Dark Light

Come scrivere una privacy policy?

La domanda, in apparenza banale, in realtà nasconde numerose insidie, dovute alla complessità della materia e al fatto che il trattamento dei dati personali avviene molto più spesso di quanto si pensi.

Negli ultimi anni, poi, la materia ha avuto un notevole sviluppo connesso con lo sviluppo esponenziale del mondo del web.

E’ difficile, infatti, pensare ad un sito che non effettui alcuna operazione di trattamento dati (si pensi, ad es., ai cd. dati di navigazione, la cui trasmissione è implicita nei meccanismi di accesso e funzionamento e dei protocolli in uso su internet).

Altro esempio tipico di trattamento dati sul web riguarda quei siti che raccolgono dati (nome, cognome, email) per consentire la fruizione di alcuni servizi (acquistare un bene e/o un servizio; chiedere assistenza mediante un form di contatto; inviare un cv nella sezione “Lavora con noi”).

Infine possiamo citare un esempio classico di trattamento dati che avviene sia in modalità off line che on line: il trattamento dati per finalità di marketing.

In questo articolo inizieremo ad introdurre i principi e le regole base per poter scrivere una privacy policy, ponendo attenzione ad alcune specificità relative ai siti internet (che siano siti “istituzionali”, come il sito di uno Studio di Architetti, o siti informativi, come un blog o il sito di un quotidiano oppure, infine, siti a carattere commerciale, come i siti e/o portali che vendono prodotti e/o servizi).

Definizione e principi generali

La Privacy Policy (nota anche come “informativa sul trattamento dei dati personali”) è un documento obbligatorio per tutti quei soggetti, inclusi i titolari di un sito internet, che effettuino operazioni di trattamento di dati personali di terzi (es. clienti di un negozio o i lettori di un quotidiano o gli utenti di un sito).

La materia è regolata dal D. lgs. 30 giugno 2003, n. 196 (“Codice per la protezione dei dati personali”, conosciuto anche come “Codice Privacy”), che definisce i principi e le regole da applicare per il trattamento dei dati personali.

Ricordiamo che, in linea generale, il Codice Privacy si applica esclusivamente alle cd. persone fisiche (es. Mario, Luigi, Paola ecc.) e non alle cd. persone giuridiche (Società, ditte individuali, associazioni, enti ecc.).

Ciò detto, si consiglia sempre di trattare i dati con cautela, in quanto le persone giuridiche, pur non potendo esercitare i diritti di cui all’art. 7 del suddetto Codice, possono ad ogni modo avvalersi degli ordinari rimedi di tutela previsti dal nostro ordinamento (es. proponendo un’azione inibitoria per “bloccare” il trattamento illecito di dati e/o un’azione di risarcimento danni).

Prima di iniziare con l’analisi della normativa, occorre altresì specificare cosa si intende con l’espressione “dato personale” e “trattamento”.

Per “dato personale” il Codice Privacy intendequalunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (si pensi ai classici dati identificativi, come nome, cognome, data di nascita, residenza, codice fiscale o, con specifico riferimento al web, nome utente e password).

Dalla definizione si ha, quindi, conferma di come il Codice Privacy si applichi, in linea generale, al trattamento dei dati personali relativi alle persone fisiche (es. Sig. Mario Rossi).

Per “trattamento”, invece, il Codice Privacy intende “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati” (si pensi all’utilizzo della mail di una persona per inviargli comunicazioni commerciali o al tracciamento e all’analisi dei comportamenti di un utente al fine di delineare un profilo specifico delle sue abitudini e preferenze).

In linea generale, il trattamento dei dati personali deve avvenire nel rispetto dei principi di pertinenza, necessità, liceità, correttezza e finalità.

Ciò implica che il cd. titolare – vale a dire il soggetto, persona fisica (Mario Rossi) o giuridica (Alfa S.r.l.) cui competono le decisioni in ordine alle finalità, alle modalità e agli strumenti utilizzati per il trattamento – deve richiedere esclusivamente quei dati che siano necessari e pertinenti rispetto alle finalità del trattamento, con esclusione di condotte scorrette e/o illecite.

A mero titolo di esempio, sarà sicuramente censurabile la condotta di chi chieda i dati della carta di credito per l’invio di una newsletter informativa gratuita.

Contenuto della Privacy Policy

Al fine di rispettare i suddetti principi, sarà, quindi, innanzitutto necessario rendere, alla persona presso la quale sono raccolti i dati, un’informativa dettagliata (art. 13 Codice Privacy), la quale dovrà contenere le seguenti informazioni:

a) le finalità e le modalità del trattamento cui sono destinati i dati;

b) la natura obbligatoria o facoltativa del conferimento dei dati;

c) le conseguenze di un eventuale rifiuto di rispondere;

d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;

e) i diritti di cui all’articolo 7;

f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile.

Che succede se tratto dati personali senza una Privacy Policy o con una Privacy Policy non adeguata?

Trattare dati personali di una persona fisica senza un’informativa che contenga le informazioni indicate sopra costituisce una condotta rischiosa e sicuramente sconsigliabile.

Il Codice Privacy (art. 161), infatti, prevede che, in caso di omessa o inidonea informativa, il titolare sarà punito con una sanzione compresa tra 6.000 (seimila/00) e 36.000 (trentaseimila/00) Euro.

 

CONTATTI

Avv. Daniele Costa

KBL Law

daniele.costa@kbl-law.com

 

L’immagine del post è stata realizzata da Nick Youngson, rilasciata con licenza CC.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

*

Related Posts
AVVOCATO,

CERCHI SENTENZE SU CASI ANALOGHI AL TUO?

CASSAZIONE.NET 4.0 L'EVOLUZIONE DELLO STUDIO LEGALE
PROVA GRATIS
close-link
Avvocato, vuole gestire tutta la sua professione con un'App?....
PROVA  ORA GRATIS
close-image