Essendo il nostro sito in Europa, trattando dati su server europei e richiedendoli sempre in Europa, ci basta essere conformi alle regole del GDPR. Qui un overview di cosa ci viene richiesto:

Come pubblicare la privacy policy per sito web ai sensi del GDPR?

1. Dati del titolare di trattamento

   Il Titolare del Trattamento è colui che decide "le finalità e i mezzi del trattamento", è il soggetto che quindi decide come e se trattare i dati personali degli utenti (essenzialmente, il titolare del sito: il blogger, l'azienda "proprietaria" etc.).

   I dati di riferimento del Titolare del Trattamento sono importanti perché l'utente ha diritto di conoscere chi tratta i suoi dati personali.

   Pertanto, nella privacy policy del sito web si dovrà indicare:

   • generalità del Titolare del Trattamento (nome e cognome se persona fisica oppure denominazione e dati aziendali se società o ditta individuale)
   • email
   • numero di telefono (consigliabile)
   • link al modulo di contatto del sito (se presente sul sito web).

2. In caso di app: Dati personali oggetto di trattamento

   Guarda meglio sotto al link di tool per app.

   

3. Dati del DPO

   l DPO (Data Protection Officer) è un professionista che assiste il Titolare del trattamento a rispettare il GDPR e la privacy degli utenti. E' previsto come obbligatorio in una serie di casi ⇒ non nel nostro, infatti ”se non è stato nominato il DPO, l'informativa privacy di un sito internet non deve farne menzione”.

4. Finalità

   Dopo aver informato l'utente su chi tratta i suoi dati personali è necessario spiegare per quali finalità il sito web tratta i dati personali degli utenti.

   Le più frequenti finalità da indicare nella privacy policy per sito web sono:

• iscrizione al sito: da indicare se l'utente ha la possibilità di iscriversi al sito internet
• risposte alle domande degli utenti ⇒ non presente nel nostro sito una sezione “Chat” o “Chiedi a noi”, quindi secondo me non rilevante.
• marketing e invio di newsletter ⇒ nel nostro caso non so quanto sia rilevante, perché l’unico caso in cui invieremo una mail tipo-newsletter è per la conferma dell’indirizzo mail o per il biglietto.
• profilazione. E' una finalità da tenere sempre distinta rispetto a quella di semplice marketing. Si verifica quando vuoi creare nel tuo database dei "gruppi" di utenti per inviare comunicazioni pubblicitarie personalizzate ⇒ noi non abbiamo comunicazioni pubblicitarie, ma creiamo una sorta di profilazione, quindi direi di metterlo (?).
• difesa in giudizio: da mettere in caso qualcuno ci faccia causa, tramite questa dichiarazione noi diciamo che potremo utilizzare i suoi dati se necessario, per la nostra difesa.

1. Periodo di conservazione dei dati personali

   Per rispondere alla domanda: Per quanto tempo è possibile conservare i dati personali degli utenti?

   • Prima del GDPR: si riteneva che per finalità di marketing, il periodo di conservazione fosse 24 mesi (per finalità di profilazione, 12 mesi).
   • Con il GDPR: alcuni operatori ritengono che questi limiti vengano meno. Ciò sopratutto in quanto lo stesso GDPR non prevede nessun limite specifico in tal senso, ma demanda al titolare del sito web la capacità di decidere questo limite.

   Di fatto entrambe le impostazioni possono risultare corrette, infatti, la privacy policy del sito web potrà decidere di conservare i dati per 12/24 mesi (per finalità di profilazione e di marketing); oppure potrà optare per un tempo più lungo. In questo caso, però, il periodo di conservazione dovrà essere applicato con "buon senso" (si consiglia un periodo massimo di 3-4 anni).

   Se conservi i dati personali oltre il periodo indicato nella privacy policy del sito internet commenti una irregolarità. Peggio ancora se non indichi niente nella privacy policy.

   Quando il periodo di conservazione si sta avvicinando, se non vuoi cancellare i dati personali dei tuoi clienti devi richiederne il consenso. Solo se il consenso viene negato (o se l'utente non conferma il proprio consenso) si è obbligati a cancellare il dato per finalità di marketing/profilazione, ma noi penso li cancelleremo.

2. Dati personali trattati ⇒ no

   E' frequente imbattersi in una informativa privacy per un sito internet che indichi i dati personali oggetto di trattamento, però questo non è richiesto dal GDPR. Pertanto, la privacy policy per un sito web può omettere l'elenco dei dati personali trattati.

3. Strumenti

   La privacy policy del sito web deve informare l'utente circa gli strumenti offerti dalla legge per chiedere informazioni sul trattamento dei dati personali, così come opporsi al trattamento.

   Pertanto, la privacy policy del sito web dovrà pubblicare una sezione dove l'utente viene informato che può:

   • chiedere l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati
   • revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca
   • proporre reclamo a un’autorità di controllo (es.: il Garante Privacy).

   I diritti di cui sopra dovranno essere esercitati con richiesta rivolta senza formalità al titolare del sito ai contatti pubblicati nella privacy policy del sito web oppure nel footer del sito.

   ⇒ Questo non so come potremmo implementarlo.

   1. Modifiche

      Sinceramente penso che il nostro sito web avrà vita troppo breve per subire modifiche alla privacy, però io questo pezzo lo aggiungo:

      è necessario informare in presenza di modifiche sostanziali alla privacy policy del sito vetrina, e per modifiche sostanziali si intendono ad esempio:

      • modifica della identità del Titolare del Trattamento (si può verificare quando ad esempio il sito cambia proprietà)
      • aggiunta di finalità del trattamento: magari oltre al marketing si intende effettuare profilazione
      • modifica al termine di conservazione dei dati personali

      In tutti questi casi è opportuno inviare per email la privacy policy del sito web aggiornata agli utenti. Inoltre, sarebbe opportuno pubblicare per almeno un paio di giorni un wording sul sito che informi i visitatori di questo aggiornamento.

   Tools:

   ESEMPIO DI FORMULA DEL CONSENSO AL MARKETING

   Letta l'informativa privacy di questo sito, presto il mio consenso a ricevere email pubblicitarie e newsletter da parte di LegalBlink.

   Occhio che la formula del consenso contiene informazioni presenti anche nella informativa privacy: il nome del titolare del trattamento (LegalBlink), il mezzo della comunicazione (email) e l'oggetto (email pubblicitarie e newsletter).

   • Tool per generare privacy policy per un sito: https://legalblink.it/post/generatore-di-privacy-policy.html#facile e veloce
   • Tool per generare privacy policy per un’app: https://legalblink.it/post/privacy-policy-per-app.html
   • Test gratuito per verificare se il sito è conforme: https://www.cookiebot.com/it/?utm_source=google&utm_medium=cpc&utm_campaign=it-generic&utm_device=c&utm_term=gdpr+siti+web&utm_content=it-it-gdpr-website&gclid=Cj0KCQiAveebBhD_ARIsAFaAvrF_NHd9C6BrVWnZ_YSb9Uk9fJBy9dwxVMywPBFjottX0c6G76boEXYaAjiNEALw_wcB

   FAQ

   Quali sono le differenze principali tra informativa privacy e cookie policy?

   • La privacy policy di un sito internet:

     illustra il trattamento dei dati personali conferiti sul sito. In questo ambito, per dati personali si intendono: email e pw di accesso al sito, dati conferiti in occasione dell'acquisto, dati personali conferiti nello scambio di corrispondenza con il customer car

     L'informativa privacy, quindi, spiega all'utente come vengono trattati i dati personali, secondo i principi spiegati in questa guida.

   • L'informativa cookie:

     spiega all'utente quali cookie vengono rilasciati dal sito. Attiene al contesto dei "dati comportamentali". Non sono quindi i dati che l'utente conferisce sul sito. Al contrario, sono i dati relativi al modo di navigazione sul sito internet o, in ogni caso, online.

   Entrambi devono essere sempre presenti sul sito internet!

   Devo sempre pubblicare una privacy policy?

   Se il sito web è un ecommerce, sicuramente avviene un trattamento di dati personali (es. per permettere l'acquisto online). Allo stesso modo, se il sito è un semplice sito "vetrina", vi sarà almeno un form contattati tramite il quale l'utente può contattare il sito.

   Si può omettere una privacy policy se:

   • è un sito "istituzionale" oppure "vetrina" (quindi un semplice sito internet)
   • non è un ecommerce
   • non ospita un form di contatto e non tratta in alcun modo dati personali

   ⇒ situazione molto rara.

   Sono a norma se pubblico una informativa privacy per il mio sito web ma ometto la formula del consenso?

   Dipende. Se vuoi inviare comunicazioni promozionali e non pubblichi una formula del consenso non rispetti il GDPR, infatti, la formula del consenso (da indicare vicino al box dove l'utente inserisce la sua email) serve per raccogliere un valido consenso al marketing. Mentre l'informativa privacy spiega bene all'utente come verranno trattati i suoi dati personali

   Il CCPA?

   Il CCPA è una legge americana sulla privacy, molto simile al GDPR. E' una normativa californiana che si applica - a certe condizioni - agli ecommerce, ma non ci interessa.