Cos’è la privacy policy e quando è obbligatoria?
La privacy policy, o informativa sulla privacy, è il documento che spiega come un sito web o un’app raccoglie, utilizza, conserva e protegge i dati personali degli utenti. Non è solo una formalità: è un requisito obbligatorio per rispettare normative come il GDPR in Europa, e una dichiarazione di trasparenza che aiuta a costruire fiducia con chi visita il sito.
È obbligatoria ogni volta che un sito raccoglie, tratta o condivide dati personali, ad esempio nei casi più comuni:
- E-commerce, ovvero siti dove si effettuano ordini di acquisto;
- Sito con un’area personale, dove è possibile registrarsi;
- Siti in cui è possibile inviare un CV;
- Form che prevedono l’invio di comunicazioni di marketing o newsletter;
- Siti che offrono servizi gratuiti o a pagamento che richiedono una registrazione;
- Siti con un sistema di recensioni o commenti che raccoglie dati identificativi.
Va resa disponibile prima che i dati vengano raccolti, ad esempio al momento della registrazione o della richiesta di un pagamento, non dopo.
Cosa dice il GDPR sulla privacy policy?
Il GDPR stabilisce regole precise su come i dati personali devono essere trattati. Secondo l’art. 13, ogni sito deve fornire agli utenti informazioni trasparenti su quali dati vengono raccolti, perché, chi avrà accesso a questi dati e per quanto tempo verranno conservati. Il documento deve inoltre essere facile da capire, privo di tecnicismi complicati: se il tuo sito opera nell’Unione Europea o gestisce dati di cittadini europei, rispettare questi requisiti non è facoltativo.
Senza una privacy policy adeguata, oltre a esporre gli utenti a un trattamento non trasparente, si rischiano sanzioni che possono arrivare fino a 20 milioni di euro o al 4% del fatturato annuo globale, secondo l’art. 83 del GDPR.
Cosa deve contenere una privacy policy?
La privacy policy deve essere facilmente accessibile sul sito, solitamente nel footer o nel cookie banner, e scritta in modo chiaro. Questi sono gli elementi che deve contenere:
- Introduzione: informazioni sull’azienda (nome, contatti, eventuali dettagli di registrazione legale) e la finalità del documento.
- Tipologie di dati raccolti: dati come nome, email, telefono, indirizzo e pagamento; se trattati, i dati sensibili vanno specificati separatamente, così come i dati di navigazione raccolti automaticamente (cookie, IP, geolocalizzazione).
- Modalità di raccolta dei dati: come vengono raccolti (form, transazioni, email, cookie) e come viene ottenuto il consenso, ad esempio tramite cookie banner o checkbox.
- Finalità del trattamento: perché i dati vengono usati (gestione ordini, newsletter, marketing, miglioramento dei servizi) e la base giuridica del trattamento.
- Destinatari dei dati: chi ha accesso ai dati (provider di servizi, consulenti legali, autorità pubbliche) e, se i dati escono dall’UE, quali garanzie vengono adottate per proteggerli.
- Conservazione dei dati: per quanto tempo vengono conservati o, se non determinabile a priori, quali criteri vengono usati per stabilirlo.
- Diritti degli utenti: accesso, rettifica, cancellazione, limitazione del trattamento, portabilità, opposizione e revoca del consenso.
- Sicurezza dei dati: le misure adottate per proteggerli (crittografia, accesso limitato, backup).
- Modifiche alla privacy policy: come e quando gli utenti verranno informati di eventuali aggiornamenti.
- Contatti: un riferimento per chi si occupa della protezione dei dati, incluso il DPO se presente.
- Riferimenti legali: le normative applicabili, come il GDPR nell’Unione Europea.
Sul punto 4 vale la pena essere precisi: la base giuridica del trattamento non è sempre il consenso. Questa tabella riassume le quattro basi più comuni.
| Base giuridica | Quando si applica |
|---|---|
| Consenso | Marketing, profilazione, condivisione con terzi non necessaria al servizio |
| Esecuzione di un contratto | Dati indispensabili per erogare il servizio richiesto dall’utente |
| Obbligo legale | Conservazione fiscale, contabile o altri obblighi imposti dalla legge |
| Legittimo interesse | Solo dopo una valutazione (LIA) che dimostri necessità e bilanciamento con i diritti dell’utente |
Un punto che vale la pena aggiornare rispetto a qualche anno fa: se il destinatario dei dati (punto 5) si trova negli Stati Uniti, non basta più citare il “Privacy Shield”, invalidato dalla Corte di Giustizia UE nel 2020. Il meccanismo attualmente in vigore è l’EU-US Data Privacy Framework, adottato nel 2023, ma è bene sapere che è sotto una nuova sfida legale: nel luglio 2026 una sentenza della Corte Suprema USA sull’indipendenza delle agenzie federali ha spinto l’associazione NOYB a sostenere che la base giuridica del Framework sia compromessa, e un ricorso è atteso a breve. Per questo motivo, per i trasferimenti verso gli USA conviene affiancare al Data Privacy Framework anche le Clausole Contrattuali Standard come rete di sicurezza, non affidarsi a un solo meccanismo.
Privacy policy e cookie policy pronte da compilare, non da inventare
Il template DOCX editabile con la guida su quando e come usarlo, per avere documenti conformi al GDPR senza partire da un foglio bianco
Come scrivere un’informativa privacy chiara ed efficace?
Scrivere una privacy policy chiara e conforme non richiede necessariamente un linguaggio legale complesso. Alcuni accorgimenti pratici:
- Sii chiaro e semplice: evita linguaggio tecnico o legale complesso, usa frasi dirette e paragrafi brevi. Invece di “I dati saranno trattati per finalità proprie e per fini di marketing, a meno che l’interessato non manifesti il proprio diniego”, scrivi “Useremo i tuoi dati per inviarti offerte personalizzate, ma puoi decidere di non riceverle in qualsiasi momento”.
- Adatta il tono al pubblico, restando professionale ma comprensibile: un’app di salute, un e-commerce e un servizio bancario hanno pubblici diversi, e l’informativa dovrebbe rifletterlo.
- Sii trasparente, senza ambiguità sul trattamento: non accorciare l’informativa per “nascondere” certe pratiche, meglio completa ma concisa.
- Mantieni la coerenza con le altre policy del sito, come la cookie policy: se una sezione dice che i dati sono conservati per 5 anni, non contraddirla altrove senza spiegazione.
- Rendi l’informativa facilmente raggiungibile da ogni pagina del sito, tipicamente da footer o cookie banner.
- Includi sempre un contatto a cui gli utenti possano rivolgersi per domande sulla privacy policy.
Come creare una privacy policy: generatore, fai-da-te o avvocato?
Ci sono tre strade principali, a seconda di tempo, budget e complessità del sito.
Un generatore automatico online è la scelta più rapida se non hai esperienza legale: questi strumenti pongono domande su come funziona il tuo sito (raccogli dati con un modulo di contatto? usi Google Analytics? gestisci un e-commerce o una newsletter?) e generano un documento personalizzato. Una piattaforma di gestione del consenso come Avacy guida passo dopo passo nella generazione automatica della privacy policy, rispondendo a domande semplici su tipo di dati raccolti, finalità e destinatari, producendo un documento già allineato al GDPR e modificabile in seguito; se hai già una privacy policy pronta, puoi anche caricarla direttamente e integrarla con la gestione del consenso e dei cookie.
Redigerla manualmente è possibile seguendo la struttura descritta sopra e includendo tutti gli elementi richiesti, ma richiede più tempo e attenzione per non dimenticare nessun punto.
Consultare un avvocato o un esperto di privacy resta la scelta più indicata se la tua attività gestisce dati particolarmente sensibili o se hai dubbi specifici sulla conformità: un professionista può darti un parere calibrato sul tuo caso e sulle normative applicabili, incluse quelle extra-UE come CCPA/CPRA se hai utenti statunitensi.