritenerla corretta.

A tal proposito ti preciso che, quando parlo di profilazione, mi riferisco a quella procedura in cui i dati personali dei soggetti sono categorizzati in gruppi per creare campagne pubblicitarie ad hoc. Un esempio di profilazione lo troviamo proprio nel remarketing di cui ti parlavo in precedenza.

Quando non serve l’informativa sulla privacy?

Sempre a proposito dell’informativa sulla privacy, devi sapere che ci sono alcuni casi in cui non è richiesta. In linea generale, basterebbe dire che tale documento non è obbligatorio in tutti quei casi in cui non vi è alcun pericolo che i dati personali di un soggetto siano trattati per scopi commerciali.

In particolare, l’informativa sulla privacy non è prevista quando:

  • I dati sono già protetti dal segreto professionale
  • I dati si riferiscono a investigazioni difensive relative al codice penale
  • I dati sono raccolti in forma anonima (ad esempio sondaggi)
  • L’utente ha già ricevuto le informazioni necessarie.

L’informativa comprende il periodo di conservazione dei dati?

Sì, l’informativa sulla privacy comprende il periodo di conservazione dei dati. Ma ci sono delle precisazioni da fare.

Devi sapere, infatti, che se hai comprato uno smartphone su un sito web online nei primi anni Duemila, non è che oggi quel portale può ancora conservare i tuoi dati personali. Quando fornisci i tuoi dati a un’azienda o a un sito web, questi può conservarli solo per un periodo determinato di tempo.

Vorresti sapere per quanto tempo? Eh, bella domanda.

La situazione è in realtà ben più complessa, e lo capisci già solo leggendo quanto previsto dal GDPR in materia di conservazione dei dati. Sempre all’interno dell’art.13 (comma 2 lettera a), infatti, è specificato che il titolare del trattamento deve indicare “il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo”.

In poche parole, un sito web deve indicare o un periodo temporale preciso, oppure una serie di indicazioni estemporanee per non darti una risposta univoca. Indovina un po’ qual'è la procedura più utilizzata? Esatto, quella dei criteri.

Che poi, se c’è una cosa che abbiamo imparato dalle problematiche relative al diritto all’oblio, è che se anche un determinato portale cancella i tuoi dati, questi potrebbero comunque essere stati ceduti a terzi, che a loro volta ne sono quindi ancora in possesso. A mio modesto avviso, quindi, il periodo di conservazione dei dati è sicuramente un valore importante da fornire agli utenti, ma a oggi è poco più di uno specchietto per le allodole.

Modello di Informativa sulla Privacy

Qui trovi un modello di informativa sulla privacy da scaricare gratuitamente e compilare.

Download

Cosa scrivere sul CV [3 versioni]

L’informativa sulla privacy non è solo un dato astratto o una fastidiosa finestra di pop-up da chiudere appena si accede a un sito web, ma rappresenta anche qualcosa di più tangibile nella vita di tutti i giorni.

Prendi in considerazione il tuo Curriculum Vitae: quando lo sottoponi a un’azienda, devi riportare in calce al medesimo anche una specifica dicitura riguardante il trattamento dei dati personali.

Di seguito te ne propongo tre distinte, potrai usare quella che preferisci:

  • Autorizzo il trattamento dei dati personali contenuti nel mio curriculum vitae in base all’art. 13 del D. Lgs. 196/2003 e all’art. 13 GDPR 679/16.
  • Autorizzo il trattamento dei miei dati personali presenti nel cv ai sensi del Decreto Legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali” e del GDPR (Regolamento UE 2016/679).
  • Autorizzo il trattamento dei miei dati personali ai sensi del Dlgs 196 del 30 giugno 2003 e dell’art. 13 GDPR (Regolamento UE 2016/679) ai fini della ricerca e selezione del personale.

Come ben sai, queste diciture sul CV sono obbligatorie per legge, e se il tuo curriculum ne è privo non può essere visionato dalle aziende, anche se tu avessi le competenze del miglior dipendente del mondo.

O almeno questo è quello che in realtà ti avrei detto fino a qualche anno fa, perché oggi la situazione è in realtà ben diversa. A seguito del Decreto Legislativo del 10 agosto 2018, infatti, la dicitura relativa al trattamento dei dati personali non deve essere più riportata obbligatoriamente sui CV.

Tu adesso starai giustamente pensando: se non è più obbligatorio, perché mi proponi ben tre diciture diverse?

Per un semplice motivo: perché ancora oggi ci sono recruiter che scartano i CV privi di una delle diciture sopra indicate, anche se non sono più obbligatorie. Certo, un’azienda che ha recruiter non al passo con le normative forse sarebbe meglio perderla che trovarla, ma di questi tempi non è che puoi fare troppo lo schizzinoso se stai cercando lavoro.

Conclusione

Lo ammetto, un articolo sull’informativa sulla privacy non è quello che può propriamente definirsi “una botta di vita”, e per certi aspetti la noia la fa da padrona.

Tuttavia, conoscere questi aspetti è fondamentale non solo per le aziende e i siti web, ma soprattutto per gli utenti finali. Siamo abituati a postare sui social ogni aspetto della nostra vita, ma dovremmo ricordare più spesso che la foto di noi che mangiamo un piatto di carbonara può “ritorcersi” contro di noi con campane marketing dedicate alla pasta o al guanciale.

Questo quando ti va bene: pensa se il remarketing ti proponesse pancetta o panna!

author-img
Davide Turrini