Privacy policy di un sito internet

Che cos'è il documento di Privacy Policy

Il documento di privacy policy di un sito internet, regola le modalità di trattamento dei dati raccolti da un sito internet durante la navigazione da parte dell'utente.

Esso ha lo scopo preciso di informare l'utente circa il trattamento dei suoi dati personali secondo quanto previsto dalla legge e dal GDPR, che ha modificato profondamente la disciplina.

Per il garante della Privacy si definiscono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica.

Qual è la differenza tra Privacy Policy e Cookie Policy

Il documento di Privacy Policy e Cookie Policy sono documenti differenti ed integrabili.

Mentre la Privacy Policy serve a far sapere all'utente la modalità di raccolta, trattamento ed uso dei dati dell'utente all'interno di una pagina web.

La cookie policy serve a far conoscere all'utente i tipi di cookies che vengono utilizzati dal sito e quali sono le sue scelte sull'utilizzo degli stessi.

E' obbligatorio avere un documento di informativa di Privacy Policy?

Si, è obbligatorio avere un documento di informativa Privacy Policy in quanto l'utente deve essere edotto se il sito utilizzerà i suoi dati, in che maniera questi vengono trattati e l'uso che ne viene effettuato.

In mancanza di informativa, si rischiano multe da seimila a trentasei mila euro.

Che cosa significa trattamento dei dati personali?

Il punto principale del GDPR riguarda il trattamento dei dati che l'utente fornisce al sito durante la sua navigazione. Fondamentale quindi, è inserire nell'informativa quali sono i dati che vengono raccolti dal sito, la finalità e le modalità del trattamento dei dati. Il sito può raccogliere tutti i dati che vuole rispettando sempre la normativa GDPR, e deve informare l'utente sui dati che vengono raccolti. Inoltre, deve indicare quali sono le finalità del raccoglimento dei dati, se questi sono per motivi tecnici o per motivi di profilazione, ossia per motivi di marketing e pubblicità.

Infine, questi dati dovranno essere conservati per un periodo idoneo al raggiungimento delle finalità preposte dal sito, per poi essere cancellati. Quindi è obbligatorio che i dati trattati, le finalità del trattamento, e le modalità di conservazione degli stessi, vengano indicate in maniera chiara e concisa all'interno dell'informativa.

Chi è il titolare del trattamento dei dati?

Un sito web deve avere un Titolare del trattamento dei dati (Data Controller). Il titolare del trattamento è colui che ha potere decisionale e organizzativo sul trattamento dei dati forniti dall'utente, oltre che decidere le modalità di trattamento dei dati ed è il responsabile nei confronti del garante della privacy nel caso in cui non sia obbligatorio nominare un DPO (data protection officer o responsabile dei dati personali).

Il titolare del trattamento può essere il lavoratore autonomo o professionista che viene a contatto con i dati del cliente, così come il titolare di un e-commerce, quando questo non è obbligato a nominare un DPO. Quindi, nell'informativa, il titolare del trattamento sarà il titolare della pagina web o e-commerce.

Il titolare del trattamento ha varie funzioni, tra cui quella di raccogliere i dati, determinare le finalità e i mezzi del trattamento. Dovrà inolltre stabilire perché i dati personali devono essere trattati e come verranno trattati. Inoltre dovrà garantire la conformità normativa, ossia assicurarsi che la maniera del trattamento sia conforme alla normativa vigente.

Chi è il Responsabile del trattamento dati?

Il titolare del trattamento, è affiancato dal Responsabile del Trattamento (Data Processor). Questa figura è colui che tratta i dati per conto del titolare del trattamento. Ciò significa, che sarà un soggetto vicino al titolare, dal quale riceve direttive su come gestire i dati. Il Responsabile del trattamento deve essere una figura competente in grado di soddisfare a pieno la sicurezza posta in essere dal Titolare del trattamento.

Non è obbligatorio nominarlo e deve essere nominato solamente nel caso in cui il titolare del trattamento non sia in grado di gestire i dati.

Chi è il DPO o Responsabile della protezione dei dati?

Il Responsabile della protezione dati (Data Protection Officer DPO), nonostante venga nominato direttamente dal titolare del trattamento, è un soggetto indipendente da quest'ultimo.

Il DPO, detto RPD in Italiano, quindi, è un soggetto indipendente e tratta i dati con autonomia. Inoltre, è direttamente responsabile e comunica con il garante della privacy. In definitiva, la designazione del DPO riflette il nuovo approccio del GDPR, verso una responsabilizzazione del trattamento dei dati parte del titolare e del responsabile. Il ruolo del DPO è di tutelare i dati personali, non gli interessi del titolare del trattamento.

Quali sono le funzioni del DPO?

Il DPO svolge alcune funzioni essenziali per la protezione e la tutela della Privacy, quali ad esempio informare e consigliare il titolare del trattamento, il responsabile del trattamento e i dipendenti sugli obblighi derivanti dal GDPR e da altre disposizioni in materia di protezione dei dati. Il DPO inoltre monitora l'applicazione del GDPR all'interno dell'organizzazione, incluse le attività di sensibilizzazione e formazione del personale ed è a contatto con il garante della Privacy.

Il Dpo viene nominato da tutte le aziende pubbliche e da imprese che trattano i dati su larga scala, come le multinazionali. Inoltre, può venire nominato da chiunque si trovi con l'esigenza di trattare i dati dell'utente e gestirli.

Quando non è necessario nominare il DPO?

Il DPO è un soggetto esterno, che in alcuni casi dovrà essere nominato obbligatoriamente, in altri invece non è necessaria la sua presenza. Ciò non toglie, che il titolare del trattamento possa avvalersi di un DPO. Non sono obbligate a nominare un DPO:

• Piccole e medie imprese (PMI) che non trattano dati su larga scala: Le PMI che non effettuano trattamenti di dati personali su larga scala, non monitorano regolarmente e sistematicamente gli interessati e non trattano categorie particolari di dati personali su larga scala (come dati sensibili) non sono obbligate a nominare un DPO. Per esempio una libreria o un negozio di alimentari.
• Organizzazioni che trattano dati personali solo occasionalmente: Se il trattamento dei dati personali è occasionale e non rappresenta un'attività principale dell'organizzazione, e non comporta il monitoraggio regolare e sistematico su larga scala, la nomina di un DPO non è necessaria. Questo potrebbe essere il caso di uno studio professionale di Avvocati.
• Organizzazioni che non trattano categorie particolari di dati personali su larga scala: Se l'organizzazione non tratta categorie particolari di dati personali (come dati sulla salute, dati genetici, dati biometrici, ecc.) su larga scala, non è obbligata a nominare un DPO, come ad esempio un'associazione sportiva.

Cosa bisogna fare una volta firmato il documento di Privacy Policy?

Una volta compilato il documento di Privacy Policy di un Sito internet , questo dovrà essere inserito all'interno della pagina web o e-commerce e deve essere facilmente accessibile dall'utente.

La sezione legal del sito, generalmente posta in basso a destra nella pagina principale, comprende sia questo documento, che la cookie policy e le condizioni di uso del sito.

Il documento va revisionato periodicamente in caso di modifiche legislative.

Che cosa deve contenere un documento di Privacy Policy?

Un documento di Privacy Policy deve contenere:

• Chi è il titolare del trattamento dei dati, ossia la persona che è responsabile della pagina web o e-commerce. Questa figura è obbligatoria per ogni sito web o e-commerce. Si possono avere uno o più titolari del trattamento.
• Se è presente o meno un responsabile del trattamento dei dati, quando il titolare del trattamento non può
• Se è prevista la figura del DPO. Il DPO è obbligatorio in determinati casi previsti per legge

E' obbligatorio nominare il DPO quando:

- il trattamento di dati personali è effettuato da un'autorità pubblica o da un organismo pubblico;
- le attività principali dell'organizzazione consistono in trattamenti che, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala, tipica delle multinazionali
- quando le attività principali dell'organizzazione consistono nel trattamento su larga scala di dati sensibili (come ospedali o case di cura) o giudiziari

• Il nome del sito internet per cui si utilizza il seguente documento e il suo proprietario
• Quali dati vengono raccolti all'interno del sito, in che maniera questi vengono trattati e il tempo di conservazione dei dati stessi. Questo può riguardare anche eventuali dati raccolti per iscrizioni a servizi premium, newsletter e contact form.
• Se il sito o e-commerce trasferirà i dati ad altri soggetti, e se questi soggetti sono all'interno dell'UE, in caso di trasferimento dei dati al di fuori dell'UE, si dovrà informare l'utente.

 

Normativa di riferimento

REGOLAMENTO (UE) 2016/679 del Parlamento Europeo e Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Decreto Legislativo 101/18, recante "Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)" che modifica il Decreto Legislativo 196/2003, "Codice in materia di protezione dei dati personali."

Provvedimento del Garante della Privacy n. 231/2021, relativo alla "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie", cosi come modificato dal recante "Linee guida cookie e altri strumenti di tracciamento" (doc. web n. 9677876), pubblicato sulla Gazzetta Ufficiale n. 163 del 9 luglio 2021.

 

Assistenza di un avvocato

Potrai scegliere di consultare un avvocato se avrai bisogno di aiuto.

L'avvocato potrà rispondere alle tue domande o assisterti negli adempimenti opportuni. Questa opzione ti sarà proposta alla fine del documento.

 

Come modificare il modello?

Compili un modulo. Il documento viene redatto sotto i tuoi occhi man mano che inserisci le tue risposte.

Al termine, lo ricevi nei formati Word e PDF. Puoi modificarlo e riutilizzarlo.