Privacy policy per i siti web: cos’è e cosa contiene

Secondo un recente studio, un utente in Italia trascorre circa sei ore al giorno su internet, visitando una moltitudine di siti web differenti. L’utilizzo della rete comporta un’inevitabile disseminazione di dati personali che sono spesso conferiti dagli utenti ai gestori delle pagine internet, frettolosamente o in modo inconsapevole, in assenza di una adeguata informazione su come i propri dati verranno trattati e quali diritti potranno essere esercitati in relazione agli stessi.

E invero, al pari di ogni altra circostanza in cui abbia luogo un trattamento di dati personali, l’utilizzo di un sito web comporta l’obbligatorietà per il gestore di fornire all’utente le informazioni prescritte dall’art. 13 del Regolamento UE n. 2016/679 (meglio noto come GDPR).

In tal senso, è necessario che ogni sito internet contenga una specifica Privacy Policy (anche detta “Informativa Privacy”) raggiungibile e consultabile facilmente da ogni pagina del sito.

Privacy policy per i siti web: cos’è?

La Privacy Policy di un sito internet è il documento contenente le informazioni attinenti al trattamento dei dati personali degli utenti che consultano il sito medesimo e usufruiscono dei servizi proposti.

La sua funzione essenziale è quella di informare gli utenti del sito sull’identità del Titolare del trattamento, sull’utilizzo che verrà fatto dei loro dati personali e dei diritti esercitabili.

Con la predisposizione di una precisa e puntuale Privacy Policy trova attuazione il principio della trasparenza, uno dei principi fondanti del GDPR. Il rispetto di tale principio è fondamentale per consentire agli utenti di comprendere realmente i confini del trattamento dei propri dati di esercitare il controllo sugli stessi.

Caratteri e contenuto della privacy policy

I contenuti di una Privacy Policy, al pari di ogni altra “Informativa Privacy”, sono elencati tassativamente negli articoli 13, paragrafo 1, e 14, paragrafo 1, del GDPR.

Una corretta informativa dovrà quindi contenere i seguenti elementi:

• L’identità e i dati di contatto del titolare del trattamento e, ove presente, i dati di contatto del Responsabile della Protezione dei dati (RPD o DPO). L’utente ha primariamente il diritto di conoscere l’identità del soggetto che tratta i suoi dati ed i riferimenti per poterlo contattare. Se il titolare ha designato un DPO, deve essere esplicitato nell’Informativa al fine di consentire all’interessato di contattarlo direttamente.

• Le finalità del trattamento cui sono destinati i dati personali, nonché la base giuridica su cui le finalità trovano fondamento. Nella Privacy Policy devono essere indicati chiaramente gli scopi per cui i dati verranno trattati, nonché le basi giuridiche che rendono lecito quel determinato trattamento. A tal proposito si rammenta che non indicare le finalità e le basi giuridiche del trattamento (o indicarle in modo generico o approssimativo) equivale a metter in atto un trattamento illecito dei dati.

• Qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi. Il riferimento normativo è al legittimo interesse, una delle basi giuridiche previste dall’art. 6 del GDPR. Qualora il Titolare voglia fondare un trattamento su tale base, dovrà indicare con esattezza quali siano i legittimi interessi perseguiti, non potendosi limitare ad un richiamo generico.

• Gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali. Il Titolare deve sempre fornire l’indicazione dei soggetti cui si trova a dover comunicare i dati personali dell’Utente. È, in ogni caso, possibile fornire soltanto le categorie di destinatari, purché ne sia quantomeno esplicitata la tipologia: ad esempio, è corretto inserire tra le categorie di destinatari “Consulenti informatici per l’attività di gestione e manutenzione del sito”, mentre è da evitare il richiamo generico a “Consulenti esterni”.

• L’evidenza dell’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale, ove applicabile. Nel caso vi sia un trasferimento di dati ad un destinatario avente la propria sede in un paese terzo (intendendosi per tale un paese extra-europeo) il Titolare dovrà indicare espressamente i paesi terzi in cui i dati vengono trasferiti, nonché la base normativa che permette il trasferimento delle informazioni. Si tratta di una situazione alquanto complicata da gestire e molto più comune di quanto non si pensi: molte piattaforme di creazione di contenuti digitali ad uso gratuito hanno i loro server localizzati, ad esempio, nel territorio statunitense.

In aggiunta alle informazioni su elencate, nel momento in cui i dati personali sono ottenuti, il titolare dovrà altresì indicare:

• il periodo di conservazione dei dati personali oppure, ove non sia possibile indicarlo con precisione, i criteri utilizzati per determinare tale periodo. Esso può dipendere da una serie di fattori, come ad esempio specifiche prescrizioni di legge. Giova precisare che, all’interno dell’Informativa, potrebbe essere necessario indicare periodi di conservazione differenti a seconda della tipologia di dati e delle finalità del trattamento effettuato.
• I diritti dell’interessato in ambito privacy con l’indicazione delle modalità di esercizio degli stessi. Si tratta dei diritti previsti dagli artt. 15 e ss. del GDPR di cui dispone l’utente, tra cui il diritto di chiedere al Titolare del trattamento l’accesso ai dati personali, la rettifica o la cancellazione degli stessi o la limitazione del trattamento.
• Qualora il trattamento sia basato sul consenso, l’esistenza del diritto di revocarlo in qualsiasi momento. Il consenso è una delle basi giuridiche previste dal GDPR, spesso richiamata e utilizzata nelle Privacy Policy al fine di legittimare attività di marketing e comunicazione promozionale. Proprio per tale motivo è bene che, all’interno del sito, siano curate con attenzione sia la modalità di rilascio del consenso (con strumenti idonei per tracciarlo) sia le modalità con cui questo possa essere revocato in futuro dall’interessato (senza che ciò pregiudichi la liceità del trattamento basata sul consenso prestato prima della revoca) .
• Il diritto di proporre reclamo a un’autorità di controllo. È previsto che si debba semplificare l’esercizio di tale diritto, ad esempio inserendo nella Privacy Policy un link che rimandi al sito internet dell’Autorità Garante per la protezione dei dati personali (Autorità di controllo italiana).
• L’eventuale obbligatorietà del conferimento di dati personali, in virtù di un obbligo legale o contrattuale ovvero quale requisito necessario per la conclusione di un contratto, nonché le possibili conseguenze della mancata comunicazione di tali dati.
• Ad esempio, all’interno di un sito di e-commerce sarà necessario specificare che l’utente è tenuto a fornire determinate informazioni (es. anagrafiche, di contatto e relative al pagamento, etc.), pena l’impossibilità di concludere l’acquisto. Nel caso in cui queste informazioni siano richieste unitamente ad altre “non necessarie” allo scopo (acquisto) - ma utili, ad esempio, per attività di marketing e/o profilazione da parte del proprietario del sito - sarà necessario informare in maniera chiara e precisa l’utente quali campi debbano essere “obbligatoriamente” compilati e quali siano facoltativi.
• l’eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione, nonché l’importanza e le conseguenze previste di tale trattamento.
• Semplificando, si può affermare che la profilazione consiste nella raccolta di informazioni riguardanti una persona finalizzata alla valutazione delle sue caratteristiche o dei suoi modelli di comportamento, per analizzare e/o fare previsioni, spesso a scopo commerciale. Trattandosi di un trattamento automatizzato, come prescritto dall’art. 22 del GDPR, è fondamentale che esso sia segnalato in maniera chiara e specifica all’interno della Privacy Policy, in modo da consentire all’utente di esprimere il proprio consenso in maniera libera e consapevole ed esercitare i diritti riconosciuti dagli artt. 13 par. 2, lett. f) e 15 par. 1, lett. h) del GDPR.

L’eventuale mancanza di una delle informazioni previste (fatta eccezione per i casi espressamente previsti) espone il titolare del trattamento al rischio di eventuali reclami da parte degli interessati e/o sanzioni da parte dell’Autorità.

In merito alle caratteristiche dell’informativa, essa deve essere resa in forma concisa, trasparente, intelligibile per l’interessato e deve essere facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, soprattutto qualora tra gli interessati siano presenti minori.

È ammesso l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa.

Infine, è bene rammentare che, in conformità con i principi generali dettati dal GDPR, grava sul Titolare sia l’onere di fornire l’informativa - predisposta secondo quanto previsto dalla norma – sia l’onere probatorio di dimostrare di avere adempiuto a tale obbligo.

Focus: la Cookie Policy

Spesso, all’interno dei siti internet, si confonde tra Privacy Policy e Cookie Policy.

“Accetta Cookie”, “Ho preso visione della Cookie Policy”, oppure “Personalizza i cookie”: accedendo ad un sito Internet ci si imbatte immediatamente in simili diciture, spesso accostate ad una casella di spunta, che appaiono mediante banner sullo schermo dell’utente. In questi casi, gran parte dei “naviganti in rete” si limita a flaggare frettolosamente la casella “Accetto”, con l’unico scopo di proseguire la navigazione liberi ed indisturbati.

Tali banner, tuttavia, hanno uno scopo ben preciso, ossia fornire all’Utente la possibilità di stabilire e controllare le informazioni che intende fornire al sito stesso.

Preliminarmente, è necessario chiarire cosa siano i cookie sotto il profilo tecnico: essi sono stringhe di testo che i siti internet (cd. publisher o “prima parte”) visitati dall’utente ovvero siti o web server diversi (cd. “terze parti”) posizionano ed archiviano all’interno di un dispositivo utilizzato dall’utente medesimo.

Più semplicemente, si tratta di informazioni immesse sul browser dell’utente quando si visita un sito web o si utilizza un social network con il proprio pc, smartphone o tablet. Ogni cookie contiene diversi dati come, ad esempio, il nome del server da cui proviene, un identificatore numerico, ecc.

I cookie possono rimanere nel sistema per la durata di una sessione (cioè fino a che non si chiude il browser utilizzato per la navigazione sul web) o per lunghi periodi e possono contenere un codice identificativo unico.

Il Considerando n. 30 del GDPR chiarisce che: “Le persone fisiche possono essere associate a identificativi online prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, marcatori temporanei (cookies) o identificativi di altro tipo, quali i tag di identificazione a radiofrequenza. Tali identificativi possono lasciare tracce che, in particolare se combinate con identificativi univoci e altre informazioni ricevute dai server, possono essere utilizzate per creare profili delle persone fisiche e identificarle”.

Non tutti i Cookie hanno come scopo il monitoraggio dell’utenza o la raccolta di informazioni.

Si pensi ai c.d. cookie tecnici, utilizzati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni specifiche sugli utenti che accedono ad una pagina web. Questi cookie sono spesso utili, perché possono rendere più veloce e rapida la navigazione e fruizione della rete, intervenendo, ad esempio, a facilitare alcune procedure quando si effettuano acquisti online, quando ci si autentica in aree ad accesso riservato o quando un sito web riconosce in automatico la lingua utilizzata di solito.

Ancora, alcuni gestori di siti internet utilizzano i cd. analytics finalizzati a raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso, e quindi elaborare statistiche generali sul servizio e sul suo utilizzo.

Tuttavia, spesso sono utilizzati cookie in grado di monitorare e profilare l’utenza durante la navigazione, studiare movimenti e abitudini di consultazione della rete o di consumo (cosa comprano, cosa leggono, ecc.), anche allo scopo di inviare pubblicità di servizi mirati e personalizzati (c.d. Behavioural Advertising), accogliendone informazioni e veicolando la pubblicità comportamentale. Si tratta dei c.d. cookie di profilazione.

In ragione della particolare invasività che i cookie di profilazione (soprattutto quelli terze parti) possono avere nell’ambito della sfera privata degli utenti, la normativa prevede che l’utente debba essere adeguatamente informato sull’uso dei cookie ed esprimere il proprio valido consenso.

In ogni caso Privacy Policy e Cookie Policy devono essere considerate due fonti di informazioni differenti.

La Cookie Policy è, infatti, un’Informativa Privacy specifica per i trattamenti che sfruttano i Cookie che dovrà rispettare i requisiti previsti dal GDPR. Spetterà, tuttavia, al Titolare del trattamento stabilire se inserire le informazioni sui cookie in una sottosezione della Privacy Policy del sito o all’interno di un documento separato, raggiungibile dal banner presente all’accesso e dalle varie pagine del sito.