La privacy policy sul sito web deve essere tenuta separata rispetto agli altri documenti legali quali cookie policy, note legali ecc.
Lo afferma il Garante Privacy italiano in un’ingiunzione a un’azienda a seguito di ispezione.
Cos’è l’informativa privacy di un sito web
L’informativa privacy, chiamata anche privacy policy, di un sito web è un documento legale che spiega all’utente:
- Quali dati il sito web raccoglie dagli utenti
- Le modalità con cui il sito raccoglie, elabora, memorizza, condivide e protegge i dati degli utenti
- Le finalità per farlo
- I diritti degli utenti al riguardo.
Tale documento è espressamente richiesto dal Regolamento Generale sulla Protezione dei Dati Personali (GDPR).
GDPR che esige anche che tale informativa privacy sia:
- Facilmente accessibile per gli utenti
- Scritta in modo che le informazioni in essa presenti siano trasparenti, facilmente comprensibili, complete e aggiornate
- Presente in una pagina indipendente.
L’informativa privacy deve essere presente in una pagina indipendente del sito web
È proprio su quest’ultimo punto che il Garante italiano ha messo l’accesso in occasione della visita ispettiva a una nota catena internazionale di profumerie. Sul sito dell’organizzazione esaminata infatti la privacy policy era sì presente, ma nella stessa pagina di cookies policy e altre informazioni legali relative ai servizi online e alle condizioni contrattuali praticate. Documenti che, come l’informativa privacy, sono obbligatori, ma che devono essere messi a disposizione in pagine del web separate.
Il mio sito web ha bisogno di una privacy policy?
Che tu gestisca un’e-commerce che raccoglie gli ordini, un sito web con un form di contatto o una semplice pagina dove vengono monitorate le statistiche come le visite, tutti i siti web interagiscono in qualche modo con i dati degli utenti.
Non fornire una corretta informativa privacy (quindi con informazioni trasparenti, facilmente comprensibili, complete e aggiornate) significa violare il GDPR e può comportare sanzioni salate (articolo 83).
Si ricorda che il GDPR si applica a tutte le organizzazioni (comprese le organizzazioni non profit) che accedono ai dati o offrono beni o servizi a persone nell’Unione Europea. Il GDPR quindi si applica indipendentemente dal fatto che la propria organizzazione si trovi o meno nell’UE.
Non solo un’informativa sulla privacy è fondamentale per garantire il rispetto dei requisiti legali e il mantenimento della fiducia dei clienti, ma molte app e servizi di terze parti lo richiedono. Un esempio è Google. Per poter accedere a determinati servizi e strumenti (ad esempio, AdSense), Google richiede che tu disponga di un’informativa sulla privacy completa e aggiornata sul tuo sito web.
Siti web e compliance normativa
Purtroppo, per rendere un sito compliance al GDPR, non basta inserire l’informativa privacy. Infatti, a seconda delle caratteristiche del servizio svolto dall’organizzazione e dalla natura dell’azienda stessa (es. privata o pubblica, ditta individuale o SPA), sono richiesti anche altri documenti come l’informativa sull’uso dei cookies, note legali, condizioni contrattuali.
Tutti elementi che devono essere individuati in base alle peculiari caratteristiche dell’organizzazione attraverso una consulenza personalizzata.
Nel frattempo si consiglia di:
- Assicurarsi che l’informativa privacy e altri documenti legali presenti sul sito web siano adeguatamente separati
- Se sono presenti nella stessa pagina (es. privacy policy e cookie policy), provvedere quanto prima a separarli.