Come creare un’informativa privacy conforme al GDPR? Ecco 5 punti da tenere presente quando creiamo uno dei principali documenti legali della nostra attività online (blog, sito web o e-commerce che sia).
Di cosa sia esattamente il GDPR e la cookie policy, di informative diverse per scopi diversi, ne avevamo parlato in un articolo specifico proprio su cosa è e come funziona il GDPR per blog.
Se hai un sito web di certo non ti sto svelando nulla di nuovo: esistono dei servizi automatici, che siano plug in gratuiti o servizi a pagamento (che comunque sono sempre generatori automatici) che creano una pagina di informativa privacy per il tuo sito web. Scegliere di avvalersene o meno è tutto un bilanciamento di budget, opportunità, tipo di attività e molti altri fattori (ah, anche questa è una scelta imprenditoriale).
Se però scegliamo di usarli, non facciamolo con leggerezza perchè “tanto fa tutto lui”/”tanto c’è l’intelligenza artificiale”. Non appaltiamo le nostre competenze ove non necessario a sistemi automatici che, appunto, sono solo sistemi automatici.
Quindi, anche se decidiamo di affidarsi a sistemi automatici:
- facciamo una buona revisione del documento;
- traduciamolo nella nostra lingua.
E in ultimo, quando usate generatori automatici di informative, ricordate che state generando un documento legale (quindi chiedetevi se sia davvero il caso di affidarsi a strumenti di questo tipo).
[Questo ve lo chiedo a nome di tutta la categoria e come favore personale: se decidete di usare uno di questi strumenti, lecitissimo, poi non contattate il vostro amico avvocato per fargli fare una “revisione veloce per vedere se è tutto ok”; sia perché 9 volte su 10 non è tutto ok per niente, e andrebbe del tutto riscritto, e poi anche perché… è come fare una traduzione con Google Translator e poi chiedere all’amico traduttore di rimetterci mano].
Viviamo in un presente di informative generate in automatico da un bot e tradotte da Google translator;
vivremo in un futuro di sanzioni abbastanza pesanti.
Ora che ci siamo scontrati con un’ovvia realtà, vediamo 5 consigli da seguire per creare una buona informativa privacy per il tuo sito web.
5 modi per creare una buon informativa privacy, conforme al GDPR
1 – Fai uno schema di tutti i tipi di dati che raccogli realmente
Non serve poi molto tempo, è meno complesso di quanto sembra.
E anche se fosse time consuming, ricorda che stai creando uno dei principali documenti legali del tuo sito web, quindi fattene una ragione.
Fai un elenco dei dati che raccogli e di quando i tuoi lettori te li forniscono.
Hai un’area commenti al tuo blog? Quali dati servono per poter commentare il tuo articolo? Nome, Cognome, e-mail e sito web facoltativo?
Questi sono dati personali e il tuo server li raccoglie per consentire che i commenti siano processati.
Hai un e-commerce? Vuol dire che, per un tempo limitato (che va indicato) verranno conservati e registrati anche i dati relativi alle transazioni effettuate dai tuoi clienti (ad esempio, l’indirizzo PayPal dal quale vieni pagato).
Hai banner pubblicitari?
Hai affiliazioni?
Hai un pop up con l’invito “contattami su WhatsApp”?
Tutte queste caratteristiche corrispondono a tasselli in più da considerare nella redazione della tua informativa perché aggiungono dati che raccogli.
2 – Indicare subito e chiaramente chi raccoglie i dati e i suoi contatti
All’inizio di ogni buona informativa deve essere chiaramente indicato chi è il titolare del trattamento dei dati (in genere il proprietario del sito web ma ci possono essere situazioni particolari); niente nickname, niente nome del sito, serve il nostro nome e cognome o la ragione sociale della vostra impresa, sede legale (sì, anche se è la vostra residenza) e Partita Iva.
E ovviamente serve subito indicare a quale indirizzo contattarti (affinché ci si possa avvalere dei diritti concessi dalla legge).
Il web è pieno di informative privacy in cui già da subito non è chiaro con chi ci si sta, anche legalmente, interfacciando, ma la gestione dati nel 2022 è una cosa seria (anche legalmente) ed è bene dare al lettore/cliente un nome e un’identità fiscale e legale.
3 – Usa un linguaggio chiaro
Il testo della tua informativa privacy deve essere chiaro: non serve un linguaggio eccessivamente arzigogolato; io stessa, come avvocata, quando creo le informative privacy per i miei clienti, che siano aziende o blogger, so di essere in dovere di creare documenti facili da leggere e da comprendere.
Il lettore e navigante ha il diritto, in qualunque momento, di sapere quali suoi dati vengono raccolti (e sì, ti ricordo che anche un semplice blog raccoglie dati personali, come nome e cognome, indirizzo e-mail e indirizzo ip).
4 – Fa un elenco dei diritti dei lettori e come questi possono avvalersene
Quali sono i diritti di chi naviga sul tuo sito?
Il primo è quello a sapere come e perché raccogliamo loro dati, e diciamo che seguendo bene i punti di cui sopra, già questo in parte lo garantiamo.
Ma noi non scriviamo questi documenti solo per informare i lettori di come trattiamo i dati bensì anche per indicar loro come possono chiederci… di non trattarli più.
Indica come è possibile contattarti per chiederti che modificare o interrompere i trattamenti che effettui.
5 – Indica la durata del trattamento
Se io faccio oggi un acquisto sul tuo sito web, non è detto (anzi, non è conforme al GDPR) che quei dati restino per sempre a tua disposizione finché io non ti chieda di cancellarli.
Molti plug in di e-commerce hanno nelle impostazioni il tempo di permanenza dei dati degli acquirenti nel tuo server.
Dopo aver impostato questo tempo, indicalo chiaramente nella tua informativa. Per la cronaca, il tempo di permanenza non è sempre deciso dal titolare; accountability sì, ma c’è sempre quella storia del bilanciamento degli interessi, per cui, in alcuni casi, abbiamo delle indicazioni temporali indicate dal Garante oppure dalla legge.
Ovviamente, questo non vale solo per i dati raccolti tramite e-commerce, ma per tutti i dati che raccogli. .
Rivolgiti ad esperti
Ovviamente, non possono non ricordarti che se fai sul serio, se il tuo sito è il tuo lavoro o parte del tuo lavoro, forse è meglio affidarsi ad esperti (tipo noi avvocati) per creare i principali documenti legali del tuo sito web, cioè del tuo lavoro.
Se serve aiuto, contattami pure.
Errori da non fare nelle informative privacy
Dal momento che ne vedo tanti, di “errori”, è il caso di sconsigliarne alcuni in particolare.
- Non affidtevi ai generatori automatici di informative privacy, senza rivedere e verificare che i dettagli generati siano corretti.
Se proprio devi usare questi tool…
- Non lasciare il testo generato automaticamente in una lingua che non è quella in cui scrivi normalmente
Spesso i bot e i plug in che generano le informative privacy sono in lingua inglese e creano informative in Inglese. Per quanto detto al punto 3, è necessario tradurli. E per quanto detto in apertura, facciamoli tradurre a chi lo sa fare.
- Non copiare le informative privacy da altri siti web
E se proprio vogliamo fare questa cosa atroce… almeno ricordiamoci di cambiare i dati del titolare del trattamento perché se l’autore di un sito web al quale abbiamo scopiazzato l’informativa se ne accorge, potrebbe chiedercene conto e ragione in vari modi. Insomma, dovrebbe essere un’abilità che abbiamo imparato a scuola: anche a copiare bisogna esser bravi!
- Non unire in un’unica informativa la privacy e la newsletter o, in genere, tutti gli eventuali tipi di trattamenti che effettui.
Come già specificato in questo articolo, si tratta di due documenti diversi che necessitano di due diverse informative.