Fac Simile Informativa Privacy

In questa guida mettiamo a disposizione un modello di Informativa sulla Privacy da scaricare.

Informativa Privacy

In Europa l’informativa privacy è il documento con cui il titolare del trattamento spiega, in modo comprensibile e trasparente, come e perché usa i dati personali. Il Regolamento (UE) 2016/679 richiede che l’informativa sia fornita quando i dati sono raccolti presso l’interessato e, con alcune integrazioni, anche quando provengono da terzi. L’obiettivo non è compilare un modulo standard, ma mettere la persona in condizione di capire davvero il trattamento, potendo esercitare i propri diritti e scegliere consapevolmente se prestare il consenso quando è necessario. Il linguaggio deve essere chiaro, privo di gergo tecnico non spiegato e proporzionato al pubblico di riferimento, con particolare attenzione ai minori e ai soggetti vulnerabili.

Il contenuto minimo ruota attorno a chi tratta i dati, quali dati sono trattati, per quali finalità, su quali basi giuridiche e per quanto tempo. Devono essere indicati il titolare, i suoi contatti, l’eventuale Data Protection Officer, le categorie di destinatari e, se si effettuano trasferimenti extra UE, le relative garanzie. Le finalità vanno descritte in modo specifico e separato, distinguendo ciò che è necessario per il servizio da ciò che è facoltativo, come il marketing o la profilazione. Le basi giuridiche non si elencano in astratto, ma si associano a ciascuna finalità: il consenso libero e granulare quando non esistono basi alternative, l’esecuzione di un contratto per le attività indispensabili alla fornitura, l’adempimento di obblighi legali per la conservazione fiscale, il legittimo interesse solo dopo una valutazione documentata che dimostri l’equilibrio tra interessi del titolare e diritti degli interessati. I tempi di conservazione non possono essere indefiniti: si indicano durate concrete o criteri oggettivi che permettano di comprenderle, spiegando quando i dati vengono anonimizzati o cancellati.

I diritti degli interessati comprendono accesso, rettifica, cancellazione, limitazione, opposizione, portabilità e reclamo all’autorità di controllo. L’informativa deve spiegare come esercitarli, con canali effettivi, gratuiti e tempi di risposta definiti, evitando ostacoli organizzativi. Quando ci sono decisioni basate unicamente su trattamenti automatizzati, inclusa la profilazione, occorre evidenziare l’esistenza di tale meccanismo, la logica di base, l’importanza e le conseguenze previste, oltre al diritto di ottenere intervento umano e contestare la decisione. Se il trattamento richiede il consenso, la revoca deve essere facile quanto la prestazione, senza penalizzazioni indebitamente condizionanti.

La forma dell’informativa può essere a più livelli per migliorare la fruibilità. Un primo strato sintetico chiarisce subito chi tratta i dati, per quali scopi principali, su quali basi e per quanto tempo, con rimando a un secondo livello più dettagliato. Nelle interfacce digitali conviene usare testi brevi, microcopy e link contestuali, riservando i dettagli normativi alla pagina completa. Il principio di trasparenza impone coerenza tra informativa, interfaccia utente e comportamento effettivo del sistema: se l’informativa afferma che un consenso è facoltativo, l’uso del servizio non deve essere bloccato in sua assenza quando non è strettamente necessario.

Nei siti e nelle app la gestione dei cookie e dei tracciatori va coordinata con l’informativa. Il banner non sostituisce l’informativa ma ne è un complemento che abilita scelte granulari per finalità e terze parti, evitando preselezioni e percorsi opachi. I cookie tecnici possono essere attivati senza consenso mentre per quelli di profilazione, marketing e, in molti casi, analytics con identificatori persistenti, serve una base idonea e un consenso efficace. L’informativa deve spiegare chi sono i fornitori di tecnologia coinvolti, quali dati raccolgono e come disattivarli successivamente, mantenendo allineati i registri interni delle scelte.

Quando i dati vengono raccolti offline, ad esempio in un punto vendita o in un modulo cartaceo, l’informativa va resa disponibile con cartelli chiari o fogli informativi, indicando almeno gli elementi essenziali e un riferimento a un canale stabile dove reperire il testo completo. Per la videosorveglianza si utilizza un avviso di primo livello con pittogramma, finalità, titolare e tempi di conservazione e un secondo livello accessibile su richiesta o via web; l’angolo visuale delle telecamere e i tempi di conservazione devono rispettare il principio di minimizzazione.

L’informativa deve riflettere la reale catena dei soggetti che trattano i dati. Se ricorrono fornitori che agiscono per conto del titolare, è necessario inquadrare correttamente il loro ruolo di responsabili del trattamento con un contratto che disciplini istruzioni, sicurezza e subfornitori. Se due o più soggetti determinano congiuntamente finalità e mezzi, occorre disciplinare la contitolarità e mettere a disposizione un estratto dell’accordo che chiarisca i rispettivi ruoli e i punti di contatto. Nei trasferimenti verso paesi terzi l’informativa deve indicare la base giuridica utilizzata, come clausole contrattuali standard o decisioni di adeguatezza, e rivelare l’esistenza di rischi residui ove pertinenti.

Le categorie particolari di dati richiedono cautele ulteriori. Dati relativi alla salute, all’orientamento sessuale, alle convinzioni religiose o politiche e genetici devono poggiare su basi giuridiche rafforzate e misure di sicurezza adeguate, con informative che esplicitino perché quel trattamento è necessario e quali salvaguardie sono state adottate. Per i minori l’informativa deve essere scritta in linguaggio adatto all’età e, quando la base è il consenso per servizi della società dell’informazione, va rispettata la soglia di età prevista dall’ordinamento applicabile e acquisito il consenso del genitore o di chi esercita la responsabilità genitoriale.

L’aggiornamento dell’informativa non è un adempimento episodico ma un processo. Ogni cambiamento significativo nelle finalità, nelle basi giuridiche, nei destinatari o nella tecnologia di tracciamento impone una revisione e, quando necessario, una nuova raccolta del consenso o una comunicazione proattiva agli interessati. Il principio di responsabilizzazione richiede che il titolare tenga traccia delle versioni, dei periodi di validità e delle modalità con cui l’informazione è stata resa, così da poter dimostrare la conformità in caso di controlli o reclami. Se si verificano violazioni di dati personali, l’informativa non è il luogo dove notificare l’evento, ma rappresenta il contesto in cui l’organizzazione ha già spiegato come contattarla e quali canali usare; in presenza di un data breach con alto rischio per i diritti e le libertà, la comunicazione individuale dovrà essere chiara, mirata e coerente con quanto l’informativa promette.

In termini operativi una buona informativa nasce da una mappatura dei trattamenti, dall’analisi delle basi giuridiche e dai tempi di conservazione realmente praticati. Il testo si redige dopo, non prima, perché deve descrivere fedelmente un sistema già progettato secondo privacy by design e privacy by default. La qualità dell’informativa si misura sulla capacità di un interessato medio di comprendere cosa succede ai propri dati e di controllarli; modelli generici o copiati, clausole omnibus e rinvii oscuri non superano questo esame. Una volta pubblicata, l’organizzazione deve assicurare che le promesse siano mantenute nelle procedure interne, nei registri, nelle impostazioni di piattaforme e CRM e nelle prassi del personale.

Esempio di Informativa Privacy

Modello di Informativa Privacy (artt. 12, 13 e 14 Reg. (UE) 2016/679 – GDPR)

Versione: __________ • Data di entrata in vigore: __________

Chi siamo e perché leggi questa informativa
Il titolare del trattamento dei tuoi dati personali è __________ con sede in __________, C.F./P.IVA __________, contattabile a __________ e privacy: __________. Questa informativa spiega in modo chiaro come trattiamo i tuoi dati quando utilizzi __________ o fruisci dei nostri servizi __________.

Contatti del DPO (se nominato)
Abbiamo nominato un Data Protection Officer (DPO), contattabile a __________ oppure via PEC __________.

Quali dati trattiamo e da dove li otteniamo
Trattiamo dati identificativi e di contatto (nome, cognome, email, telefono, indirizzo) __________, dati contrattuali e di fatturazione __________, dati di navigazione e log generati dall’uso del sito/app __________. Se i dati non sono raccolti presso di te, possono provenire da __________ sulla base di __________. Non richiediamo categorie particolari di dati; qualora tu ce li fornisca, li tratteremo solo se strettamente necessario e legittimo.

Per quali finalità e su quali basi giuridiche
Usiamo i dati per erogare i servizi richiesti e gestire il rapporto contrattuale, inclusi pagamenti e assistenza, in esecuzione di un contratto o di misure precontrattuali. Gestiamo obblighi legali in materia fiscale, contabile e di sicurezza. Comunichiamo aggiornamenti di servizio e sicurezza per legittimo interesse a mantenere l’operatività delle piattaforme, dopo valutazione di bilanciamento. Svolgiamo attività di marketing diretto solo con il tuo consenso libero e granulare, revocabile in ogni momento, e teniamo traccia delle tue preferenze per offrirti contenuti pertinenti se hai acconsentito alla profilazione __________. Quando necessario, chiediamo il tuo consenso anche per l’uso di cookie non tecnici e di tracciatori analoghi.

Quanto a lungo conserviamo i dati
Conserviamo i dati per il tempo strettamente necessario alle finalità indicate. I dati contrattuali sono conservati per __________ anni; quelli di fatturazione per __________ anni come imposto dalla legge; i log tecnici per __________; i dati di marketing fino a revoca del consenso o per __________ mesi di inattività. Alla scadenza, cancelliamo o anonimizzamo i dati in modo sicuro.

A chi comunichiamo i dati
Condividiamo i dati con fornitori che agiscono quali responsabili del trattamento (es. hosting, manutenzione IT, email, pagamenti, customer care) contrattualizzati ai sensi dell’art. 28 GDPR: __________. Possiamo comunicare dati a soggetti autonomi quando necessario per obbligo di legge o legittimo interesse documentato, quali autorità, consulenti e istituti di credito __________. L’elenco aggiornato dei destinatari è disponibile su richiesta.

Trasferimenti extra-UE
Alcuni fornitori possono trovarsi fuori dallo Spazio Economico Europeo. In tal caso garantiamo trasferimenti conformi agli artt. 44–49 GDPR, adottando Clausole Contrattuali Standard della Commissione Europea o verificando decisioni di adeguatezza. Puoi ottenere copia delle garanzie scrivendo a __________.

Cookie e tecnologie simili
Utilizziamo cookie tecnici necessari al funzionamento del sito e, previo consenso, cookie per analisi, personalizzazione e marketing. Puoi gestire le preferenze in qualsiasi momento tramite il nostro Cookie Center disponibile qui: __________. Maggiori dettagli nella Cookie Policy: __________.

Decisioni automatizzate e profilazione
Se adottiamo processi decisionali basati unicamente su trattamenti automatizzati, inclusa la profilazione, te ne informiamo in modo trasparente, spiegando logica di base, importanza e conseguenze. Ove rilevante: finalità __________, parametri __________, conseguenze __________. Hai diritto a ottenere intervento umano, esprimere la tua opinione e contestare la decisione.

Come proteggiamo i dati
Applichiamo misure tecniche e organizzative adeguate al rischio, tra cui controllo degli accessi, cifratura in transito e a riposo ove possibile, segregazione degli ambienti, backup e procedure di gestione degli incidenti. Su richiesta forniamo un estratto delle principali misure di sicurezza.

I tuoi diritti
Puoi esercitare in ogni momento i diritti di accesso, rettifica, cancellazione, limitazione, portabilità, opposizione per motivi legati alla tua situazione particolare, oltre al diritto di revocare il consenso senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca. Hai inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it
) o all’autorità del tuo luogo di residenza o lavoro.

Come esercitarli
Per esercitare i diritti scrivi a __________ o compila il modulo online __________. Risponderemo entro un mese, estendibile nei casi complessi ai sensi dell’art. 12(3) GDPR. L’esercizio dei diritti è gratuito salvo richieste manifestamente infondate o eccessive.

Minori
I servizi non sono destinati a minori di __________ anni. Quando la base giuridica è il consenso per servizi della società dell’informazione, applichiamo la soglia d’età prevista dalla legge nazionale e richiediamo il consenso di chi esercita la responsabilità genitoriale, ove necessario.

Contitolarità o ruolo dei fornitori
Se determiniamo finalità e mezzi insieme ad altri soggetti, operiamo come contitolari ai sensi dell’art. 26 GDPR; un estratto dell’accordo che definisce ruoli e responsabilità è disponibile qui: __________. Quando i fornitori trattano dati per nostro conto, agiscono come responsabili del trattamento sulla base di istruzioni documentate.

Aggiornamenti
Potremo modificare questa informativa per riflettere cambiamenti normativi, organizzativi o tecnologici. Ti informeremo in modo proporzionato e, ove necessario, raccoglieremo nuovamente il consenso. Questa è la versione n. __________ valida dal __________; le versioni precedenti sono archiviate qui: __________.

Riepilogo “a strati” per interfacce digitali
Titolare: __________ – Contatti: __________. Finalità principali: erogazione servizi __________, supporto clienti __________, adempimenti legali __________, marketing solo con consenso. Basi giuridiche: contratto, obbligo legale, legittimo interesse documentato, consenso ove richiesto. Conservazione: fino a __________ a seconda delle finalità. Diritti: accesso, rettifica, cancellazione, portabilità, opposizione, reclamo al Garante. Preferenze cookie: __________.

Clausole opzionali da personalizzare (inserire solo se pertinenti)

Informative specifiche per singoli trattamenti
Per il programma __________ trattiamo i dati __________ per __________ su base __________ con conservazione __________. Destinatari: __________. Trasferimenti extra-UE: __________. Profilazione: sì/no.

Videosorveglianza
L’area __________ è soggetta a videosorveglianza per sicurezza e tutela del patrimonio, con conservazione fino a __________ ore/giorni salvo esigenze di indagine. Titolare __________; segnaletica di primo livello presente; informativa estesa su richiesta a __________.

Selezione del personale
I CV ricevuti sono conservati per __________ mesi salvo diverso consenso per posizioni future. Non chiediamo né trattiamo dati non pertinenti; ti invitiamo a non includere categorie particolari di dati.