Come scrivere una buona informativa sulla privacy per il proprio sito web Come scrivere una buona informativa sulla privacy per il proprio sito web

Come scrivere una buona informativa sulla privacy per il proprio sito web

Ormai quasi tutte le aziende si sono dovute occupare del tema dell’informativa sulla privacy. Scriverne una richiede molto impegno e spesso viene considerato un compito obbligato, ingrato e difficile. L’avvocata Sarah Bischof dello studio VISCHER fornisce di seguito qualche consiglio pratico per la redazione di un’informativa sulla privacy a norma di legge.

Sarah Bischof Sarah Bischof · Attorney at Law, VISCHER

Prima di tutto, a che cosa serve avere un’informativa sulla privacy sul proprio sito web? L’obiettivo di tale pagina è informare le persone o gli utenti, di cui vengono raccolti i dati personali, circa la portata e lo scopo del trattamento di questi dati. L’obbligo di fornire queste informazioni deriva dalle leggi applicabili in materia di privacy: per le aziende svizzere, si tratta in particolare di ottemperare alla legge federale sulla protezione dei dati (LPD), la cui versione ampiamente rivista entrerà in vigore il 1o settembre 2023, nonché in parte anche al Regolamento generale sulla protezione dei dati dell’Unione europea (RGPD).

Dato che probabilmente qualsiasi impresa, in un modo o nell’altro, tratta dati personali, ossia quei dati che permettono l’identificazione del soggetto interessato o da soli o in combinazione con altre informazioni, le aziende dovrebbero disporre quantomeno di un’informativa sulla privacy generale e renderla accessibile anche sul proprio sito web. Tale documento dovrebbe fornire indicazioni in merito alle attività di trattamento svolte dall’azienda sia offline (ad es. in relazione all’esecuzione dei contratti stipulati con i clienti) che online (in particolare nell’ambito della gestione del sito web).

Per motivi di trasparenza, tuttavia, potrebbe anche risultare necessario elaborare informative sulla privacy complementari per determinate attività di trattamento. Ad esempio, se un’azienda ospita una piattaforma di candidature online sul proprio sito web, deve fornire regolarmente informazioni approfondite ai candidati in merito a quali dati vengono raccolti, all’eventuale loro trasmissione a terzi (ad es. a un servizio di reclutamento esterno) e alla durata di conservazione dei dati a seguito della conclusione del processo di reclutamento. Per questa fattispecie concreta, l’informativa sulla privacy andrebbe inserita direttamente nel portale per le candidature online. Tuttavia, nella pratica queste informative sulla privacy specifiche sono spesso necessarie per il trattamento dei dati “offline”. Di norma non vengono dunque pubblicate sul sito web, bensì messe a disposizione del soggetto interessato in altro modo (ad es. tramite avviso pubblico o in forma cartacea).

Che si tratti di un’informativa sulla privacy generale o specifica, per redigere questo documento è comunque necessario rispondere a domande molto simili, se non identiche.

Chi deve redigere l’informativa sulla privacy?

A prima vista, la risposta a questa domanda sembra facile: chiunque si occupi del trattamento dei dati personali in qualità di responsabile. Il responsabile è l’azienda, la quale determina gli obiettivi che vengono perseguiti con il trattamento dei dati e gli strumenti da utilizzare a tale scopo: possiamo paragonarla al conducente di un veicolo, che decide qual è la destinazione finale. L’azienda è ad esempio qualificabile come responsabile rispetto ai dati correlati all’utilizzo del sito web, dato che li raccoglie e li tratta per ottimizzare la propria presenza su Internet oppure per entrare in contatto con i visitatori del sito web.

"Chiunque si occupi del trattamento di dati personali in qualità di responsabile deve redigere un’informativa sulla privacy."

L’obbligo di informazione vige peraltro anche quando il trattamento dei dati viene delegato a terzi. Se l’azienda ha incaricato un fornitore esterno dell’hosting del sito web, e se il fornitore opera rispettando esclusivamente le istruzioni dell’azienda, allora quest’ultima rimane responsabile e deve informare i visitatori del sito web in merito al trattamento dei dati correlati all’utilizzo del sito. Per essere precisi, i visitatori devono essere informati anche del fatto che l’hosting avviene tramite una terza parte incaricata di occuparsene.

Se l’azienda fa parte di un gruppo, è possibile predisporre un’informativa sulla privacy generale e comune all’intero gruppo a patto che le attività di trattamento siano perlopiù simili (e solitamente è così) e a condizione che venga mostrato chiaramente per quali società del gruppo è valida tale informativa. In caso di strutture aziendali complesse, per dovere di trasparenza potrebbe essere necessario inserire un riferimento a una panoramica esterna oppure a un elenco delle società del gruppo pubblicata sul sito web.

Cosa deve contenere l’informativa sulla privacy?

Sia la LPD rivista che il RGPD prevedono un determinato contenuto minimo per le informative sulla privacy, anche se il regolamento europeo ha una portata informativa più vasta. Che trovi applicazione soltanto la LPD o anche il RGPD, è comunque necessario fornire informazioni in merito all’identità del responsabile, alle categorie di dati personali (nome, dati di contatto, dati sanitari ecc.) e di soggetti interessati (clienti, collaboratori, fornitori ecc.), nonché in merito alle finalità di trattamento (rispetto dei contratti con i clienti, garanzia di funzionamento del sito web ecc.) e a eventuali destinatari (subappaltatori e fornitori di servizi, assicurazioni, aziende partner o simili) a cui vengono trasmessi tali dati personali. Se i dati vengono trasmessi all’estero, è necessario fornire determinate informazioni in merito.

Una volta inseriti questi dati, l’informativa sulla privacy di un’azienda svizzera è di norma già completa. Tuttavia, a causa dell’influenza dell’UE e del fatto che le aziende svizzere in determinate circostanze rientrano nel campo d’applicazione del RGPD, anche in Svizzera è prassi comune redigere informative sulla privacy più approfondite. Ovviamente, trasmettere più informazioni rispetto a quanto strettamente necessario non è illecito. È consigliabile però riflettere bene sulla portata minima che deve coprire la propria informativa sulla privacy e inserire informazioni aggiuntive soltanto se si ritiene che apportino un valore aggiunto oppure se si tratta di un obbligo di legge (in particolare se l’azienda è soggetta alle disposizioni del RGPD). Anche questo potrebbe facilitare il compito.

Esempi di copertura di un’informativa sulla privacy su un sito web

Se un’azienda gestisce un sito web, sarà inevitabilmente necessario redigere un’informativa sulla privacy. Anche se chiaramente ogni sito web è strutturato in modo diverso rispetto agli altri, e perciò anche le informative possono differenziarsi nel contenuto, ci sono molte funzionalità e trattamenti dei dati che tipicamente ricorrono e che devono quindi essere oggetto di menzione nell’informativa.

Come è meglio procedere?

Fondamentalmente non esiste una ricetta magica per redigere un’informativa sulla privacy, a prescindere dal tipo di trattamento di dati che dovrebbe coprire. Per motivi di efficienza e di risparmio, tuttavia, può essere utile basarsi su informative sulla privacy e modelli già esistenti: non bisogna per forza partire ogni volta da zero. Ciò non significa però che un’azienda debba copiare una qualsiasi informativa sulla privacy a occhi chiusi e utilizzarla per i propri fini. Non tutte le informative sulla privacy pubblicate rispettano le disposizioni di legge e sussiste il rischio che gli obblighi di informazione sanciti dal diritto sulla protezione dei dati non vengano rispettati, in tutto o in parte. Questo può portare anche a sanzioni pecuniarie: nell’UE è già così, mentre in Svizzera lo sarà a partire dall’entrata in vigore il 1o settembre 2023 della LPD rivista.

Revisione totale della LPD
La legge federale sulla protezione dei dati (LPD) attualmente in vigore è stata completamente rivista nel quadro di una procedura legislativa e di consultazione durata diversi anni. La nuova LPD entrerà in vigore il 1o settembre 2023. L’obiettivo della revisione era di ottimizzare la LPD in fatto di trasparenza e autodeterminazione (vedasi la spiegazione dell’Ufficio federale di giustizia) nonché allinearsi in parte ai requisiti sanciti dal regolamento generale europeo sulla protezione dei dati (RGPD).

È necessario perciò affidarsi a fonti serie. Ad esempio, è possibile riprendere l’informativa sulla privacy di una società collegata se si è a conoscenza del fatto che tale informativa è già stata sottoposta a un controllo giuridico. In alternativa, è possibile utilizzare modelli affidabili accessibili pubblicamente. Un noto esempio è il modello di informativa sulla privacy reperibile sul sito web del «DSAT», un Self Assessment Tool sulla protezione dei dati. Il modello è stato redatto dallo studio legale VISCHER, presso il quale lavora l’autrice, in collaborazione con un altro rinomato studio di Zurigo, ed è disponibile in lingua tedesca, inglese e francese. In questo caso si tratta di un’informativa sulla privacy generale, che contiene frasi di ampia portata per attività standard di trattamento nonché per le attività di trattamento legate alla gestione di un sito web e che rispetta gli obblighi di informazione sia della LPD svizzera che del RGPD europeo. Le imprese possono scaricare gratuitamente il modello, già utilizzato in Svizzera, e adattarlo alle proprie esigenze specifiche. Fra l’altro, anche l’informativa sulla privacy di Hostpoint si basa proprio su questo modello.

Ma anche se si sceglie di utilizzare modelli oppure informative già esistenti, è inevitabile dover mettere mano al testo per adeguarlo ai propri requisiti: ogni azienda, infatti, ha un’organizzazione, strutture e processi, nonché prodotti e servizi che la distinguono da tutte le altre. Per scoprire come sono organizzate le attività di trattamento dei dati della propria impresa, è consigliabile coinvolgere le persone di competenza a livello aziendale: ad esempio, il dipartimento Risorse umane conosce molto bene i processi di trattamento dei dati dei collaboratori e sa quali dati vengono utilizzati e a quale scopo. Le informazioni necessarie in merito alle attività di trattamento possono essere ottenute in vari modi, a libera scelta dell’azienda: può trattarsi di seminari, questionari o singoli colloqui. È bene sapere tuttavia che una solida informativa sulla privacy non è mai il frutto del lavoro di un singolo, bensì costituisce sempre il risultato di uno sforzo collettivo.

Lista di controllo: quali consigli seguire?

Grazie ai seguenti suggerimenti è possibile semplificare il processo di redazione di un’informativa sulla privacy:

Disposizione delle immagini per illustrare un bel sito web sulla fotografia di viaggio Anordnung von Bildern zur Veranschaulichung einer schönen Website über Reisefotografie

Un nuovo sito web in tutta semplicità?

Con il nostro sistema modulare per siti web «Sites» può realizzare il Suo sito web in pochi passaggi e senza bisogno di particolari conoscenza tecniche. In tutta semplicità!

Prova Sites gratis per 30 giorni Prova Sites gratis per 30 giorni