Informativa sulla privacy conforme al RGPD

Informativa sulla privacy conforme al RGPD

Il Regolamento generale sulla protezione dei dati (RGPD) è una legislazione emanata dall'Unione europea per concedere ai residenti degli Stati membri maggior controllo sui dati che li riguardano. Secondo questa normativa, le organizzazioni che gestiscono dati appartenenti a residenti Ue dovranno rispettare le norme in materia di privacy e trattamento dei dati.

Uno dei requisiti e cambiamenti chiave è che le Informative sulla privacy devono essere aggiornate per rispecchiare i requisiti del RGPD. In alcuni casi, potrebbe essere necessario inviare o pubblicare un avviso di aggiornamento sui cambiamenti apportati all'Informativa sulla privacy.

Questo articolo si propone di promuovere una maggiore consapevolezza del RGPD e di mostrare come redigere un'Informativa sulla privacy alla luce di tale regolamento.


Che cos'è il RGPD e perché bisogna rispettarlo?

Il RGPD è una nuova legislazione in materia di sicurezza dei dati e della privacy sviluppata dal Parlamento Europeo e dal Consiglio per garantire la protezione dei diritti sui dati dei cittadini dell'Ue. Il regolamento interesserà tutte le aziende (compresi siti web e applicazioni mobili/desktop, ecc.) che effettuano transazioni commerciali con residenti degli Stati membri Ue.

Il 25 maggio 2018, il RGPD ha sostituito i contenuti della legge sulla protezione dei dati esistente, ovvero la Direttiva sulla protezione dei dati in vigore sin dal 1995. Se la vostra azienda raccoglie o sottopone a trattamento i dati di cittadini europei, dovrete conformarvi a tale regolamento. La mancata conformità potrebbe risultare in ingenti multe fino a €20 milioni o al quattro percento del reddito annuo, a seconda di quale dei due sia superiore.

Uno degli obiettivi e requisiti chiave del RGPD è tenere i cittadini dell'Ue informati sulle modalità di raccolta, utilizzo, condivisione, conservazione sicura e trattamento dei loro dati personali da parte delle aziende.

In virtù del RGPD, avete l'obbligo di informare i clienti sulle motivazioni alla base del trattamento dei loro dati e sul periodo di ritenzione. Dovrete spiegare in termini chiari e comprensibili le finalità di utilizzo dei dati e il tutto a titolo gratuito. Laddove gli utenti siano bambini, siete tenuti a informarli con un linguaggio di facile comprensione e non con un gergo giuridico.

Informazioni sul RGPD: testo completo del Motivo 58: Il principio della trasparenza

L'Informativa sulla privacy è uno dei mezzi più semplici per promuovere la trasparenza e informare gli utenti.

Informativa sulla privacy conforme al RGPD

Ai sensi del RGPD, si dovrà redigere un'Informativa sulla privacy semplice ma completa e renderla accessibile agli utenti.

Prima dell'introduzione del RGPD, la maggior parte delle norme sulla privacy includeva generalmente le seguenti informazioni:

  • Tipo di dati raccolti
  • Modalità di raccolta
  • Finalità di utilizzo
  • Modalità di conservazione sicura
  • Condivisione con terze parti
  • Eventuale controllo degli utenti

Adesso, tuttavia, il RGPD ha inasprito i requisiti sul contenuto di tale documento.

Need a Privacy Policy? Our Privacy Policy Generator will help you create a custom policy that you can use on your website and mobile app. Just follow these few easy steps:

  1. Click on "Start creating your Privacy Policy" on our website.
  2. Select the platforms where your Privacy Policy will be used and go to the next step.
  3. PrivacyPolicies.com: Privacy Policy Generator - Select platforms - Step 1

  4. Add information about your business: your website and/or app.
  5. PrivacyPolicies.com: Privacy Policy Generator - Add your business info - Step 2

  6. Select the country:
  7. PrivacyPolicies.com: Privacy Policy Generator - Add your business info - Step 2

  8. Answer the questions from our wizard relating to what type of information you collect from your users.
  9. PrivacyPolicies.com: Privacy Policy Generator - Answer questions from our wizard - Step 3

  10. Enter your email address where you'd like your Privacy Policy sent and click "Generate".

    PrivacyPolicies.com: Privacy Policy Generator - Enter your email address - Step 4

    And you're done! Now you can copy or link to your hosted Privacy Policy.

Diamo uno sguardo ad alcuni aggiornamenti e clausole che l'Informativa sulla privacy dovrà contenere a seguito del RGPD.

Titolare del trattamento dei dati e dati di contatto

Se avete il controllo dei dati personali dei vostri clienti oppure li sottoponete a trattamento per conto di altre aziende, è importante che i clienti ne vengano informati e conoscano la vostra identità e il ruolo che svolgete in materia di dati.

In questo esempio, Slack, un'azienda basata sul cloud, informa i suoi utenti che la sua società con sede in Irlanda è incaricata del controllo e del trattamento dei dati di clienti ubicati al di fuori degli Stati Uniti e del Canada. Aggiunge, inoltre, che la sua società con sede negli USA è responsabile del controllo e trattamento dei dati di clienti situati negli Stati Uniti e in Canada.

Informativa sulla privacy di Slack: clausole Responsabile della protezione dei dati e Identificazione del titolare e del responsabile del trattamento dei dati

Towergate adotta questo approccio nel suo Avviso di trattamento equo e la vostra Informativa sulla privacy potrebbe includere una clausola simile.

Avviso di trattamento equo di Towergate: clausola Chi siamo: dati di contatto del responsabile del trattamento dei dati in virtù del RGPD

Towergate comunica chiaramente ai suoi utenti che è responsabile del controllo dei dati e che eventuali dati forniti dagli utenti sono ritenuti da Towergate.

RPD e dati di contatto

Ai sensi del RGPD, non tutte le imprese sono tenute ad avere un Responsabile della protezione dei dati (RPD).

Tuttavia, se tale figura esiste, è necessario includere le relative informazioni sull'Informativa sulla privacy, corredate dei suoi dati di contatto.

L'Informativa sulla privacy di GitHub racchiude una tabella nella sezione Risoluzione di reclami che include i dati di contatto del RPD.

Informativa sulla privacy di GitHub: clausola Risoluzione di reclami con dati di contatto del RPD

Utilizzo dei dati per decisioni automatizzate

Il RGPD richiede che i clienti vengano informati riguardo all'uso di decisioni automatizzate (ad esempio, per il processo di Credit Scoring o la profilazione) nell'ambito della fornitura di servizi/prodotti.

Towergate si conforma a tale requisito come mostrato qui di seguito:

Avviso di trattamento equo di Towergate: sezione I tuoi diritti: decisioni automatizzate: RGPD

Gli 8 diritti degli utenti concessi dal RGPD

Il RGPD richiede di rendere noti agli utenti gli 8 diritti previsti dal Regolamento, ovvero:

  1. Il diritto di essere informato
  2. Il diritto di accesso
  3. Il diritto di rettifica
  4. Il diritto alla cancellazione
  5. Il diritto di limitare il trattamento
  6. Il diritto alla portabilità dei dati
  7. Il diritto di obiettare
  8. Diritti relativi al processo decisionale automatizzato e alla profilazione

Questi diritti possono essere inclusi in un'unica clausola dell'Informativa sulla privacy, seguendo l'esempio di Direct Travel:

Informativa sulla privacy di Direct Travel: clausola Diritti dell'interessato: RGPD

In alternativa, ciascun diritto può essere trattato in clausole distinte dotate di più dettagli personalizzati.

Un altro esempio di tale clausola è fornito da uSwitch, che spiega i diritti concessi agli utenti in virtù del RGPD:

Informativa sulla privacy di uSwitch: clausola I tuoi diritti: RGPD

uSwitch comunica ai clienti che hanno il diritto di interrompere il trattamento dei loro dati personali per scopi di marketing. Per esercitarlo, l'utente dovrà aggiungere o eliminare un segno di spunta sui moduli in fase di raccolta dei dati oppure comunicare la sua decisione, in un secondo momento, tramite e-mail.

GameStop comunica il diritto di accesso nella sua Informativa sulla privacy:

Informativa sulla privacy di GameStop: clausola Accesso, cambiamento, modifica dei dati personali

È estremamente importante gestire le richieste di accesso ai dati in modo adeguato.

L'Informativa sulla privacy di Twitter racchiude una clausola sulla portabilità, in cui spiega che gli utenti possono seguire un link per accedere a istruzioni su come scaricare le informazioni condivise attraverso il sito web.

Informativa sulla privacy di Twitter: clausola Portabilità

Twitter mette a disposizione un'ulteriore clausola sull'accesso e la rettifica dei dati personali direttamente nella pagina delle impostazioni dell'account.

Informativa sulla privacy di Twitter: clausola Accesso ai tuoi Dati Personali e rettifiche

La modalità è interamente a vostra scelta; ciò che importa è che l'Informativa sulla privacy faccia riferimento a questi 8 diritti.

Trasferimenti internazionali dei dati

Se trasferite i dati verso Paesi o organizzazioni internazionali, dovrete comunicarlo nell'Informativa sulla privacy. Vanno menzionate, inoltre, eventuali "misure di salvaguardia della privacy" che rientrano nell'ambito della vostra azienda.

Debenhams illustra questo punto come segue:

Informativa sulla privacy di Debenhams: clausola Trasferimenti di dati internazionali

Debenhams comunica ai suoi utenti che trasferisce i loro dati a un'organizzazione esterna ubicata al di fuori dello Spazio Economico Europeo (SEE). Afferma, inoltre, che tali trasferimenti avvengono nel pieno rispetto del Data Protection Act del 1998.

Base giuridica del trattamento dei dati

Il RGPD richiede di fornire una base giuridica per il trattamento dei dati personali dei clienti. Esistono 6 basi giuridiche, ovvero:

  1. L'interessato ha espresso il consenso al trattamento
  2. Il trattamento è necessario all'esecuzione di un contratto tra le due parti
  3. Il trattamento è necessario per adempiere a un obbligo legale
  4. Il trattamento è necessario per la salvaguardia degli interessi vitali dell'interessato
  5. Il trattamento è necessario per la protezione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri
  6. Il trattamento è necessario per il perseguimento di legittimi interessi, a condizione che non vengano infranti i diritti e le libertà fondamentali

Come si può notare, il metodo più semplice è ottenere il consenso al trattamento dei dati personali, su cui ci soffermeremo a breve.

Anche il motivo n. 6 è una base giuridica comune, dal momento che il termine "legittimo interesse" è piuttosto ampio.

Solitamente, queste informazioni fanno parte di una clausola intitolata "Modalità di utilizzo dei dati raccolti", come nel caso di Trello:

Informativa sulla privacy di Trello: estratto della clausola Le informazioni che raccogliamo incentrata sui legittimi interessi, la sicurezza e il consenso

Trello include anche una clausola specificamente dedicata alle Basi giuridiche del trattamento (per gli utenti del SEE):

Informativa sulla privacy di Trello: clausola Basi giuridiche del trattamento per utenti del SEE

Le basi giuridiche includeranno con ogni probabilità gli interessi legittimi, come la fornitura del servizio clienti, il marketing e altri interessi commerciali comuni. Si esorta a menzionare questi aspetti nell'Informativa sulla privacy di modo che gli utenti sappiano i motivi alla base della raccolta dei loro dati.

E, come già detto, è opportuno ottenere sempre il consenso dell'interessato prima di raccogliere o utilizzare i dati personali.

Modalità di ottenimento del consenso

Il RGPD prevede che, prima di raccogliere i dati personali degli utenti finali (come nome, numero di telefono, ecc.), bisogna richiedere e ottenere l'esplicito consenso dell'interessato. Se i dati raccolti sono di natura molto sensibile (come numero di carta di credito, codice fiscale, ecc.), è obbligatorio ottenere esplicitamente il consenso.

Gli utenti dovranno, inoltre, accettare i termini dell'Informativa sulla privacy.

Per ottenere il consenso dell'utente, si consiglia di fare ricorso a caselle di spunta o accordi di clickwrap. Qui di seguito si possono consultare alcuni esempi che dimostrano questo aspetto.

Sainsbury's fa uso di una casella di spunta per richiedere il consenso degli utenti, nonché di link alla pagina che racchiude Termini e condizioni. Inoltre, chiede il permesso di inviare informazioni di altro tipo mediante un semplice pulsante di opzione Sì/No.

Modulo di registrazione di Sainsbury's con accordo di clickwrap per i Termini e condizioni e permesso per ulteriori contatti

Data Protection Network permette di visualizzare i Termini e le condizioni del sito web in una pagina a scorrimento, in fondo alla quale una casella di spunta richiede il consenso dell'utente. Fa uso di un pulsante intuitivo con segno di spunta/croce per ottenere il consenso dell'interessato alla ricezione di messaggi e-mail. Inoltre, sulla stessa pagina fornisce un link all'Informativa sulla privacy.

Data Protection Network: modulo di registrazione con accordo di clickwrap per i Termini e condizioni e adesione alla ricezione della mailing list

Tali principi sono applicabili anche alle app. L'app Adobe ID utilizza accordi di clickwrap per richiedere agli utenti di acconsentire all'Informativa sulla privacy al momento della registrazione:

Schermata di registrazione di Adobe ID: esempio di clickwrap con consenso ai Termini e all'Informativa sulla privacy

Conclusione

Benché probabilmente la vostra azienda, sito web o app includa già un'Informativa sulla privacy, a seguito dell'introduzione del RGPD è necessario rivisitarla e aggiornarla per renderla più informativa e concisa e per includere specifiche informazioni non richieste in passato.

In aggiunta a ciò, è importante rafforzare i requisiti per il consenso con l'uso di caselle di spunta, pulsanti "Acconsento" e un testo chiaro che spieghi esattamente agli utenti su cosa stanno esprimendo il loro consenso.