Trattamento dati personali e informativa privacy per il sito web

Il concetto di โ€œdati personaliโ€ รจ fondamentale per capire in che modo questi vengono a contatto con la gestione del sito web, determinando il tuo obbligo di intervenire con lโ€™apposita disciplina sul trattamento dati personali privacy.

In generale si possono definire dati personali le informazioni che riguardano una determinata persona fisica: 

  • nome, codice fiscale, 
  • indirizzo, 
  • data di nascita, 
  • numero di telefono, 
  • sesso 

Si tratta, cioรจ, di tutti quei dati che permettono di identificare un certo soggetto, sia esso determinato o determinabile proprio grazie a queste informazioni.

Nel mondo digitale, per quello che riguarda piรน specificamente lโ€™incidenza del trattamento dati personali GDPR sulla gestione del sito web, sono considerati dati personali anche le informazioni che riguardano lโ€™indirizzo e-mail, lโ€™indirizzo IP, i cookie e il fingerprint.

Giร  da queste poche righe potrai ben capire che la stragrande maggioranza dei siti web acquisisce queste informazioni quando un utente lo visita, oppure quando un utente si iscrive ad una newsletter o allโ€™area riservata.

Ne deriva che, in tutti questi casi, si effettua unโ€™opera di raccolta di questi dati da parte del sito: proprio questa raccolta qualifica il primo passaggio di quello che possiamo definire trattamento dei dati personali.

Quando avviene il trattamento e utilizzo dati personali online 

Escludendo le definizioni che non riguardano i portali online, il trattamento dei dati personali avviene quando il sito web acquisisce:

  • dati che identificano in modo preciso una persona (tra cui il nome, la data di nascita, una o piรน foto, lโ€™indirizzo e-mail e quello di residenza fisica, oppure lโ€™indirizzo IP);
  • dati che indicano la posizione geografica di una persona, acquisita mediante strumenti di comunicazione digitale;
  • dati relativi alla profilazione, e cioรจ idonei a determinare le abitudini di consumo o le modalitร  di utilizzo dei servizi di comunicazione digitale (tipico esempio quello dei social network o dei siti che presentano cookie commerciali);
  • dati bancari, tra cui IBAN, domiciliazione fiscale, e cosรฌ via.

Informativa privacy per sito web

Nei casi appena citati sia le vecchie normative sulla Privacy che lโ€™attuale GDPR prevedono a carico dei gestori dei siti web un insieme di informazioni che devono essere fornite agli utenti.

Queste informazioni, secondo quanto riportato dallโ€™art. 13, par. 2 del Regolamento, devono essere scritte in modo chiaro e comprensibile: โ€œIl titolare del trattamento adotta misure appropriate per fornire allโ€™interessato tutte le informazioni [โ€ฆ] relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaroโ€ (tratto da: www.privacy-regulation.eu/it/12.html).

รˆ altresรฌ probabile che, a questo punto, tu ti stia chiedendo come si traduce tutto questo nella gestione del tuo sito web. Ebbene, secondo il GDPR le informazioni fornite allโ€™utente che immette i propri dati sul portale devono contenere:

  • la descrizione del trattamento cui verranno sottoposti i dati raccolti, con lโ€™indicazione dei dati che vengono raccolti, delle modalitร  con cui avviene il trattamento, del soggetto che effettua il medesimo e del tempo per il quale verranno conservati i dati medesimi;
  • le finalitร  specifiche per ciascun singolo trattamento. Dunque, per ogni finalitร , occorre richiedere un apposito consenso, per cui una stessa informativa privacy volta ad acquisire il consenso dellโ€™interessato per lโ€™iscrizione al sito o alla newsletter o per effettuare lโ€™acquisto sulle store online non puรฒ valere anche per la profilazione commerciale;
  • lโ€™elenco dei diritti degli interessati rispetto al trattamento e le modalitร  con cui questi possono essere esercitati, tra cui, in particolare, la descrizione delle procedure per lโ€™accesso ai propri dati, per le modifiche o la cancellazione dei medesimi o per la revoca del consenso giร  prestato.
Cta Gdpr

Gestione dati personali: il modello di informativa privacy

Da quanto sopra riassunto dovrebbe essere chiaro come lโ€™informativa sulla privacy debba essere specifica per ogni singola operazione e finalitร  di trattamento.

Ne consegue che non esiste un modello standard applicabile a tutti i siti web. Bensรฌ, ciascuno dovrร  dotarsi di una informativa che contiene i dati richiesti dal regolamento, specificamente rivolta al fine per cui i dati sono richiesti.

In altre parole, se il tuo sito รจ un e-commerce dovrai indicare, in una sezione apposita e chiaramente raggiungibile, lโ€™informativa riferita al trattamento dei dati personali che occorrono per poter procedere allโ€™acquisto e al pagamento dei prodotti venduti.

Se, invece, ti occupi di un blog e vuoi offrire una newsletter ai tuoi iscritti, anche in questo caso dovrai fornire unโ€™informativa specifica, indicando la finalitร  per cui tratterai i dati personali nel box di iscrizione.

Tuttโ€™altra informativa, con indicazione specifica delle diverse finalitร , nel caso dei cookie commerciali, dei banner pubblicitari e altro ancora.

Cosโ€™รจ lโ€™informativa privacy e perchรฉ serve per il trattamento dati personali? 

Lโ€™informativa privacy, chiamata anche โ€œprivacy policy sito webโ€ รจ il documento con il quale si informano gli utenti del sito sulle modalitร  di trattamento dei dati e sulle finalitร . 

Questo documento รจ obbligatorio secondo quanto previsto dallโ€™articolo 13 paragrafo 1 del Regolamento Europeo sulla privacy, che cosรฌ recita:

In caso di raccolta presso lโ€™interessato di dati che lo riguardano, il titolare del trattamento fornisce allโ€™interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
a) lโ€™identitร  e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalitร  del trattamento cui sono destinati i dati personali nonchรฉ la base giuridica del trattamento;
d) qualora il trattamento si basi sullโ€™articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, lโ€™intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a unโ€™organizzazione internazionale e lโ€™esistenza o lโ€™assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui allโ€™articolo 46 o 47, o allโ€™articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

Cosa deve contenere lโ€™informativa sulla privacy

A spiegarci cosa deve necessariamente contenere lโ€™informativa sulla privacy รจ invece il successivo art. 14: 

Qualora i dati non siano stati ottenuti presso lโ€™interessato, il titolare del trattamento fornisce allโ€™interessato le seguenti informazioni:
a) lโ€™identitร  e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalitร  del trattamento cui sono destinati i dati personali nonchรฉ la base giuridica del trattamento;
d) le categorie di dati personali in questione;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, lโ€™intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a unโ€™organizzazione internazionale e lโ€™esistenza o lโ€™assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui allโ€™articolo 46 o 47, o allโ€™articolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

รˆ dunque facile intuire, come lโ€™informativa sia un documento personalizzato e non standardizzabile, che si basa sullโ€™adeguamento al GDPR del soggetto che tratta i dati e sugli specifici trattamenti e modalitร  che questo adotta.

Lโ€™errore piรน comune che puoi fare รจ dunque quello di pensare che basti unโ€™informativa standard per essere a norma GDPR!

Se hai bisogno di una consulenza approfondita e professionale sul tema e vuoi evitare eventuali sanzioni, non esitare a contattarmi! Richiedi una consulenza GDPR per mettere a norma il tuo sito web o e-commerce! 

Max Valle

Da oltre 30 anni, offro consulenza e servizi digitali ad aziende e professionisti che desiderano far crescere il proprio business. Attraverso l’acquisizione di nuovi clienti in modo etico ed efficace, e l’utilizzo delle piรน recenti tecnologie web, aiuto i miei clienti a raggiungere i loro obiettivi nel pieno rispetto delle normative vigenti.

  • Certified Professional Ethical Hacker nยฐ4053103 
  • International Web Association nยฐ0312827
  • Membro Federprivacy nยฐFP-9572
  • Associazione Informatici Professionisti nยฐ3241
  • Consulente Tecnico d’Ufficio (CTU)

Contattami
30 minuti gratuiti!
Contattami
30 minuti gratuiti!

Oppure chiamami gratuitamente:

Numero Verde Max Valle