Indice
Cos’è la privacy policy e quando è obbligatoria?
La Privacy Policy di un sito internet è il documento contenente le informazioni attinenti al trattamento dei dati personali degli utenti che consultano il sito e usufruiscono dei servizi proposti.
La sua funzione essenziale è quella di informare gli utenti del sito sull’identità del Titolare del trattamento, sull’utilizzo che verrà fatto dei loro dati personali e dei diritti esercitabili. Con la predisposizione di una precisa e puntuale Privacy Policy trova attuazione il principio della trasparenza, uno dei principi fondanti del GDPR.
La privacy policy è obbligatoria quando:
- Quando il sito raccoglie dati personali degli utenti
- Quando i dati raccolti non sono per fini esclusivamente personali
- Quando un soggetto terzo è coinvolto nel trattamento dei dati personali
Cos’è il GDPR?
GDPR sta per General Data Protection Regulation, ovvero Regolamento Generale sulla Protezione dei Dati, il Regolamento Europeo 2016/679 che chiarisce come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione.
Per dati personali, nel contesto del GDPR, ci si riferisce a tutti i dati relativi a una persona vivente identificata o identificabile. Esempi di dati personali includono dati come nomi, dati genetici, biometrici o inerenti la salute, dati web come indirizzi IP, indirizzi e-mail personali, opinioni politiche e orientamento sessuale.
L’obiettivo del GDPR è quindi quello di rafforzare la protezione dei dati dando alle persone il pieno controllo dei propri dati.
Cosa deve contenere la privacy policy?
I contenuti di una Privacy Policy, al pari di ogni altra “Informativa Privacy”, sono elencati tassativamente negli articoli 13, paragrafo 1, e 14, paragrafo 1, del GDPR.
Una corretta informativa dovrà quindi contenere i seguenti elementi:
- l’identità dei dati del titolare del trattamento e i dati di contatto del Responsabile della protezione dei dati.
- Le finalità del trattamento cui sono destinati i dati personali e la base giuridica.
- Il legittimo interesse, indicando con esattezza quali legami siano i legittimi interessi perseguiti.
- Gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali.
- L’intenzione di voler trasferire i dati personali a un paese terzo o a un’organizzazione internazionale.
- Il periodo di conservazione dati.
- L’esistenza del diritto di revocare il consenso al trattamento dati.
- Diritto di proporre reclamo alle autorità di controllo.
- Informare in maniera chiara e precisa i dati non obbligatori da inserire.
- L’eventuale esistenza di un processo decisionale automatizzato.
Conseguenza per un sito sprovvisto di privacy policy
Se un sito è sprovvisto di privacy policy rischia delle multe piuttosto costose. Le sanzioni vanno infatti da un minimo di 3.000 euro, ad un massimo di 50.000 euro. Molti servizi controllano che ogni sito all’interno del proprio network sia provvisto di una Privacy Policy. Se non ne trovano una che informi gli utenti circa il loro servizio, bloccano l’account del titolare.
Le conseguenze legali per il mancato rispetto del GDPR possono consistere in sanzioni pecuniarie fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’organizzazione. Il GDPR conferisce inoltre agli utenti il diritto al risarcimento di eventuali danni derivanti dall’inosservanza delle norme da parte di un’organizzazione, rendendo in tal modo i trasgressori suscettibili di essere citati in giudizio.