Un'informativa sulla privacy1 è una dichiarazione che informa l'interessato sulle modalità di trattamento dei suoi dati. Nel caso del sito web, un'informativa sulla privacy informerà il visitatore sul trattamento dei suoi dati e sulle finalità del trattamento (ottimizzazione del sito web, analisi di mercato, ecc.).
Quando si costruisce un'azienda o si gestisce un sito web, questa non è la parte più eccitante su cui lavorare, ma è importante selezionare questa casella. Per semplificarvi la vita, abbiamo stilato un elenco di cose da tenere in considerazione.
- Qual è lo scopo di una politica sulla privacy?
- Ho bisogno di un'informativa sulla privacy per Google Analytics?
- Come si scrive un'informativa sulla privacy?
- Un esempio di informativa sulla privacy a più livelli
- Modello di informativa sulla privacy di Google Analytics
- Quando deve essere visualizzata l'informativa sulla privacy?
- Quali informazioni deve contenere la mia informativa sulla privacy?
Tuffiamoci nel vivo!
Qual è lo scopo di una politica sulla privacy?
Lo scopo principale di un'informativa sulla privacy è quello di fornire informazioni all'interessato (in questo caso, il visitatore del vostro sito web) sul trattamento dei suoi dati, secondo il principio di trasparenza2.
Dovete informare l'utente sul trattamento dei suoi dati: quali dati state trattando, su quale base, per quale scopo e così via. Dovreste inoltre informare l'utente sui suoi diritti ai sensi del GDPR (come la richiesta di cancellazione dei dati e la presentazione di un reclamo). Inoltre, dovreste facilitare l'esercizio di questi diritti fornendo un punto di contatto per qualsiasi richiesta o domanda.
Tenete presente che un'informativa sulla privacy si rivolge direttamente all'utente. Le informazioni devono essere il più possibile chiare e accessibili3. Utilizzate un linguaggio semplice e lasciate il gergo agli avvocati!
Ho bisogno di un'informativa sulla privacy per Google Analytics?
Sì, è necessaria. Google Analytics raccoglie cookie e indirizzi IP che sono dati personali ai sensi del GDPR. È inoltre necessario il consenso per elaborare i cookie, in quanto rientrano nella Direttiva ePrivacy4. Questo vale sia per i cookie di prima parte che per quelli di terze parti (questi ultimi sono associati a un dominio diverso da quello che l'utente sta visitando e tendono a essere più invasivi per la privacy).
Come si scrive un'informativa sulla privacy?
Non si tratta di scienza missilistica, ma nemmeno di una cosa semplice. La vostra informativa sulla privacy deve includere molte informazioni specifiche per essere conforme all'art. 13 del GDPR. 13 DEL GDPR. Allo stesso tempo, deve essere concisa, accessibile e chiara per rispettare l'art. 12(1) GDPR. 12(1) GDPR.
Può essere difficile includere tutte le informazioni richieste mantenendo l'informativa semplice e accessibile, ma un approccio a più livelli5 può aiutarvi a trovare un equilibrio. Un'informativa sulla privacy a più livelli fornisce le informazioni più importanti in anticipo. Rimanda il lettore ad altre risorse per informazioni più dettagliate (ad esempio, tramite link a pagine diverse o magari alle intestazioni pertinenti di un'unica informativa più estesa).
Un esempio di informativa sulla privacy a più livelli
Prima di tutto, un necessario disclaimer: questa non è una consulenza legale e non deve essere presa come tale. Ogni informativa deve essere adattata a un sito web specifico. Non copiate la vostra informativa da noi o da qualsiasi altro sito Internet! Se avete una certa conoscenza della legge sulla privacy, scrivetene una voi stessi o fatene redigere una da un esperto.
Detto questo, ecco un modello di esempio di informativa sulla privacy a più livelli:
Noi di awesomewebsite.com utilizziamo Google Analytics per raccogliere dati. Questi dati ci servono per capire come utilizzate il nostro sito web, in modo da poterne migliorare il design e la funzionalità. I dati ci servono anche per ottenere il massimo dalle nostre campagne di marketing.
Con il vostro consenso, Google Analytics elabora e raccoglie i vostri dati personali (cookie e indirizzo IP) per fornirci informazioni preziose. Google Analytics trasferirà i vostri dati negli Stati Uniti e li conserverà per 6 mesi. Per saperne di più sulle politiche di trasferimento dei dati di Google, cliccate qui.
Avete alcuni diritti sui vostri dati: ad esempio, potete chiederci di cancellarli o di fornirvene una copia. Ci assumiamo la responsabilità del trattamento dei vostri dati. Siamo a disposizione per rispondere a qualsiasi domanda e gestire qualsiasi richiesta da parte vostra. Cliccate qui per saperne di più sui vostri diritti e per scoprire come potete mettervi in contatto con noi.
Esprimete la vostra preferenza per i cookie:
- Acconsento al trattamento dei cookie non essenziali
- Rifiuto il trattamento dei cookie non essenziali Non leggeremo o scriveremo i cookie senza il vostro consenso.
Modello di informativa sulla privacy di Google Analytics
Noi di awesomewebsite.com utilizziamo Google Analytics per raccogliere dati. Questi dati ci servono per capire come utilizzate il nostro sito web, in modo da poterne migliorare il design e la funzionalità. I dati ci servono anche per ottenere il massimo dalle nostre campagne di marketing.
È necessario includere tutti gli scopi per cui vengono trattati i dati e distinguerli chiaramente. Questo è solo un esempio: se raccogliete dati personali anche per altri scopi, dovrete indicarlo.
Con il vostro consenso, Google Analytics elabora e raccoglie i vostri dati personali (cookie e indirizzo IP) per fornirci informazioni preziose. Google Analytics trasferirà i vostri dati negli Stati Uniti e li conserverà per x mesi. Per saperne di più sulle politiche di trasferimento dei dati di Google, cliccate qui.
A questo link è possibile spiegare che Google Ireland Ltd. trasferisce i dati a Google LLC e che utilizza clausole contrattuali standard per salvaguardare i dati. Dovreste chiarire cosa significa con un linguaggio semplice. Ad esempio:
Le clausole contrattuali standard sono clausole legali redatte dalla Commissione europea. Fanno parte di un contratto tra Google Ireland Ltd. e Google LLC, e Google LLC deve rispettarle. Le clausole contrattuali standard indicano a Google LLC cosa può o non può fare con i vostri dati.
Non è necessario riprodurre il contenuto delle clausole, ma si potrebbe fornire un link alla documentazione di Google.
Si noti che fornire queste informazioni non rende lecito il trasferimento dei dati. Google Analytics è praticamente vietato in quattro Paesi dell'UE (Austria, Francia, Italia e Danimarca) perché i trasferimenti di dati tra Google Ireland e Google LLC sono stati ritenuti in violazione del capitolo V del GDPR, e altri Paesi potrebbero seguirli. Non c'è nulla che possiate realisticamente fare al riguardo: se utilizzate Google Analytics, accettate un rischio di conformità. Abbiamo scritto di più sull'argomento qui.
Di conseguenza, si è acceso un dibattito sul fatto che tutte le versioni di Google Analytics siano considerate illegali o solo la versione attuale (universal analytics). La risposta breve è che le violazioni si applicano a entrambe le versioni di Google Analytics. Ne abbiamo parlato più diffusamente in questo blog.
Avete alcuni diritti sui vostri dati: ad esempio, potete chiederci di cancellarli o di fornirvene una copia. Ci assumiamo la responsabilità del trattamento dei vostri dati. Siamo a disposizione per rispondere a qualsiasi domanda e gestire qualsiasi richiesta da parte vostra. Cliccate qui per saperne di più sui vostri diritti e per scoprire come potete mettervi in contatto con noi.
Qui potete trovare informazioni sul diritto di accesso6, sul diritto di revocare il consenso7, sul diritto alla cancellazione8, sul diritto di presentare un reclamo nello Stato membro in cui l'interessato vive o lavora9 ed eventualmente sul diritto di opposizione10. Se trattate dati personali senza consenso11, fate attenzione a specificare quali categorie di dati l'utente può chiedere di cancellare. E chiarite che siete voi i responsabili della gestione delle richieste, non Google.
Dovete sempre fornire informazioni di contatto per la vostra organizzazione e, se avete un DPO e un rappresentante dell'UE, dovete fornire anche un contatto per loro. Le informazioni di contatto sono molto importanti nella pratica. Non limitatevi a compilare un'e-mail e a dimenticarvene: assicuratevi che le richieste vengano inoltrate a qualcuno che le gestisca effettivamente! Le aziende vengono spesso multate per non aver risposto tempestivamente alle richieste.
Se avete un DPO, indirizzate l'utente a lui per qualsiasi richiesta: la gestione di tali richieste fa parte del compito del DPO. Se non avete un DPO, è buona norma che qualcuno della vostra organizzazione sia responsabile di rispondere alle richieste. Indicate un contatto diretto nella vostra informativa sulla privacy12, in modo che le richieste non vengano trascurate tra la posta dell'organizzazione.
Esprimere la propria preferenza per i cookie:
- Acconsento al trattamento dei cookie non essenziali
- Rifiuto il trattamento dei cookie non essenziali Non leggeremo o scriveremo i cookie senza il vostro consenso.
Questa scelta deve essere presentata in termini chiari e non ingannevoli: sì o no. Se l'utente dice "no", rispettate la sua decisione e non mostrategli più il banner dei cookie.
Un utente potrebbe voler accettare i cookie per scopi specifici; ad esempio, potrebbe accettare i cookie di prima parte per l'ottimizzazione del sito web e rifiutare i cookie di marketing di terze parti. L'opzione "personalizza" è accettabile se l'opzione per rifiutare tutti i cookie è visibile, facilmente accessibile e chiaramente formulata. Non costringete gli utenti a scegliere tra cinque diverse impostazioni di cookie per dire "no" e non obbligate a scelte confuse come "accetta" o "personalizza".
Molte aziende non progettano direttamente i banner dei cookie e si affidano invece a una piattaforma di gestione del consenso. Valgono gli stessi suggerimenti: in poche parole, assicuratevi che i banner dei cookie siano chiari e consentano agli utenti di rifiutare facilmente il consenso.
Infine, se raccogliete alcuni dati personali senza consenso, dovreste includere anche queste informazioni. Ad esempio, potreste aggiungere un'ultima frase del tipo:
Raccoglieremo comunque alcuni dati in assenza di consenso. Cliccare qui per saperne di più.
Nel link è possibile specificare quali dati vengono raccolti e su quale base giuridica13.
Quando deve essere visualizzata l'informativa sulla privacy?
Se utilizzate Google Analytics, l'informativa sulla privacy deve essere visualizzata non appena l'utente arriva sul vostro sito web14. Dovreste anche includerla nel vostro sito web, in modo che gli utenti che ritornano possano accedere facilmente alle informazioni.
Da un punto di vista pratico, ha senso unire l'informativa al banner dei cookie, come abbiamo fatto nel nostro modello. Il banner sui cookie è comunque necessario e un solo pop-up fastidioso è meglio di due.
Una nota a margine: secondo il GDPR, ritirare il consenso deve essere facile come darlo15. Quindi il vostro sito web dovrebbe consentire agli utenti di ritirare facilmente il consenso in qualche modo. Non importa come, purché l'opzione sia semplice e facilmente accessibile. Potrebbe quindi essere conveniente includere un pulsante di opt-out o un'opzione simile nell'informativa visualizzata sul vostro sito web. Ma ricordate che questo meccanismo di opt-out non può di per sé raccogliere il consenso: dovete ancora farlo nel banner dei cookie!
Quali informazioni deve contenere la mia informativa sulla privacy?
La vostra informativa sulla privacy deve contenere tutte le informazioni richieste dall'art. 13 GDPR. 13 GDPR. Nel caso di Google Analytics, si tratta di:
- finalità e base giuridica del trattamento
- i dati di contatto del responsabile del trattamento, del DPO e del rappresentante dell'UE (se applicabile)
- i diritti dell'utente in quanto soggetto interessato (compreso il diritto di presentare un reclamo)
- se i dati saranno divulgati a terze parti
- se i dati saranno trasferiti al di fuori degli Stati Uniti e con quali garanzie
- per quanto tempo i dati saranno conservati
Si può pensare all'art. 13 come a una lista di controllo da compilare. 13 come una lista di controllo da seguire per assicurarsi che la propria politica sia conforme. In effetti, abbiamo scritto il nostro modello pensando a questo articolo. Ma non è sufficiente fornire tutte le informazioni: come abbiamo detto, queste informazioni devono essere fornite in forma chiara e accessibile.
Riflessioni finali
Il nostro modello fornisce le informazioni come parte di un banner sui cookie perché è comodo. Ma per essere chiari, un'informativa sulla privacy non riguarda solo i cookie: se state raccogliendo altri dati personali, dovete informare l'utente anche di questo.
Un'ultima parola: quando si parla di privacy, esiste un grande divario tra la teoria e la pratica. Molti siti web forniscono informazioni meno complete di quelle richieste e pochissimi siti web consentono di revocare facilmente il consenso. Quindi potreste farla franca, ma non sareste comunque conformi al GDPR.
In conclusione: Omettete le informazioni richieste a vostro rischio e pericolo (e vi sentirete in colpa).
... e se (la maggior parte) di tutto questo non fosse necessario? ... e se esistesse uno strumento di analisi che fornisce analisi web senza bisogno di un'ampia informativa sulla privacy? ... e se fosse possibile raccogliere informazioni sul traffico del proprio sito web senza bisogno di un cookiebanner?
Sì, è possibile... Abbiamo creato Simple Analytics con questo obiettivo. Volevamo creare uno strumento di analisi web che fornisse informazioni sul traffico del sito web senza bisogno di cookie per raccogliere dati personali. Crediamo nella creazione di un web indipendente che sia amichevole per i visitatori del sito. Se questo vi sembra un'idea condivisibile, non esitate a provarci.
#1 Per essere pedanti, questa è in realtà un'informativa sulla privacy. Una politica sulla privacy è un documento interno che stabilisce regole e linee guida sul trattamento dei dati personali all'interno di un'organizzazione. I due termini sono spesso usati in modo intercambiabile, anche dai professionisti della privacy. [^2]: Art. 5(1) Gdpr. 5(1) GDPR. [^3]: Art. 12(1) Gdpr. 12(1) GDPR. [^4]: Art. 5(3) ePriv. 5(3) Direttiva ePrivacy. [^5]: Linee guida del WP29 sulla trasparenza ai sensi del Regolamento 2016/679, par. 35 e 36. [^6]: Art. 15 GDPR. [^7]: Art. 7(3) GDPR. [^8]: Art. 17 GDPR. [^9]: Art. 77 GDPR. Si veda anche WP29, Linee guida sulla trasparenza ai sensi del Regolamento 2016/679, Allegato, pag. 39. [^10]: Questo vale solo se trattate i dati sulla base di un interesse legittimo: vedi Art. 21 DEL GDPR. [^11]: Sì, questo può essere lecito, ma non per i cookie. Si veda l'art. 6(1) GDPR e il nostro blog sul consenso. [^12]: Per essere chiari, è comunque necessario includere informazioni generali di contatto per la propria organizzazione. [^13]: Le basi giuridiche sono un argomento complicato. Il nostro blog sul consenso tocca brevemente il principio di liceità e un paio di basi giuridiche diverse dal consenso. Potremmo tornare sull'argomento a un certo punto. [^14]: Art. 13 GDPR 15 13 GDPR [^15]: Art. 7(3) GDPR. 7(3) GDPR.