Trattamento dati personali e informativa privacy per il sito web

Il concetto di “dati personali” è fondamentale per capire in che modo questi vengono a contatto con la gestione del sito web, determinando il tuo obbligo di intervenire con l’apposita disciplina sul trattamento dati personali privacy.

In generale si possono definire dati personali le informazioni che riguardano una determinata persona fisica: 

  • nome, codice fiscale, 
  • indirizzo, 
  • data di nascita, 
  • numero di telefono, 
  • sesso 

Si tratta, cioè, di tutti quei dati che permettono di identificare un certo soggetto, sia esso determinato o determinabile proprio grazie a queste informazioni.

Nel mondo digitale, per quello che riguarda più specificamente l’incidenza del trattamento dati personali GDPR sulla gestione del sito web, sono considerati dati personali anche le informazioni che riguardano l’indirizzo e-mail, l’indirizzo IP, i cookie e il fingerprint.

Già da queste poche righe potrai ben capire che la stragrande maggioranza dei siti web acquisisce queste informazioni quando un utente lo visita, oppure quando un utente si iscrive ad una newsletter o all’area riservata.

Ne deriva che, in tutti questi casi, si effettua un’opera di raccolta di questi dati da parte del sito: proprio questa raccolta qualifica il primo passaggio di quello che possiamo definire trattamento dei dati personali.

Quando avviene il trattamento e utilizzo dati personali online 

Escludendo le definizioni che non riguardano i portali online, il trattamento dei dati personali avviene quando il sito web acquisisce:

  • dati che identificano in modo preciso una persona (tra cui il nome, la data di nascita, una o più foto, l’indirizzo e-mail e quello di residenza fisica, oppure l’indirizzo IP);
  • dati che indicano la posizione geografica di una persona, acquisita mediante strumenti di comunicazione digitale;
  • dati relativi alla profilazione, e cioè idonei a determinare le abitudini di consumo o le modalità di utilizzo dei servizi di comunicazione digitale (tipico esempio quello dei social network o dei siti che presentano cookie commerciali);
  • dati bancari, tra cui IBAN, domiciliazione fiscale, e così via.

Informativa privacy per sito web

Nei casi appena citati sia le vecchie normative sulla Privacy che l’attuale GDPR prevedono a carico dei gestori dei siti web un insieme di informazioni che devono essere fornite agli utenti.

Queste informazioni, secondo quanto riportato dall’art. 13, par. 2 del Regolamento, devono essere scritte in modo chiaro e comprensibile: “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni […] relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro” (tratto da: www.privacy-regulation.eu/it/12.html).

È altresì probabile che, a questo punto, tu ti stia chiedendo come si traduce tutto questo nella gestione del tuo sito web. Ebbene, secondo il GDPR le informazioni fornite all’utente che immette i propri dati sul portale devono contenere:

  • la descrizione del trattamento cui verranno sottoposti i dati raccolti, con l’indicazione dei dati che vengono raccolti, delle modalità con cui avviene il trattamento, del soggetto che effettua il medesimo e del tempo per il quale verranno conservati i dati medesimi;
  • le finalità specifiche per ciascun singolo trattamento. Dunque, per ogni finalità, occorre richiedere un apposito consenso, per cui una stessa informativa privacy volta ad acquisire il consenso dell’interessato per l’iscrizione al sito o alla newsletter o per effettuare l’acquisto sulle store online non può valere anche per la profilazione commerciale;
  • l’elenco dei diritti degli interessati rispetto al trattamento e le modalità con cui questi possono essere esercitati, tra cui, in particolare, la descrizione delle procedure per l’accesso ai propri dati, per le modifiche o la cancellazione dei medesimi o per la revoca del consenso già prestato.

Gestione dati personali: il modello di informativa privacy

Da quanto sopra riassunto dovrebbe essere chiaro come l’informativa sulla privacy debba essere specifica per ogni singola operazione e finalità di trattamento.

Ne consegue che non esiste un modello standard applicabile a tutti i siti web. Bensì, ciascuno dovrà dotarsi di una informativa che contiene i dati richiesti dal regolamento, specificamente rivolta al fine per cui i dati sono richiesti.

In altre parole, se il tuo sito è un e-commerce dovrai indicare, in una sezione apposita e chiaramente raggiungibile, l’informativa riferita al trattamento dei dati personali che occorrono per poter procedere all’acquisto e al pagamento dei prodotti venduti.

Se, invece, ti occupi di un blog e vuoi offrire una newsletter ai tuoi iscritti, anche in questo caso dovrai fornire un’informativa specifica, indicando la finalità per cui tratterai i dati personali nel box di iscrizione.

Tutt’altra informativa, con indicazione specifica delle diverse finalità, nel caso dei cookie commerciali, dei banner pubblicitari e altro ancora.

Cos’è l’informativa privacy e perché serve per il trattamento dati personali? 

L’informativa privacy, chiamata anche “privacy policy sito web” è il documento con il quale si informano gli utenti del sito sulle modalità di trattamento dei dati e sulle finalità. 

Questo documento è obbligatorio secondo quanto previsto dall’articolo 13 paragrafo 1 del Regolamento Europeo sulla privacy, che così recita:

In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

Cosa deve contenere l’informativa sulla privacy

A spiegarci cosa deve necessariamente contenere l’informativa sulla privacy è invece il successivo art. 14: 

Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) le categorie di dati personali in questione;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

È dunque facile intuire, come l’informativa sia un documento personalizzato e non standardizzabile, che si basa sull’adeguamento al GDPR del soggetto che tratta i dati e sugli specifici trattamenti e modalità che questo adotta.

L’errore più comune che puoi fare è dunque quello di pensare che basti un’informativa standard per essere a norma GDPR!

Se hai bisogno di una consulenza approfondita e professionale sul tema e vuoi evitare eventuali sanzioni, non esitare a contattarmi! Richiedi una consulenza GDPR per mettere a norma il tuo sito web o e-commerce!