Prima di tutto, a che cosa serve avere un’informativa sulla privacy sul proprio sito web? L’obiettivo di tale pagina è informare le persone o gli utenti, di cui vengono raccolti i dati personali, circa la portata e lo scopo del trattamento di questi dati. L’obbligo di fornire queste informazioni deriva dalle leggi applicabili in materia di privacy: per le aziende svizzere, si tratta in particolare di ottemperare alla legge federale sulla protezione dei dati (LPD), la cui versione ampiamente rivista entrerà in vigore il 1o settembre 2023, nonché in parte anche al Regolamento generale sulla protezione dei dati dell’Unione europea (RGPD).
Dato che probabilmente qualsiasi impresa, in un modo o nell’altro, tratta dati personali, ossia quei dati che permettono l’identificazione del soggetto interessato o da soli o in combinazione con altre informazioni, le aziende dovrebbero disporre quantomeno di un’informativa sulla privacy generale e renderla accessibile anche sul proprio sito web. Tale documento dovrebbe fornire indicazioni in merito alle attività di trattamento svolte dall’azienda sia offline (ad es. in relazione all’esecuzione dei contratti stipulati con i clienti) che online (in particolare nell’ambito della gestione del sito web).
Per motivi di trasparenza, tuttavia, potrebbe anche risultare necessario elaborare informative sulla privacy complementari per determinate attività di trattamento. Ad esempio, se un’azienda ospita una piattaforma di candidature online sul proprio sito web, deve fornire regolarmente informazioni approfondite ai candidati in merito a quali dati vengono raccolti, all’eventuale loro trasmissione a terzi (ad es. a un servizio di reclutamento esterno) e alla durata di conservazione dei dati a seguito della conclusione del processo di reclutamento. Per questa fattispecie concreta, l’informativa sulla privacy andrebbe inserita direttamente nel portale per le candidature online. Tuttavia, nella pratica queste informative sulla privacy specifiche sono spesso necessarie per il trattamento dei dati “offline”. Di norma non vengono dunque pubblicate sul sito web, bensì messe a disposizione del soggetto interessato in altro modo (ad es. tramite avviso pubblico o in forma cartacea).
Che si tratti di un’informativa sulla privacy generale o specifica, per redigere questo documento è comunque necessario rispondere a domande molto simili, se non identiche.
Chi deve redigere l’informativa sulla privacy?
A prima vista, la risposta a questa domanda sembra facile: chiunque si occupi del trattamento dei dati personali in qualità di responsabile. Il responsabile è l’azienda, la quale determina gli obiettivi che vengono perseguiti con il trattamento dei dati e gli strumenti da utilizzare a tale scopo: possiamo paragonarla al conducente di un veicolo, che decide qual è la destinazione finale. L’azienda è ad esempio qualificabile come responsabile rispetto ai dati correlati all’utilizzo del sito web, dato che li raccoglie e li tratta per ottimizzare la propria presenza su Internet oppure per entrare in contatto con i visitatori del sito web.
"Chiunque si occupi del trattamento di dati personali in qualità di responsabile deve redigere un’informativa sulla privacy."
L’obbligo di informazione vige peraltro anche quando il trattamento dei dati viene delegato a terzi. Se l’azienda ha incaricato un fornitore esterno dell’hosting del sito web, e se il fornitore opera rispettando esclusivamente le istruzioni dell’azienda, allora quest’ultima rimane responsabile e deve informare i visitatori del sito web in merito al trattamento dei dati correlati all’utilizzo del sito. Per essere precisi, i visitatori devono essere informati anche del fatto che l’hosting avviene tramite una terza parte incaricata di occuparsene.
Se l’azienda fa parte di un gruppo, è possibile predisporre un’informativa sulla privacy generale e comune all’intero gruppo a patto che le attività di trattamento siano perlopiù simili (e solitamente è così) e a condizione che venga mostrato chiaramente per quali società del gruppo è valida tale informativa. In caso di strutture aziendali complesse, per dovere di trasparenza potrebbe essere necessario inserire un riferimento a una panoramica esterna oppure a un elenco delle società del gruppo pubblicata sul sito web.
Cosa deve contenere l’informativa sulla privacy?
Sia la LPD rivista che il RGPD prevedono un determinato contenuto minimo per le informative sulla privacy, anche se il regolamento europeo ha una portata informativa più vasta. Che trovi applicazione soltanto la LPD o anche il RGPD, è comunque necessario fornire informazioni in merito all’identità del responsabile, alle categorie di dati personali (nome, dati di contatto, dati sanitari ecc.) e di soggetti interessati (clienti, collaboratori, fornitori ecc.), nonché in merito alle finalità di trattamento (rispetto dei contratti con i clienti, garanzia di funzionamento del sito web ecc.) e a eventuali destinatari (subappaltatori e fornitori di servizi, assicurazioni, aziende partner o simili) a cui vengono trasmessi tali dati personali. Se i dati vengono trasmessi all’estero, è necessario fornire determinate informazioni in merito.
Una volta inseriti questi dati, l’informativa sulla privacy di un’azienda svizzera è di norma già completa. Tuttavia, a causa dell’influenza dell’UE e del fatto che le aziende svizzere in determinate circostanze rientrano nel campo d’applicazione del RGPD, anche in Svizzera è prassi comune redigere informative sulla privacy più approfondite. Ovviamente, trasmettere più informazioni rispetto a quanto strettamente necessario non è illecito. È consigliabile però riflettere bene sulla portata minima che deve coprire la propria informativa sulla privacy e inserire informazioni aggiuntive soltanto se si ritiene che apportino un valore aggiunto oppure se si tratta di un obbligo di legge (in particolare se l’azienda è soggetta alle disposizioni del RGPD). Anche questo potrebbe facilitare il compito.
Esempi di copertura di un’informativa sulla privacy su un sito web
Se un’azienda gestisce un sito web, sarà inevitabilmente necessario redigere un’informativa sulla privacy. Anche se chiaramente ogni sito web è strutturato in modo diverso rispetto agli altri, e perciò anche le informative possono differenziarsi nel contenuto, ci sono molte funzionalità e trattamenti dei dati che tipicamente ricorrono e che devono quindi essere oggetto di menzione nell’informativa.
- Se nel sito viene inserito un modulo di contatto oppure un altro strumento simile, l’utente deve essere informato in merito al trattamento a cui sono soggetti i dati forniti tramite queste opzioni di contatto (ossia probabilmente l’elaborazione della richiesta e la possibilità per l’azienda di ricontattare l’utente).
- Spesso è possibile iscriversi a una newsletter o a comunicazioni di marketing simili tramite una schermata sul sito: in questo caso, l’utente che intende abbonarsi deve fornire come minimo il proprio nome e indirizzo e-mail. Sarà perciò necessario tenere presente che chi si abbona deve essere informato della possibilità di cancellare la propria iscrizione (non si tratta in questo caso di una disposizione sulla protezione dei dati, bensì dell’art. 3, cpv. 1 lett. o della legge federale contro la concorrenza sleale).
- Anche se il sito ha carattere puramente informativo, nella pratica vengono solitamente utilizzati cookie o tecnologie di tracciamento simili, tramite le quali vengono rilevati almeno gli indirizzi IP o “Identifier” analoghi, i quali possono contenere dati personali.
- Se sono coinvolti servizi di terze parti, ad esempio strumenti di tracciamento come Google Analytics oppure i pixel dei social media, è necessario comunicare quali dati personali vengono trasmessi a terzi e per quali scopi. Se i dati vengono inviati all’estero, fattispecie che in verità si verifica praticamente sempre, è necessario comunicare anche questo. In Svizzera, in futuro sarà addirittura obbligatorio informare esplicitamente in merito al Paese ricevente. Per i fornitori terzi più comuni, come Google, Facebook, Twitter ecc., sono disponibili su Internet delle formule standard che è possibile utilizzare, provvedendo però a verificarle con spirito critico e adeguandole ove necessario.
Come è meglio procedere?
Fondamentalmente non esiste una ricetta magica per redigere un’informativa sulla privacy, a prescindere dal tipo di trattamento di dati che dovrebbe coprire. Per motivi di efficienza e di risparmio, tuttavia, può essere utile basarsi su informative sulla privacy e modelli già esistenti: non bisogna per forza partire ogni volta da zero. Ciò non significa però che un’azienda debba copiare una qualsiasi informativa sulla privacy a occhi chiusi e utilizzarla per i propri fini. Non tutte le informative sulla privacy pubblicate rispettano le disposizioni di legge e sussiste il rischio che gli obblighi di informazione sanciti dal diritto sulla protezione dei dati non vengano rispettati, in tutto o in parte. Questo può portare anche a sanzioni pecuniarie: nell’UE è già così, mentre in Svizzera lo sarà a partire dall’entrata in vigore il 1o settembre 2023 della LPD rivista.
Revisione totale della LPD
La legge federale sulla protezione dei dati (LPD) attualmente in vigore è stata completamente rivista nel quadro di una procedura legislativa e di consultazione durata diversi anni. La nuova LPD entrerà in vigore il 1o settembre 2023. L’obiettivo della revisione era di ottimizzare la LPD in fatto di trasparenza e autodeterminazione (vedasi la spiegazione dell’Ufficio federale di giustizia) nonché allinearsi in parte ai requisiti sanciti dal regolamento generale europeo sulla protezione dei dati (RGPD).
È necessario perciò affidarsi a fonti serie. Ad esempio, è possibile riprendere l’informativa sulla privacy di una società collegata se si è a conoscenza del fatto che tale informativa è già stata sottoposta a un controllo giuridico. In alternativa, è possibile utilizzare modelli affidabili accessibili pubblicamente. Un noto esempio è il modello di informativa sulla privacy reperibile sul sito web del «DSAT», un Self Assessment Tool sulla protezione dei dati. Il modello è stato redatto dallo studio legale VISCHER, presso il quale lavora l’autrice, in collaborazione con un altro rinomato studio di Zurigo, ed è disponibile in lingua tedesca, inglese e francese. In questo caso si tratta di un’informativa sulla privacy generale, che contiene frasi di ampia portata per attività standard di trattamento nonché per le attività di trattamento legate alla gestione di un sito web e che rispetta gli obblighi di informazione sia della LPD svizzera che del RGPD europeo. Le imprese possono scaricare gratuitamente il modello, già utilizzato in Svizzera, e adattarlo alle proprie esigenze specifiche. Fra l’altro, anche l’informativa sulla privacy di Hostpoint si basa proprio su questo modello.
Ma anche se si sceglie di utilizzare modelli oppure informative già esistenti, è inevitabile dover mettere mano al testo per adeguarlo ai propri requisiti: ogni azienda, infatti, ha un’organizzazione, strutture e processi, nonché prodotti e servizi che la distinguono da tutte le altre. Per scoprire come sono organizzate le attività di trattamento dei dati della propria impresa, è consigliabile coinvolgere le persone di competenza a livello aziendale: ad esempio, il dipartimento Risorse umane conosce molto bene i processi di trattamento dei dati dei collaboratori e sa quali dati vengono utilizzati e a quale scopo. Le informazioni necessarie in merito alle attività di trattamento possono essere ottenute in vari modi, a libera scelta dell’azienda: può trattarsi di seminari, questionari o singoli colloqui. È bene sapere tuttavia che una solida informativa sulla privacy non è mai il frutto del lavoro di un singolo, bensì costituisce sempre il risultato di uno sforzo collettivo.
Lista di controllo: quali consigli seguire?
Grazie ai seguenti suggerimenti è possibile semplificare il processo di redazione di un’informativa sulla privacy:
- Capire per quali attività di trattamento è responsabile l’azienda dal punto di vista della legislazione sulla protezione dei dati, ossia per quali dati determina scopo e mezzi. Soltanto questi aspetti, infatti, devono essere menzionati nell’informativa sulla privacy.
- Verificare se l’azienda rientra (anche) nel campo d’applicazione del RGPD. In caso contrario, l’informativa sulla privacy può essere notevolmente più breve e concisa.
- Stabilire con precisione in quali casi è necessaria un’informativa sulla privacy supplementare e specifica, e coprire la maggior parte delle attività di trattamento dei dati tramite l’informativa sulla privacy generale.
- Preparare un’informativa sulla privacy generale per l’intero gruppo societario. In questo modo è possibile sfruttare le sinergie e distribuire i costi.
- Coinvolgere le persone di competenza delle unità aziendali interessate, che possono fornire le informazioni necessarie in merito alle attività di trattamento.
- Sfruttare modelli ed esempi provenienti da fonti affidabili. Un modello già ampiamente utilizzato è reperibile sul sito web del DSAT.