Informativa privacy siti web: Cos’è e perché non possiamo fartela noi

Perché parliamo ancora di informativa privacy siti web nel 2023? Per il semplice motivo che, la maggior parte delle aziende, piccole o grandi che siano, non hanno ancora recepito le indicazioni di legge relative agli obblighi per la gestione dei dati dagli utenti raccolti attraverso la propria attività.
La “normativa sulla privacy”, come viene comunemente definita, non è in realtà una questione riconducibile alla sola attività online, ma è un argomento ben più complesso ed orizzontale su molte delle attività operate dalle aziende.

Normativa privacy sito web e GDPR 2016/679

Questo argomento deriva dall’interpretazione del GDPR (Regolamento generale sulla protezione dei dati) che è una normativa europea che stabilisce le regole per il trattamento dei dati personali degli individui all’interno dell’Unione Europea. Entrato in vigore il 25 maggio 2018, il GDPR ha l’obiettivo di proteggere i diritti fondamentali dei cittadini europei e di garantire che i loro dati personali vengano trattati in modo giusto e trasparente. Il GDPR si applica a qualsiasi organizzazione che tratta dati personali di individui all’interno dell’UE, indipendentemente dalla sua sede o dalla sua nazionalità.

Ora, benché se ne parli ormai in modo massivo da ormai cinque anni, cerchiamo di capire davvero che cosa sia l’informativa sulla privacy e come intervenga sull’attività delle imprese e dei professionisti in Italia.

Informativa privacy siti web

Prima di tutto è necessario sottolineare come l’informativa sul trattamento dei dati personali, più comunemente chiamata informativa sulla privacy, sia un documento redatto dall’impresa e che deve essere fornito a quanti forniscano dati personali all’impresa stessa.
Questo è il documento con il quale il titolare del trattamento, in forma scritta o orale, informa il soggetto interessato circa le finalità e le modalità del trattamento medesimo. E’ il documento atto a legittimare e a rendere trasparente la raccolta e l’utilizzo di dati personali.

Informativa privacy: i contenuti

I contenuti dell’informativa sono elencati in modo chiaro negli articoli 13 e 14 del Regolamento GDPR [1]

L’informativa deve necessariamente indicare:

  • L’identità e dati di contatto del titolare e, ove applicabile, del suo rappresentante;
  • I dati di contatto del responsabile della protezione dei dati, ove applicabile;
  • Le finalità del trattamento e la base giuridica dello stesso;
  • Gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • Ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale; [2]
  • Qualora il trattamento si basi sul legittimo interesse del titolare, quale interesse è perseguito dal titolare o da terzi.

In aggiunta, per garantire un trattamento corretto e trasparente, il titolare può anche indicare ulteriori informazioni indicate quali, a titolo esemplificativo ma non esaustivo, il periodo di conservazione dei dati personali, l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali, la rettifica o la cancellazione degli stessi, la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento nonché il diritto di proporre reclamo a un’autorità di controllo.

Ecco che quindi risulta palese che il trattamento dei dati personali non è solo una questione relativa ai siti web, ma investe in toto tutta l’attività aziendale.

Privacy policy per il sito web: cosa deve contenere?

L’intenzione di questo articolo è però quella di circoscrivere la problematica alla gestione dei siti web aziendali in modo da capire come il regolamento GDPR intervenga su alcuni contenuti da inserire obbligatoriamente all’interno degli stessi.

Il cosiddetto “testo della privacy” o “informativa sulla privacy” dei siti web è infatti un estratto dal documento principale sul trattamento dei dati personali dell’azienda, che redatto ad hoc per il web, informa il visitatore del sito sulla finalità del trattamento dei dati forniti. La raccolta delle informazioni personali degli utenti può avvenire attraverso diversi mezzi, come moduli di contatto, form di iscrizione alla newsletter, cookie e tracciamento dei dati di navigazione.

Solitamente è una pagina specifica del sito che descrive come l’azienda responsabile del sito web raccoglie, utilizza e condivide le informazioni dei propri utenti. Come detto è obbligatoria per legge per tutti i siti web che raccolgono informazioni personali degli utenti in Europa e negli Stati Uniti.

È fondamentale che gli utenti siano informati su quali informazioni vengono raccolte e come verranno utilizzate. L’utilizzo delle informazioni raccolte può essere finalizzato alla personalizzazione dell’esperienza di navigazione, all’invio di messaggi di marketing mirati o all’elaborazione di statistiche sull’utilizzo del sito. In ogni caso, è importante che gli utenti siano informati e che forniscano il proprio consenso per il trattamento dei propri dati personali.

La condivisione delle informazioni raccolte con terze parti, come aziende di marketing o enti governativi, deve essere chiaramente descritta nell’informativa sulla privacy. Gli utenti devono essere informati su con chi verranno condivise le loro informazioni personali e per quale scopo.

Gli utenti devono avere la possibilità di accedere e controllare le informazioni che un sito web ha raccolto su di loro. Questo include la possibilità di richiedere la modifica o la cancellazione delle proprie informazioni personali.

Scrittura del documento sulla privacy policy del sito web

Questo documento, dovrebbe essere un abstract opportunamente redatto, del più corposo e già citato documento sul “Trattamento dei dati personali” che un’organizzazione pubblica o privata deve obbligatoriamente possedere [3].

La sua redazione dovrebbe essere fatta da un professionista qualificato, verosimilmente dal soggetto che si è occupato della stesura del documento principale.
Non è quindi compito dell’agenzia o del web designer che si occupano della costruzione del sito redigere questo documento. E non è possibile nemmeno “copiarlo” da un altro sito in quanto, cosi facendo, si compie un illecito, appropriandosi di un documento, proprietà intellettuale di terzi.

Sito web senza privacy policy. Cosa succede?

Se un sito web non ha una privacy policy o un’informativa sulla privacy in conformità con il GDPR, può incorrere in sanzioni amministrative e penali.
In primis, può essere sanzionato dalle autorità competenti per la violazione delle norme sulla protezione dei dati personali. Le sanzioni possono comportare multe fino a 20 milioni di euro o fino al 4% del fatturato totale dell’anno precedente, a seconda di quale importo sia maggiore.
Inoltre, un sito web senza una privacy policy adeguata potrebbe anche incorrere in sanzioni da parte dei propri utenti, i quali potrebbero decidere di non utilizzare il sito o di non fornire informazioni personali, causando una perdita di traffico e di possibili clienti. Inoltre, mancanza di trasparenza e di informazione potrebbe generare diffidenza e sfiducia nei confronti del sito.

Per evitare queste conseguenze, è quindi importante che tutti i siti web abbiano un’informativa privacy in conformità con il GDPR e che essa sia facilmente accessibile agli utenti: solitamente la pagina dedicata è sempre raggiungibile da un link posizionato nel footer di tutte le pagine del sito o quantomeno della Homepage del sito stesso.

La privacy policy sito web però è solo uno degli elementi obbligatori a livello legale in un sito web. Esistono anche altri elementi molto importanti e obbligatori, ne parliamo in modo più approfondito nel nostro articolo.

[1] Gazzetta ufficiale dell’Unione europea | L 119/1 REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

[2] Questa è, ad esempio, la norma alla base della controversia tra Google e l’unione europea riguardante la gestione di dati di cittadini europei su server localizzati negli Stati Uniti.

[3] In generale, le aziende, le organizzazioni pubbliche, le ONG, i professionisti indipendenti, i siti web, le applicazioni, i social network, i negozi online, i fornitori di servizi di cloud computing, sono tutti soggetti che devono adempiere a questa normativa.

Michele Scarpellini
DIRETTORE CREATIVO

Restiamo in contatto con la nostra newsletter

Unisciti al gruppo e non perderti nemmeno un aggiornamento dal mondo Voxy! Ogni mese un nuovo argomento utile alla tua attività e alla tua sete di conoscenza.

Iscriviti



    Unisciti al gruppo e non perderti nemmeno un aggiornamento dal mondo Voxy! Ogni mese un nuovo argomento utile alla tua attività e alla tua sete di conoscenza.

    Inserisci il tuo indirizzo email:
    Autorizzo Privacy Ho letto l'Informativa Privacy ed acconsento all'invio ed al trattamento dei miei dati personali. *
    Autorizzo Invio Newsletter Acconsento al trattamento dei dati per invio di comunicazioni promozionali da Voxart. *
    No grazie, non voglio ricevere la newsletter.