MODELLO O FACSIMILE DI PRIVACY POLICY

modello facsimile privacy policy

modello facsimile privacy policy


Occupandomi di GDPR e di Privacy mi succede spesso di essere contattata con le seguenti richieste: “Potresti controllare se la mia Privacy Policy va bene?” “Avresti un modello o facsimile di Privacy Policy per il mio sito?” “Ho copiato la Privacy Policy della Tizio&Caio Srl, l’hai vista? Va bene?”

Le cose, però, non sono così semplici e per almeno due motivi:

  1. l’applicazione di una normativa composta da 99 articoli e 173 premesse, scritta per tutta l’Unione Europea in lingua inglese e tradotta in ogni lingua ufficiale, da leggere abbinata alla legislazione interna statale, non può essere risolta con qualche minuto di verifica veloce su una Privacy Policy scritta senza un ragionamento sensato alla base.

  1. Un impianto normativo che prevede sanzioni fino a 20 milioni di € (e fino al 4% del fatturato) non può certo essere liquidato con una veloce lettura e qualche aggiustamento qua e là.

I rischi

Il fatto è che ognuno può fare quello che vuole: può guidare a 200 Km/h in autostrada senza cinture di sicurezza, sperando che non succeda mai nulla oppure può scegliere di allacciarsi le cinture e rispettare i limiti per arginare i rischi alla propria incolumità e a quella altrui.

La scelta è individuale e le conseguenze sono ovviamente diverse ma, di certo, scegliere senza aver prima ben ponderato i pro ed i contro è un atteggiamento poco prudente.

Studio ogni giorno questa materia, guardo i provvedimenti e le linee guida del nostro Garante, degli organi preposti dell’Unione Europea, degli altri Stati membri dell’Unione.

Il GDPR non è uno scherzo, un qualcosa da licenziare in due minuti per mettersi la coscienza a posto!

Le sanzioni sono molto elevate: fino ad € 10.000.000,00 (o al 2% del fatturato) in alcune ipotesi; nelle ipotesi più gravi fino ad € 20.000.000,00 (o al 4% del fatturato).

Oltre alle sanzioni esemplari, il GDPR è una rivoluzione copernicana per come è strutturato, pensato e proiettato in una società sempre più tecnologica! E’ un sistema, un processo che fa parte integrante dell’attività di un’azienda o di chi raccoglie dati personali. 

E non c’è software, copia-incolla o “informativa perfetta” che possa tenere!

Cosa serve davvero

L’unica cosa che serve davvero è usare la testa: ragionare, valutare, adattare e scrivere cose sensate!

E se non conosci un pò le basi di questa normativa, hai due alternative: o ti affidi a chi le conosce o brancoli nel buio.

Nascondersi dietro a scuse come “ma tanto chi vuoi che venga a controllarmi” o “tanto sono un piccolo blog online, chi vuoi che mi venga a rompere le scatole” è un modo di pensare molto pericoloso.

Primo, perché se sei online, per definizione sei visibile a chiunque, ovunque, 7 giorni su 7 e 365 giorni l’anno. Se poi fai anche le sponsorizzate su Facebook … figuriamoci!

Secondo, perché non sai mai con chi hai a che fare online, ed i leoni da tastiera e gli Haters sono sempre dietro l’angolo, pronti a sfruttare ogni occasione buona per danneggiare chi hanno preso di mira.

Le persone sono sempre più consapevoli dei loro diritti in relazione ai propri dati personali e, non a caso, dall’entrata in vigore del GDPR le segnalazioni ed i ricorsi al Garante si sono impennati vertiginosamente verso l’alto.

Privacy Policy generata con Software

L’altro giorno mi sono imbattuta in una classica Privacy Policy creata con un Software, come se ne vedono tante in giro, che mi ha fatto letteralmente accapponare la pelle: una Privacy Policy che conteneva un miscuglio di finalità, che obbligava ad accettarle tutte in blocco e che, addirittura, conteneva una dichiarazione di responsabilità in capo all’interessato.

Tutte cose che rendono invalido il consenso prestato che, di conseguenza, rendono illegittimo il trattamento e che, quindi, comportano l’applicazione di pesanti sanzioni!

Io rabbrividisco, ma forse finché non cominceranno ad arrivare le stangate, solo gli addetti ai lavori riusciranno a vedere il rischio incombente.

Il problema è che basta una volta! Quando capita, il rischio di chiudere baracca e burattini e “darsi all’ippica” è tutt’altro che remoto.

Non mi stancherò mai di dirlo: non conta scrivere qualcosa e metterci sopra il titolo “Privacy Policy” per risolvere il problema! Conta, invece, COSA scrivi nella Privacy Policy, il PERCHE’ e il COME lo fai.

Se sai leggere ogni riga della tua Privacy Policy e sai spiegarla per filo e per segno, sei già a buon punto! Se non sai nemmeno cosa significa quello che leggi, hai un grosso problema.

Come ragiona il Garante

Ti faccio un esempio.

Ti riporto un provvedimento del Garante che analizza una Privacy Policy online di una famosa azienda di vendite a distanza. 

Questa azienda aveva anche un sito.

Te ne riporto un estratto per capire quanto va in profondità l’analisi del Garante, andando ben al di là di una privacy policy scritta alla Bell’è meglio sul sito.

“2.2. Con riguardo all´informativa resa on line –che presenta talune inesattezze quali il richiamo alla disciplina previgente (l. n. 675/1996) anziché al Codice–, si rilevano alcune carenze che la rendono inidonea a rappresentare, in modo agevole e trasparente, le varie fasi del trattamento posto in essere dalla società.
Sul relativo sito web figurano due modelli di informativa. Nel primo, cui è possibile accedere dalla schermata dedicata all´inserimento dei dati necessari a fissare l´incontro dimostrativo, non sono indicati alcuni elementi caratterizzanti del trattamento effettuato, vale a dire le finalità del trattamento e le informazioni indicate ai punti b), c), d) dell´art. 13 ("la natura obbligatoria o facoltativa del conferimento dei dati", "le conseguenze di un eventuale rifiuto di rispondere", "i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati e l´ambito di diffusione dei medesimi"). Anche un secondo modello (non preordinato espressamente ad acquisire le informazioni personali per la visita a domicilio), che è rinvenibile in una diversa sezione del sito e che presenta le carenze appena evidenziate (ad eccezione dell´identificazione delle finalità del trattamento e dell´identificazione nelle società finanziarie delle categorie di soggetti destinatari dei dati), fornisce l´informativa rispetto al complessivo trattamento effettuato dalla società.
A tale riguardo l´Autorità ha messo in luce già in passato l´esigenza che, al fine di rendere in modo chiaro e trasparente l´informativa agli interessati, gli elementi individuati all´art. 13 del Codice figurino in un unico contesto (Provv. 13 gennaio 2000, doc. web n. 42276); tale principio è stato ribadito prescrivendo che "l´informativa inserita all´interno di moduli deve essere adeguatamente evidenziata e collocata in modo autonomo e unitario in un apposito riquadro, ed essere così agevolmente individuabile rispetto ad altre clausole del regolamento di servizio eventualmente riportato in calce o a margine" (Provv. 24 febbraio 2005, cit.).
Risulta quindi necessario che, formulando senza ritardo le due informative in univoco contesto, la nuova informativa sia resa non carente delle predette notizie, chiara e di agevole comprensione per gli interessati.
3. Consenso al trattamento
Come evidenziato, i dati personali trattati dalla società sono richiesti nella fase precontrattuale, oltre che per dare esecuzione all´eventuale rapporto negoziale, anche per la distinta finalità di marketing (in particolare, di telemarketing) per la quale è necessario il consenso specifico dell´interessato, che non risulta essere acquisito dalla società rispettando la disciplina in materia di protezione dei dati (art. 23 del Codice; Provv. 24 febbraio 2005, doc. web n. 1103045).
La formulazione presente nella modellistica a tal fine utilizzata dalla società non è quindi idonea a soddisfare i requisiti richiesti atteso che il consenso informato deve essere manifestato "specificamente in riferimento ad un trattamento chiaramente individuato" (art. 23, comma 1, del Codice).
In calce alla modulistica impiegata dalla società, che in un´unica sede fa riferimento anche all´accettazione delle condizioni generali di contratto, l´interessato "autorizza", infatti, il trattamento dei dati personali "per i fini sopra indicati", tra i quali figura anche l´invio di "informazioni promozionali e commerciali". Il consenso così raccolto mira, quindi, ad autorizzare con unica formulazione una pluralità di trattamenti invero ben distinti. Da un lato, si colloca infatti lo svolgimento di attività di marketing; dall´altro, l´attività di gestione del rapporto precontrattuale ed, eventualmente, contrattuale (per la quale, peraltro, ai sensi dell´art. 24, comma 1, lett. b), del Codice non è richiesto il consenso dell´interessato).
Pertanto, la società risulta aver trattato in violazione di legge i dati degli interessati per finalità di marketing (artt. 11 e 23 e art. 11, comma 2 del Codice); va quindi disposto in proposito il divieto dell´ulteriore trattamento dei dati raccolti. L´inosservanza di tale divieto è sanzionata penalmente (art. 170 del Codice)”.

Insomma come puoi vedere vince la SOSTANZA e non la forma!

Si tratta di un provvedimento risalente al 2008, quando ancora era possibile, a seguito di accertamento, adeguarsi entro un certo termine senza subire sanzioni.

Per concludere

Oggi col GDPR non è più così, perché per il principio dell’accountability è lasciata massima libertà al titolare di scegliere come adeguarsi ma, se sbaglia, paga subito e paga molto caro.

Ho fatto questo esempio per cercare di farti capire quanta complessità c’è nella realtà dei fatti.

E per fare una verifica fatta in modo corretto, ci vuole tempo e occorre conoscere bene che cosa fai esattamente nella tua attività quotidiana, perché e come lo fai, senza dare nulla per scontato.

Fare un’analisi e tracciare, proprio con carta e penna, tutti i flussi dei dati personali che tratti è un’attività imprescindibile per poter poi scrivere delle informative adatte a te e conformi alla legge.

Questi sono i motivi per i quali la richiesta di dare uno sguardo “al volo” ad un testo scritto copiando qua e là non può essere accolta: sarebbe del tutto inutile, dannoso e controproducente.


Frida Del Din

Legale Digitale

Proteggi il tuo business

Se vuoi conoscere più da vicino le regole legali di un business online, scarica l’E-book gratuito “L’impresa Digitale: 10 aspetti legali”


Clicca qui per leggere il provvedimento integrale del Garante riportato come estratto nell’articolo.