Informativa privacy sito web GDPR

informativa-privacy-sito-web-gdpr

Informativa privacy sito web GDPR

8 punti da verificare nella tua informativa privacy del sito

Vuoi fare un controllo sull’informativa privacy del tuo sito web, per verificare se è tutto ok? Oppure stai per lanciare una nuova landing page o un nuovo sito e desideri essere sicuro che l’informativa contenga tutto ciò che è necessario?

Leggi l’articolo per scoprire gli 8 punti da verificare nell’informativa privacy del tuo sito web.

1) Contatti aziendali per la privacy

Il primo punto da controllare è se ci sono tutti i riferimenti per contattare l’azienda in merito a questioni legate alla privacy.

Controlla la presenza di:
Dati del Titolare del Trattamento:
Ragione sociale completa
Indirizzo fisico dell’azienda
Indirizzo Email per contattare il Titolare del Trattamento

Dati del DPO
(se è stato nominato dalla tua azienda)
Nome e cognome del DPO (il Rappresentante per la Protezione dei Dati)
Indirizzo e-mail per contattarlo.

2) Base giuridica del trattamento

Non si può trattare dati personali se non si ha un’idonea base giuridica che rende lecito farlo.

Nell’informativa privacy del tuo sito web, devi quindi indicare qual è la base giuridica per cui tu tratti i dati personali in modo legittimo.

E come faccio a sapere quale è la mia base giuridica?
Ti aiutiamo a fare chiarezza!

L’art. 6 del GDPR prevede 6 principi di liceità per trattare dati personali:
1. Consenso
2. Esecuzione di un contratto o di misure pre-contrattuali su richiesta dell’utente
3. Obbligo legale dell’azienda
4. Salvaguardia degli interessi vitali dell’utente o di un’altra persona fisica
5. Esecuzione di un compito di interesse pubblico, o legato all’esercizio di poteri pubblici di cui l’azienda è investita.
6. Legittimo interesse dell’azienda.

Nel digital marketing, in particolare per il sito web aziendale, le basi giuridiche più comuni sono:
– Consenso
Per esempio per le attività di marketing come le newsletter o la profilazione

– Esecuzione di un contratto o misure pre-contrattuali
Per esempio per la registrazione all’area riservata del tuo e-commerce, hai bisogno dei dati personali dell’utente per gestire poi i suoi acquisti online, e quindi il contratto di vendita con loro.

Nel caso in cui indichi questa base giuridica, devi anche indicare se l’interessato ha l’obbligo di fornire i dati personali (cioè quali sono i campi obbligatori) e quali conseguenze ci sono nel caso in cui non li fornisca (es. non potrete concludere il contratto di vendita).

La chimera del legittimo interesse
Il principio del legittimo interesse prevede che il Titolare del Trattamento possa trattare dati personali anche senza aver raccolto il consenso esplicito dell’utente, o nel caso non ci sia una delle altre basi giuridiche previste.

“Ma è fantastico! Voglio usarlo sempre per le attività di marketing! Altro che consenso!” starai pensando.

Non è così facile 😉
Intanto il legittimo interesse si può utilizzare solo quando questo non prevale su interessi, diritti o libertà fondamentali dell’interessato.
Questa è una valutazione che deve fare direttamente il Titolare del Trattamento.
Si basa sul principio di responsabilità (accountability).
Usare questa base giuridica per le attività di marketing è rischioso, perché, nel caso di contestazioni, sta all’azienda, o meglio al Titolare del Trattamento spiegare nel dettaglio i motivi per cui ha ritenuto che il suo interesse fosse superiore rispetto a interessi e diritti degli interessati…
Non è detto che poi le autorità confermino la valutazione che è stata fatta dall’azienda.

Un consiglio: evita il legittimo interesse come base giuridica da indicare nell’informativa privacy del tuo sito web, a meno che tu non sia assolutamente convinto del tuo maggiore interesse, rispetto ai diritti degli interessati…

3) Finalità

Nell’informativa devi indicare le finalità per cui tratti i dati personali. In pratica devi spiegare al tuo cliente perché gli stai chiedendo i suoi dati, quale è il tuo scopo.

Quali sono gli scopi per cui chiedi dati di un utente nel tuo sito web?
Immaginiamo sia perché, presto o più avanti, diventi tuo cliente 😊
Ma prova ad analizzare nello specifico i vari punti in cui gli chiedi i suoi dati personali (es. modulo di contatto, modulo di iscrizione newsletter, …), e cerca di motivare l’utente a darti i suoi dati, spiegandogli chiaramente perché glieli stai chiedendo:
– Per poter rispondere a delle richieste che ti fa sui tuoi prodotti o servizi
– Per mandargli la newsletter e tenerlo informati suoi tuoi prodotti o servizi
– Perché si registri alla tua area riservata, in modo che possa accedere a documenti riservati
– Perché si registri al tuo e-commerce, per poter effettuare acquisti online
– …

Nel descrivere le finalità, cerca di evidenziare il vantaggio che l’utente ottiene dandoti i suoi dati.

4) Destinatari o categorie dei destinatari dei dati personali

In soldoni: chi all’interno (o all’esterno) della tua azienda avrà a che fare con i dati personali del tuo utente.

Per semplificare, puoi indicare delle categorie, come ad esempio:
Dipendenti del Titolare del Trattamento:
– dipartimento marketing
– dipartimento commerciale
– ufficio spedizioni
– …

Responsabili esterni del Trattamento (se presenti):
– collaboratori esterni all’azienda
– software di terze parti come per es. Software di Email Marketing
– ….

5) Trasferimento dati personali fuori dall’Unione Europea

Nell’informativa privacy del sito web devi indicare al tuo utente se i suoi dati personali “prenderanno il volo” e verranno trasferiti al di fuori dell’Unione Europea.

Un consiglio: se i dati che raccogli dal sito web vengono trasferiti o caricati su software di terze parti (per es. per l’invio delle newsletter, il CRM, Live Chat sul sito, …), verifica nelle loro privacy policy se è indicato dove sono conservati i dati personali, e che garanzie di sicurezza forniscono nel caso in cui li trattino al di fuori dell’Unione Europea.

6) Periodo di conservazione

Per ogni finalità, indica per quanto tempo conserverai i dati personali del tuo utente, oppure devi indicare i criteri utilizzati per determinare quel periodo.
(es. max. 6 mesi dopo l’ultimo contatto commerciale).

7) Diritti degli interessati

Nell’informativa privacy del sito devi ricordare all’utente quali diritti ha per la tutela dei suoi dati personali:
– Diritto di accesso
– Diritto di rettifica
– Diritto di cancellazione
– Diritto di opposizione
– Diritto alla portabilità dei dati
– Diritto di revoca
– Diritto di reclamo all’autorità di controllo
– Diritto di revocare il consenso (se hai usato il consenso come base giuridica per trattare i dati personali.

8) Processo decisionale automatizzato (Profilazione)

Nelle attività di digital marketing, oggi, è rarissimo non fare uso della profilazione.

Quando c’è profilazione?
Quando si raccolgono informazioni su un individuo (o gruppo di individui), per inserirli in una categoria o gruppo, con lo scopo di analizzare e/o fare previsioni sulla loro capacità di eseguire un’attività, sui loro interessi o il loro comportamento futuro. L’attività di analisi e previsioni sul futuro può essere sia manuale che svolta in forma automatizzata (con tool e software).

Esempi pratici di profilazione nel digital marketing
Nel digital marketing, per esempio, si fa profilazione quando:

– utilizziamo il Facebook Pixel nel sito, per poi riproporre all’individuo una pubblicità mirata sul network Facebook, in base al comportamento che ha avuto nel sito (ha guardato un prodotto, ha comprato un prodotto online, l’ha inserito nel carrello, ma non ha completato l’acquisto, ha caricato il modulo di iscrizione newsletter, ma non l’ha inviato, …)

– vale anche per gli altri codici di remarketing (tag AdWords, Linkedin Insight Tag, ecc.)

– quando usiamo strumenti di marketing automation, che “profilano” gli utenti in base alle loro azioni sulle newsletter o sul sito, per mandare loro contenuti più specifici in base ai loro interessi.

– quando nell’area riservata del sito o dell’e-commerce possiamo analizzare le statistiche di accesso per ogni singolo utente, o su gruppi in base alle azioni svolte

– quando si fanno sondaggi ai clienti o ai visitatori del sito (che registrano le risposte singolarmente per ogni utente)

– quando si utilizzano “tessere fedeltà” (anche virtuali)

– … e in molte altre situazioni 🙂

Cosa va indicato nell’informativa privacy, in merito alla profilazione?
L’art. 13 del GDPR indica che nell’informativa privacy si deve indicare:
– se si fa profilazione (e anche se esiste un processo decisionale automatizzato)
– dare informazioni sulla logica utilizzata per la profilazione, e sulle conseguenze di tale trattamento per l’interessato.

Per es. se usi il pixel di Facebook, devi indicare perché lo usi e che conseguenze ha per il tuo utente – per esempio per proporgli sul network di Facebook pubblicità rilevanti in base ai contenuti per cui ha dimostrato interesse nel tuo sito.

BONUS: la forma dell’informativa privacy del sito web

Per quanto riguarda l’aspetto “formale” dell’informativa privacy, il GDPR specifica che deve essere:
– concisa
– trasparente
– intelligibile per l’interessato (ovvero comprensibile)
– facilmente accessibile (che si può trovare facilmente all’interno del sito)
– scritta in linguaggio chiaro e semplice (no al “legalese”).

Nell’informativa privacy puoi utilizzare anche delle icone per presentare i contenuti in modo sintetico, ma solo “in combinazione” con l’informativa completa. In questo caso dovresti avere un’informativa breve, che può essere semplificata con delle icone, e poi rimandare all’informativa completa con tutti i dettagli.



Utilizziamo cookie propri e di terze parti per gestire, migliorare e personalizzare la tua esperienza di navigazione del sito. Utilizziamo anche cookie di profilazione per inviarti messaggi pubblicitari in linea con le tue preferenze. Per maggiori informazioni su come utilizziamo i cookie e su come rimuoverli, consulta la nostra politica sui cookie. Cliccando sul pulsante “Accetto” o continuando a navigare il sito o questa pagina, acconsenti all’utilizzo dei cookie.