DOMANDE FREQUENTI
Privacy Policy di un Sito Web o di un'App

INDICE
•  In quale lingua va redatta la Privacy Policy, la Cookie Policy e i Termini e Condizioni di un sito multilingua?
•  Quando è necessario il consenso dell’utente per trattare i suoi dati personali?
•  Cosa sono i cookie?
•  Quali sono le tipologie di cookie?
•  Cos'è la finalità del trattamento?
•  Quali finalità devo inserire?
•  Cos'è la base giuridica e quali tipi di basi giuridiche esistono?
•  Cosa si intende per processo decisionale automatizzato (anche profilazione)
•  Quando si possono trasferire i dati all’estero?

È sempre opportuno che la Privacy Policy e/o la Cookie Policy che vengono pubblicate su un sito/app siano disponibili in tutte le lingue in cui il sito/app è stato tradotto.

La funzione di questi documenti è infatti quella di informare l’utente sull’utilizzo dei dati e dei cookie e l’informativa rientra fra gli obblighi del titolare.

Se tali documenti non fossero disponibili in una delle lingue in cui è reso disponibile il sito, potrebbe essere contestato al titolare di non aver correttamente informato l'utente.

Quanto ai Termini e Condizioni anche questi si consiglia di caricarli tradotti in tutte lingue in cui il sito/app è disponibile. Questo per consentire all'utente di comprendere ed accettare le condizioni di vendita dei prodotti e/o di erogazione dei servizi forniti dal sito/app.

Esempio: un utente che accede a un sito in lingua italiana potrebbe non essere correttamente informato se la privacy policy fosse disponibile solo in inglese.

Esempio: un sito solo in inglese con una privacy policy scritta solo in inglese non sarebbe un problema perché per utilizzare il sito l'utente dovrebbe per forza conoscere la lingua inglese.

Quando è necessario il consenso dell’utente per trattare i suoi dati personali?

Il consenso al trattamento dei dati personali deve essere richiesto

  • per finalità diverse da quelle di erogazione del servizio da parte del sito (per es. finalità di marketing);
  • quando si usa un processo decisionale automatizzato (per es. profilazione)
  • per l'uso di dati sensibili (dati relativi alla salute, alla sfera sessuale, religiosa, politica, alla origine razziale o etnica, all'appartenenza sindacale, nonché dati genetici, dati biometrici, etc.)
  • per il trasferimento dei dati personali a Paese extra UE od organizzazione internazionale in assenza di decisione di adeguatezza e di garanzie adeguate.

Il consenso non va richiesto quando i dati vengono raccolti:

  • da una persona fisica solo per scopi personali o domestici;
  • esclusivamente per l’esecuzione di un contratto (es. indirizzo di consegna per un prodotto acquistato);
  • per obbligo di legge/pubblica utilità (es. richiesta dei dati di fatturazione);
  • per esercitare un interesse legittimo (es. difendersi in giudizio);
  • nel caso in sui si voglia salvaguardare gli interessi vitali dell’interessato o di altra persona fisica.

I cookie sono stringhe di testo di piccole dimensioni che i siti vistati dall’utente inviano al suo terminale dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita dell’utente.

I cookie sono usati per accedere più rapidamente ai servizi online e per migliorare l’esperienza di navigazione dell’utente (monitoraggio di sessioni, memorizzazione di informazioni degli utenti, caricamento più rapido dei contenuti, etc.).

Nel corso della navigazione su un sito, l’utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (chiamati “terze parti”), sui quali possono risiedere alcuni elementi (immagini, mappe, link, etc.) presenti sul sito che l'utente sta visitando.

Tipologie di cookie

Il Grante per la Privacy distingue i cookie in 3 tipologie:

1. Cookie tecnici: utilizzati al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione
elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente
richiesto dall'abbonato o all'utente a erogare tale servizio". I cookie tecnici ricomprendono:

  • Cookie di sessione: sono utilizzati per la tracciatura di sessioni e memorizzazione di informazioni specifiche riguardanti gli
    utenti che accedono al sito, garantendo la normale navigazione e fruizione del servizio (permettendo, ad esempio, di
    realizzare un acquisto o autenticarsi per accedere ad aree riservate);
  • Cookie di funzionalità: permettono all'utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la
    lingua, i prodotti selezionati per l'acquisto) al fine di migliorare il servizio reso allo stesso;
  • Cookie analitici: utilizzati per raccogliere informazioni, in forma aggregata e anonima, per finalità statistiche sul numero
    degli utenti e su come questi visitano il sito stesso.

2. Cookie di profilazione: usati per creare profili relativi all’utente al fine di inviare messaggi pubblicitari in linea con le
preferenze manifestate durante la navigazione. Data la loro particolare invasività nella sfera privata degli utenti, la normativa
europea e italiana prevede che l'utente debba essere adeguatamente informato sull’uso degli stessi ed esprimere il proprio
consenso.

3. Cookie di terze parti: sono cookie impostati da un sito diverso da quello che si sta visitando. Ad esempio: il sito “Lexdo.it”
potrebbe contenere al suo interno un pulsante “Mi piace” di Facebook. Quel pulsante imposterà un cookie che può essere letto
da Facebook.

Cos'è la finalità del trattamento?

Per finalità del trattamento dei dati personali, si intende lo scopo perseguito dal titolare per l'uso dei dati raccolti.

È necessario indicare all'interessato tutte le finalità di trattamento che riguardano i suoi dati. Ad esempio, se sei il titolare di un sito e utilizzi i dati degli utenti per l'invio di offerte promozionali, devi indicare tra le finalità "comunicazione per propri fini promozionali e commerciali".

Quali finalità devo inserire?

Dovrai inserire tutte le finalità di trattamento che riguardano i dati dell'interessato.

Esempio: il gestore di un e-commerce potrebbe inserire le seguenti finalità per la raccolta dei dati:

  • gestione esterna di pagamenti tramite carta di credito, bonifico bancario o altri strumenti. I pagamenti vengono forniti comunicando i Dati a PayPal (Europe)
  • invio di email o newsletter e gestione mailing list comunicando i Dati a SendinBlue SAS https://it.sendinblue.com/legal/privacypolicy/;
  • archiviazione, hosting e gestione infrastruttura backend comunicando i Dati a Amazon Web Services, Inc
  • statistica solo con Dati anonimi comunicando i Dati a Google LLC https://policies.google.com/privacy;
  • comunicazione per propri fini promozionali e commerciali comunicando i Dati a Facebook Inc. https://www.facebook.com/privacy/explanation
  • registrazione ed autenticazione dell’Utente
  • comunicazione per proprie ricerche di mercato e sondaggi

Cos'è la base giuridica e quali tipi di basi giuridiche esistono?

Quando vengono trattati i dati personali è necessario identificare quale base giuridica giustifica il trattamento, vale a dire l'indicazione delle condizioni che legittimano il trattamento dei dati personali.

Le basi giuridiche legittime previste dalla GDPR sono:

  • consenso dell'interessato: quando il trattamento dei dati viene esplicitamente autorizzato dall'interessato per una o più specifiche finalità (ad esempio, se devi usare i dati dell'interessato per finalità di marketing)
  • esecuzione di un contratto o di previsioni precontrattuali: quando il trattamento è necessario per adempiere ad un contratto voluto dall'interessato (ad esempio, se devi spedire dei beni acquistati da un cliente avrai la necessità di raccogliere i suoi dati personali come nome, cognome, indirizzo, etc.)
  • adempimento obbligo di legge: quando il trattamento dei dati è imposto da una legge, regolamento, etc. (ad esempio, se devi fatturare l'acquisto di un bene al cliente, dovrai raccogliere i suoi dati fiscali, etc.)
  • interesse legittimo del Titolare: quando il trattamento è necessario per il perseguimento delle finalità per cui sono stati raccolti i dati, a condizione però che non prevalgano gli interessi o diritti dell'interessato (ad esempio, per installare un sistema di sicurezza)
  • interesse vitale dell’interessato: quando il trattamento è necessario per salvaguardare la vita dell'interessato o di un'altra persona fisica (ad esempio, se si deve procedere con un intervento di emergenza o salvavita ci sarà la necessità di conoscere i dati sulla salute dell'interessato)
  • esecuzione di un compito svolto nell’interesse pubblico: quando il trattamento è necessario per svolgere un compito di interesse pubblico o connesso ai pubblici poteri (ad esempio, durante le consultazioni elettorali gli scrutatori o i rappresentanti di lista possono venire a conoscenza di dati personali anche di natura sensibile)

Cosa si intende per processo decisionale automatizzato (anche profilazione)

Un processo decisionale automatizzato è inteso come uno strumento che consente al Titolare di assumere decisioni attraverso mezzi tecnologici, senza il coinvolgimento umano, con effetti giuridici o altri effetti significativi simili che riguardano l'utente o che incidano significativamente sulla sua persona.
Ad esempio, quando si raccolgono dati forniti direttamente da un soggetto attraverso la compilazione di un questionario online o ricavati da un “profilo” creato in precedenza sul medesimo sito web (es. credit scoring) che porti al rifiuto automatico di una domanda di credito online. Questo processo automatizzato produce effetti giuridici che lo riguardano o incidono in modo analogo significativamente sulla sua persona.

La profilazione è anch'essa un tipo di trattamento automatizzato, ma finalizzato alla raccolta di informazioni personali dell'interessato per suddividerlo in gruppi a seconda del suo comportamento.
Per stabilire se si fa profilazione si deve verificare se viene eseguito un trattamento automatizzato senza l'intervento umano su dati personali che produca effetti giuridici. Per esempio, è profilazione il tracciamento che valuta il diritto di un cittadino a ottenere un passaporto o a iscriversi a un corso universitario, magari a numero chiuso.

Quindi non si deve trattare di un semplice "tracciamento" del soggetto delle sue abitudini, preferenze, etc. ma di un'analisi finalizzata a prendere decisioni che lo riguardano. In tali casi, il titolare deve fornire al soggetto un’informativa e raccogliere il suo consenso esplicito. 

L'interessato ha il diritto di non essere sottoposto ad un processo decisionale automatizzato tranne quando:

  1. si è autorizzati dal diritto dell'Unione o Stato membro cui è soggetto il titolare del trattamento (ad esempio, il trattamento automatizzato per la prevenzione delle frodi e dell'evasione fiscale);
  2. è necessario per la conclusione o l'esecuzione di un contratto. In tal caso si deve dimostrare che la profilazione è necessaria e che non sono disponibili metodi meno invasivi;
  3. c'è il consenso esplicito dell'interessato.

Negli ultimi due casi, il titolare del trattamento deve però attuare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’utente, e l'utente deve avere il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

Quando si possono trasferire i dati all’estero?

Si possono liberamente trasferire i dati all'estero in:

  1. Paesi appartenenti all'Unione Europea o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein
  2. Paesi extra UE per i quali è stata emanata una decisione di adeguatezza, quali: Andorra, Argentina, Australia, Canada, Faer Oer, Guernsey, Isola di Man, Israele, Jersey, Nuova Zelanda, Svizzera, Uruguay, USA (con certificazione privacy shield).
    Sono in corso le trattative con Giappone e Sud Corea. Gli esiti possono essere monitorati al seguente link.

Nel caso in cui non siano state emanate decisioni di adeguatezza è possibile trasferire i dati extra UE nei seguenti casi:

  • sulla base di accordi contrattuali, stipulati tra il titolare stabilito in Unione Europea e i soggetti destinatari dei dati stabiliti fuori dall’Unione Europea, che forniscano garanzie adeguate agli utenti (esempio l’esercizio da parte di questi dei diritti a loro accordati dal GDPR). Per la conclusione di tali accordi contrattuali, la Commissione Europea ha emanato dei modelli standard;
  • per i gruppi di imprese, il trasferimento deve avvenire sulla base di binding corporate rules che devono essere approvate dall’autorità competente (in Italia, il Garante privacy);
  • se l’utente ha espresso esplicitamente il proprio consenso al trasferimento ed è stato informato dal titolare dell’assenza di una decisione di adeguatezza e dei conseguenti rischi per l'utente;
  • il trasferimento è necessario per l’esecuzione di un contratto concluso tra l’utente e il titolare stabilito in Unione Europea su richiesta dell’utente.
Crea il tuo documento in minuti con la nostra intervista guidata
CREA IL TUO DOCUMENTOCREA IL TUO DOCUMENTO
Crea il tuo documento in minuti con la nostra intervista guidata
CREA IL TUO DOCUMENTOCREA IL TUO DOCUMENTO