Le Informative sulla privacy sono un requisito legale

In tutto il mondo, le leggi sulla privacy impongono che, in caso di raccolta di dati personali dai visitatori di un sito web, bisogna disporre di un'Informativa sulla privacy pubblicata sul sito e inclusa nell'app mobile (se pertinente).

Anche molti servizi di terzi impiegati per potenziare il funzionamento del sito (come strumenti di elaborazione dei pagamenti, suite di analisi e plug-in pubblicitari) richiedono la presenza di tale Informativa.

Questo articolo esplora alcune di queste leggi e requisiti, offrendo esempi delle clausole più importanti da includere in un'Informativa sulla privacy. Al termine, saprete esattamente perché è necessaria e potrete cimentarvi anche a creare la vostra.

Che cos'è un'Informativa sulla privacy?

Un'Informativa sulla privacy è un accordo giuridico che spiega il tipo di dati personali raccolti dai visitatori di un sito web, le modalità di utilizzo e le misure adottate per una conservazione sicura.

Tra gli esempi di dati personali figurano:

• Nome e cognome
• Data di nascita
• Indirizzo e-mail
• Indirizzo di fatturazione e spedizione
• Numero di telefono
• Estremi bancari
• Codice fiscale

Generalmente, un'Informativa sulla privacy racchiude:

• Il tipo di dati raccolti dal sito web o dall'app
• La finalità di raccolta dei dati
• Dettagli su conservazione, sicurezza e accesso ai dati
• Informazioni sui trasferimenti dei dati
• Siti web o organizzazioni affiliate
• Uso di cookie

L'introduzione informativa stilata da Etsy dà un'idea degli elementi costitutivi di un'Informativa sulla privacy:

Questa introduzione riassuntiva permette ai lettori di sapere esattamente cosa aspettarsi nel resto del documento.

Diamo uno sguardo ad alcune leggi specifiche e ai loro requisiti.

Leggi sulla privacy statunitensi

Il CalOPPA è una delle leggi sulla privacy più severe degli Stati Uniti. È applicabile a chiunque raccolga dati personali da soggetti residenti in California, per cui la sua portata va ben oltre i confini di Stato.

Benché severo, la conformità al California Online Privacy Protection Act non presenta particolari complicazioni. Il suo requisito chiave è la fornitura di un'Informativa sulla privacy.

CalOPPA

Il CalOPPA si propone di tutelare i dati personali raccolti dai residenti della California. Benché si tratti di una legge statale e non federale, la sede operativa non è rilevante e dovrà essere applicata a prescindere, dal momento che il sito potrebbe essere usato da utenti californiani.

Il CalOPPA richiede ai siti e alle app di disporre di un'Informativa sulla privacy facilmente accessibile e ben visibile. La Consumer Federation of California Education Foundation impiega questa descrizione del CalOPPA:

Secondo il CalOPPA, con il termine "informazioni personalmente identificabili" si intendono:

• Nome e cognome
• Indirizzo postale
• Indirizzo e-mail
• Numero di telefono
• Codice fiscale
• Qualsiasi altra informazione condivisa con un'azienda fisicamente o online
• Data di nascita
• Particolari dell'aspetto fisico (altezza, peso, colore dei capelli)
• Altre informazioni memorizzate online che potrebbero identificare uno specifico individuo

Conformità di un'Informativa sulla privacy al CalOPPA

Per essere conforme al CalOPPA, un'Informativa sulla privacy deve includere le seguenti informazioni:

• Dettagli sul tipo di dati personali raccolti sul sito o sull'app
• Eventuali organizzazioni affiliate con cui potrebbero essere condivisi i dati
• Chiara spiegazione delle modalità a disposizione degli utenti per richiedere modifiche ai dati personali raccolti
• Procedura adottata per informare gli utenti in merito a eventuali modifiche all'Informativa sulla privacy
• Data di validità dell'Informativa sulla privacy
• Azioni da intraprendere in caso di richieste "Non tenere traccia"
• Informazioni sulle terze parti che raccolgono dati personali sul sito web o app

Inclusione di una clausola "Non tenere traccia"

"Non tenere traccia" (Do Not Track o DNT in breve) è un'impostazione che può essere abilitata su certi browser per bloccare il monitoraggio comportamentale da parte di servizi terzi, come Google Adwords.

Il CalOPPA prevede che non è obbligatorio per un sito o un'app accettare una richiesta DNT, tuttavia agli utenti dovrà essere comunicato se si risponderà o meno alla richiesta.

Whole Foods informa gli utenti che le richieste DNT non saranno accettate e fornisce un link a ulteriori informazioni al riguardo:

Se la conformità al CalOPPA è obbligatoria per la vostra azienda, non dimenticate questa clausola.

Visualizzazione di un'Informativa sulla privacy conforme al CalOPPA

Per essere conforme al CalOPPA, un'Informativa sulla privacy deve:

• Essere ben visibile e facilmente accessibile per i visitatori del sito web o gli utenti dell'app
• Contenere il termine "privacy" nel link

Amazon include un collegamento ben chiaro a una Notifica sulla privacy nel footer:

Questo requisito facilita il reperimento dell'Informativa sulla privacy, garantendo una maggiore trasparenza.

Leggi sulla privacy negli Stati membri dell'Ue

Il 25 maggio 2018, il Regolamento generale sulla protezione dei dati (RGPD) ha sostituito la Direttiva Ue sulla protezione dei dati esistente, in vigore sin dal 1995.

La Direttiva sulla protezione dei dati dell'Unione europea ha disciplinato la raccolta e la gestione di dati personali in seno all'Ue, proteggendoli da un uso improprio.

Imponeva a tutte le aziende che operavano in uno Stato membro dell'Ue di disporre di un'Informativa sulla privacy.

RGPD

Il RGPD richiede a tutte le società operative negli Stati Ue e alle aziende straniere che gestiscono dati personali di cittadini europei di avere in essere un'Informativa sulla privacy. Questo requisito rispecchia il suo obiettivo volto a garantire che i dati personali siano ottenuti e trattati in modo equo.

Il RGPD è applicabile alle società europee e internazionali che raccolgono dati da cittadini degli Stati dell'Unione europea.

Il RGPD prevede che:

• Tutti i dati personali siano sottoposti a trattamento in maniera etica.
• I dati vengano raccolti solo per motivi predeterminati e utilizzati solo per questi motivi.
• I dati siano accurati e aggiornati su richiesta.
• A eccezione di circostanze specifiche, come dati di ricerche scientifiche, l'utente potrà essere identificato solo per la durata necessaria.
• L'azienda che raccoglie i dati è tenuta a monitorare la sua conformità al RGPD mediante la nomina di un Responsabile della protezione dei dati, se necessario.
• L'utente deve essere in grado di contattare l'azienda responsabile della raccolta dei dati e il suo Responsabile della protezione dei dati (se presente).
• Gli utenti devono essere informati in merito alle ragioni di raccolta dei loro dati e alla durata di conservazione.
• Gli utenti devono essere avvisati degli 8 diritti concessi loro dal RGPD, tra cui il diritto di accesso, aggiornamento o eliminazione dei loro dati personali.
• Un ente di vigilanza si occuperà dei reclami degli utenti ed è necessario fornire i suoi dati di contatto.
• Agli utenti deve essere comunicato se i loro dati saranno condivisi con eventuali terze parti o organizzazione affiliate oppure se saranno trasferiti al di fuori degli Stati membri dell'Ue.
• Qualsiasi altra informazione di cui l'utente deve essere a conoscenza per garantire un trattamento equo dei suoi dati personali.

Benché i fattori da prendere in considerazione per ottemperare al RGPD siano tanti, una componente assolutamente necessaria è un'Informativa sulla privacy conforme.

L'Informativa sulla privacy deve essere facilmente accessibile e bisogna ottenere il consenso esplicito degli utenti prima di raccogliere dati personali che li riguardano.

Per concedere il consenso alla raccolta di dati personali, gli utenti di IKEA devono spuntare una casella al momento di creazione di un profilo, dichiarando di acconsentire alla conservazione dei loro dati personali:

Il RGPD rappresenta un cambiamento rivoluzionario in materia di tutela dei dati, applicabile a imprese operative in seno e al di fuori dell'Unione europea e responsabili della raccolta di dati personali di cittadini Ue.

L'applicazione del RGPD è molto più severa delle normative precedenti e comporta sanzioni più ingenti in caso di mancata conformità.

Leggi sulla privacy in Canada

La Legge canadese sulla protezione dei dati personali e sui documenti elettronici (PIPEDA) tutela i dati personali di cittadini canadesi e richiede alle aziende che operano online in Canada di disporre di un'Informativa sulla privacy:

Se la vostra azienda rientra nell'ambito di applicazione del PIPEDA, sarete tenuti ad acquisire dimestichezza con i suoi requisiti e ad accertarvi che l'Informativa sulla privacy sia adeguata.

Leggi sulla privacy in Australia

La Legge sulla privacy australiana del 1988 impone a tutte le aziende che raccolgono dati personali online in Australia di avere un'Informativa sulla privacy.

Una delle sue caratteristiche chiave è un elenco di 13 principi sulla privacy che disciplinano la raccolta e il trattamento di dati personali.

Tutte le aziende hanno l'obbligo di essere aperte e trasparenti in merito alle loro attività di raccolta dei dati, che devono essere esposte in un'Informativa sulla privacy aggiornata.

Leggi sulla privacy nel Regno Unito

Nel Regno Unito, i dati personali sono protetti ai sensi del Data Protection Act (DPA). Al pari delle legge australiana, comprende 8 principi chiave di protezione dei dati che devono essere rispettati da tutte le società che raccolgono dati personali nel Regno Unito:

Informativa sulla privacy richiesta da servizi di terze parti

Anche svariati servizi di terzi impiegati dal sito web o dall'app richiedono la disponibilità di un'Informativa sulla privacy.

Ad esempio, i fornitori di servizi di newsletter esigono generalmente la presenza di un'Informativa sulla privacy per poter usufruire del loro servizio.

I Termini di servizio di Campaign Monitor includono questa clausola in materia di dati personali:

Il modo migliore per soddisfare questo requisito di informazione dei clienti è attraverso un'Informativa sulla privacy.

Tale Informativa dovrà anche essere resa disponibile sul sito o sull'app se si utilizzano servizi terzi che monitorano le abitudini di navigazione degli utenti o utilizzano i dati di localizzazione, come Google Analytics o Google AdSense.

SendPilot elenca tutte le categorie di servizi di terze parti a cui potrebbe fare ricorso per raccogliere o sottoporre a trattamento i dati dell'utente:

Google Analytics

Se si utilizza Google Analytics, è necessario aggiornare l'Informativa sulla privacy per soddisfare i Termini di servizio di Google Analytics. Poiché tale servizio fa uso di cookie per monitorare le abitudini di navigazione e i cookie raccolgono informazioni personali, l'Informativa sulla privacy è obbligatoria.

Requisiti dell'Informativa sulla privacy con le funzionalità standard di Google Analytics

Secondo Google Analytics, se si fa uso delle sue funzioni standard per monitorare le abitudini di navigazione degli utenti su un sito o un'app, l'Informativa sulla privacy deve:

• Dichiarare che il monitoraggio è attuato da Google Analytics
• Spiegare le modalità di raccolta e trattamento dei dati
• Informare l'utente in merito all'uso di cookie

All'Informativa sulla privacy deve essere riservata una posizione prominente, come il footer del sito web o il menu principale di un'app.

Ecco un esempio preso dal footer del sito della BBC:

Si dovrà avere, inoltre, una pop-up o un banner di consenso ai cookie che avvisa gli utenti in merito all'utilizzo di cookie sul sito web e permette di bloccarne l'uso se desiderato.

L'Università di Brighton utilizza questo cookie banner:

Requisiti dell'Informativa sulla privacy con gli strumenti pubblicitari di Google Analytics

Se, oltre alla configurazione standard, si utilizzano anche gli strumenti pubblicitari offerti da Google Analytics, esistono requisiti aggiuntivi per l'Informativa sulla privacy.

Le funzioni pubblicitarie a cui sono applicabili questi requisiti includono:

• Remarketing o retargeting
• Analisi delle impression nella rete Google Display
• Rapporti Google Analytics sui dati demografici e sugli interessi

Se si utilizzano questi strumenti, Google Analytics richiede che gli utenti vengano informati con l'aggiunta delle seguenti informazioni nell'Informativa sulla privacy:

• Strumenti pubblicitari di Google Analytics utilizzati, unitamente a modalità e motivi di tale utilizzo.
• Avviso che conferma l'uso di cookie da parte di terzi per effettuare pubblicità mirata.
• Istruzioni sulla rinuncia alle funzionalità pubblicitarie di Google Analytics nella relativa pagina delle impostazioni di Google.

Google non offre alcun suggerimento sul linguaggio specifico da usare nell'Informativa sulla privacy, tuttavia dovrebbe sempre essere redatta con parole semplici e in maniera comprensibile.

Google AdSense

Se si utilizza Google AdSense, è necessario aggiornare l'Informativa sulla privacy in linea con i Termini e le condizioni di Google AdSense.

L'Informativa sulla privacy deve dichiarare l'effettivo utilizzo di Google AdSense e includere:

• Una dichiarazione indicante che terze parti, compreso Google, fanno uso di cookie per effettuare una pubblicità mirata basandosi sulle abitudini di navigazione precedenti dell'utente.
• Informazioni sui cookie di DoubleClick.
• Istruzioni sulla rinuncia ai cookie di DoubleClick nella pagina delle impostazioni pubblicitarie di Google.

Google richiede, inoltre, che venga fatto ogni "ragionevole sforzo dal punto di vista commerciale" per ottenere il consenso all'uso di cookie sul dispositivo di un utente.

A tal proposito, si fa uso solitamente di una pop-up o di un banner che avvisa gli utenti in merito all'utilizzo di cookie sul sito web e permette di bloccarlo se desiderato, come menzionato prima.

Requisiti aggiuntivi per imprese dell'Unione europea

I punti suddetti si rivolgono a tutti i siti web e app che fanno uso di Google AdSense. Tuttavia, le società ubicate negli Stati dell'Ue sono soggette a requisiti aggiuntivi per l'uso di questo servizio.

Gli utenti devono essere avvisati riguardo all'uso di cookie sul sito o sull'app e dare il loro consenso informato prima che i cookie possano essere installati sul loro dispositivo.

Ciò include:

• I vari tipi di cookie utilizzati
• Informazioni su eventuali cookie di terzi
• Motivi di utilizzo dei cookie e metodi di installazione sui dispositivi

Al pari di altri avvisi relativi ai cookie, si fa ricorso a una pop-up o a un banner che conferma esplicitamente l'uso di cookie ed esorta l'utente ad accedere a informazioni addizionali al riguardo.

Consenso all'uso di cookie

Il consenso all'installazione di cookie deve essere ottenuto in modo esplicito, ovvero gli utenti devono fare clic su un pulsante, spuntare una casella o effettuare una qualsiasi altra azione.

Un consenso esplicito, noto anche come consenso informato, prevede che si richieda all'utente di confermare il suo consenso tramite una casella di spunta o un pulsante "Acconsento".

Wembley include una semplice spiegazione del tipo di cookie utilizzati e delle motivazioni di tale utilizzo per ottenere tale consenso esplicito. Il pulsante blu "Confermo volentieri" è ciò che distingue questo tipo di consenso da un consenso passivo.

Il consenso passivo all'installazione di cookie sul dispositivo di un utente non è più una pratica consentita. Un esempio di consenso passivo è fornito dal sito web di Calvin Klein:

Contenuto di un'Informativa sulla privacy

Gli elementi costitutivi di un'Informativa sulla privacy variano a seconda dell'azienda. La raccolta e gestione dei dati e l'interazione con terze parti sono affrontate in maniera diversa da ciascuna organizzazione. In aggiunta, la residenza dell'utente di un sito può incidere sul contenuto.

Come minimo, l'Informativa sulla privacy deve includere i seguenti punti:

Nome e dati di contatto della società

L'Informativa sulla privacy deve contenere la ragione sociale ufficiale e i dati di contatto.

Date uno sguardo all'esempio di Whole Foods:

Solitamente, queste informazioni sono visibili all'inizio o alla fine del documento e gli utenti sono consapevoli di tale posizione, per cui si consiglia di seguire questa prassi.

Tipo di dati personali raccolti

È necessario dettagliare i vari tipi di dati personali raccolti dagli utenti in maniera diretta e indiretta.

Budweiser offre un ottimo esempio:

La clausola elenca le possibili modalità di raccolta dei dati, oltre a esempi di elementi specifici, quali indirizzo e-mail, CAP e "posizioni precise". Si consiglia di mirare a una fornitura altamente accurata dei dati.

Motivi di raccolta dei dati personali

Le leggi sulla privacy obbligano a raccogliere solo i dati personali puramente necessari, spiegando le motivazioni alla base di tale necessità.

Ecco un esempio fornito da Nestlé:

Questo formato grafico non è strettamente necessario, ma migliora la leggibilità e la struttura. Informa gli utenti non solo sul motivo di utilizzo, ma specifica anche la ragione ben precisa. Affronta, inoltre, il tema degli interessi legittimi per l'uso dei dati personali, che favorisce la conformità al RGPD.

Modalità di utilizzo dei dati

Il modo in cui si utilizzano i dati è un'altra componente importante dell'Informativa sulla privacy, che deve essere specificata chiaramente.

Airbnb adotta questo approccio:

Il formato elenco permette di comunicare una grande quantità di informazioni in maniera più organizzata, promuovendo la leggibilità generale dell'Informativa sulla privacy. Si raccomanda di includere più opzioni specifiche possibili.

Condivisione dei dati con terze parti

La maggior parte dei siti web utilizza uno o più strumenti di terzi per potenziare il funzionamento del sito e l'esperienza di navigazione dell'utente. Tra gli esempi figurano Google Analytics per comprendere il traffico di visitatori o AdSense per la pubblicità mirata.

Molti fanno anche uso di cookie, ovvero tool tecnici che registrano le abitudini degli utenti per personalizzare la loro esperienza.

L'Informativa sulla privacy deve includere tutti gli esempi di condivisione dei dati con terzi, unitamente a link alle informative di tali parti.

Questo è l'esempio fornito da Instagram:

La suddivisione delle informazioni in paragrafi distinti dedicati ai vari tipi di condivisione, come la pubblicità e l'analisi, è molto utile e facilita la comprensione.

Rinuncia alla raccolta di dati

L'Informativa sulla privacy deve includere istruzioni su come poter rinunciare alla raccolta continua di dati e su come ottenere una copia di eventuali dati già raccolti.

Nike fornisce chiaramente queste informazioni nella sua Informativa sulla privacy:

In presenza di svariate opzioni di rinuncia a servizi diversi (ad es. newsletter, SMS, posta tradizionale, ecc.), è consigliabile includerle tutte.

Sintesi

Le leggi di tutto il mondo richiedono che i siti web dispongano di un'Informativa sulla privacy. Dal CalOPPA della California al nuovo Regolamento generale sulla protezione dei dati dell'Unione europea e alle normative di Canada, Regno Unito e Australia, c'è molto da imparare in materia di privacy e conformità.

Le varie leggi condividono obiettivi fondamentali incentrati sulla protezione e l'uso appropriato di dati appartenenti a soggetti privati. Benché diverse sotto certi aspetti, hanno un denominatore comune: la proprietà o la gestione di un sito web in ogni parte del mondo richiede che sia in essere un'Informativa sulla privacy conforme alle leggi delle giurisdizioni di residenza degli utenti.

È importante anche essere consapevole dei requisiti di servizi terzi, come quelli di analisi o pubblicitari. Si consiglia di controllare sempre i Termini di utilizzo di tali servizi per conoscere le azioni da intraprendere.

Un'Informativa sulla privacy completa, comprensibile e ben visibile favorisce la conformità alle varie leggi e norme sulla privacy.