Cos’è la Privacy Policy per i siti web?
È il documento contenente le informazioni attinenti al trattamento dei dati personali degli utenti che consultano il sito medesimo e usufruiscono dei servizi proposti.
La sua funzione essenziale è quella di informare gli utenti del sito sull’identità del Titolare del trattamento, sull’utilizzo che verrà fatto dei loro dati personali e dei diritti esercitabili.
Quali devono essere i contenuti della privacy policy?
I contenuti di una Privacy Policy, al pari di ogni altra “Informativa Privacy”, sono elencati tassativamente negli articoli 13, paragrafo 1, e 14, paragrafo 1, del GDPR.
Dovranno essere inseriti sicuramente i seguenti elementi:
- L’identità e i dati di contatto del titolare del trattamento e, se presente, i dati di contatto del Responsabile della Protezione dei dati (RPD o DPO).
- Le finalità del trattamento cui sono destinati i dati personali, nonché la base giuridica su cui le finalità trovano fondamento.
- Qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi.
- Gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali.
L’evidenza dell’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale, ove applicabile.
Inoltre, dovranno essere inserite ulteriori informazioni, relative al momento in cui i dati personali sono ottenuti:
- Il periodo di conservazione dei dati personali oppure, ove non sia possibile indicarlo con precisione, i criteri utilizzati per determinare tale periodo.
- I diritti dell’interessato in ambito privacy con l’indicazione delle modalità di esercizio degli stessi.
- Qualora il trattamento sia basato sul consenso, l’esistenza del diritto di revocarlo in qualsiasi momento.
- Il diritto di proporre reclamo a un’autorità di controllo.
- L’eventuale obbligatorietà del conferimento di dati personali, in virtù di un obbligo legale o contrattuale ovvero quale requisito necessario per la conclusione di un contratto, nonché le possibili conseguenze della mancata comunicazione di tali dati.
- L’eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione, nonché l’importanza e le conseguenze previste di tale trattamento.
L’eventuale mancanza di una delle informazioni previste (fatta eccezione per i casi espressamente previsti) espone il titolare del trattamento al rischio di eventuali reclami da parte degli interessati e/o sanzioni da parte dell’Autorità.
L’informativa deve essere resa in forma concisa, trasparente, intelligibile per l’interessato e deve essere facilmente accessibile da qualsiasi pagina del sito; occorre utilizzare un linguaggio chiaro e semplice.
