Alzi la mano chi non ha ricevuto decine di e-mail negli ultimi mesi, tutte con lo stesso oggetto o quasi: “Informativa sulla privacy – aggiornamento”, oppure “Abbiamo aggiornato la nostra informativa sulla privacy”. Con l’entrata in vigore del Regolamento generale sulla protezione dei dati (GDPR), moltissime aziende hanno bombardato il proprio database di contatti con le suddette email per mettersi in pari con ciò che il Regolamento, pena la violazione dei suoi requisiti.
Ma come deve essere rivista l’informativa sulla privacy?
Ecco alcuni suggerimenti.
L’informativa sulla privacy deve spiegare in che modo si è responsabili della protezione dei dati e in che modo le persone fisiche (gli interessati) possono esercitare i loro diritti su tali dati. L’informativa è un documento diverso dalla policy di protezione dei dati (data protection policy), che dovrebbe essere un documento interno contenente gli obiettivi e le responsabilità relative alla protezione dei dati e come l’azienda intenda gestire le violazioni.
Gli articoli 12, 13 e 14 del GDPR delineano i requisiti per l’informativa sulla privacy. Essi dichiarano che gli interessati devono essere informati sul possesso delle loro informazioni e su come queste sono raccolte, trattate e per quanto tempo verranno archiviate (il GDPR afferma che le informazioni possono essere conservate solo “finché necessario”).
L’informativa sulla privacy deve specificare:
- Chi sta raccogliendo i dati (se l’azienda stessa o una terza parte);
- Le basi di liceità che si stanno utilizzando per il trattamento dei dati;
- Se i dati verranno condivisi con terze parti.
Infine, si dovrebbe spiegare in che modo gli interessati possono esercitare i loro diritti. I diritti più importanti da tenere in considerazione sono:
- Diritti di accesso: gli interessati hanno il diritto di presentare richieste di accesso ai propri dati, le quali richiedono alle aziende di fornire una copia dei dati personali che li riguardano;
- Diritto di rettifica: se le informazioni detenute dall’organizzazione non sono accurate o sono incomplete, gli interessati possono richiederne l’aggiornamento;
- Diritto alla cancellazione (o all’oblio): in alcune circostanze, le persone possono richiedere che l’organizzazione elimini i propri dati personali;
- Diritto di limitazione del trattamento: in alternativa alla cancellazione dei dati, ci sono momenti in cui gli interessati preferirebbero limitarne il trattamento.
Gli interessati hanno otto diritti in totale, che puoi leggere qua.
Le parole da usare
Il GDPR è molto rigoroso su come l’informativa sulla privacy deve essere formulata e strutturata. Deve essere:
- Concisa, chiara, comprensibile e di facile accesso.
Le aziende dovrebbero presentare le informazioni usando il minor numero possibile di parole, ciascun punto presentato separatamente e l’intera sezione chiaramente identificabile rispetto alle informazioni non relative all’informativa sulla privacy. - Per iscritto.
Sebbene siano consentiti mezzi non scritti (video, messaggi vocali, infografiche, soprattutto se rivolti a bambini o persone vulnerabili), l’informativa sulla privacy deve essere disponibile alla lettura in un unico documento scritto. - In un linguaggio semplice.
L’informativa deve definire in modo chiaro ciò che l’azienda intende fare con i dati. Deve perciò evitare termini vaghi come “può”, “alcuni” ed “eventualmente”. Inoltre, deve essere scritta per essere capita dal lettore medio e l’azienda deve fornire disposizioni speciali se l’informativa è rivolta a bambini o persone vulnerabili. - Disponibile per via orale su richiesta.
Le aziende dovrebbero avere una versione registrata o qualcuno disponibile a leggerla ad alta voce, se richiesto.
Per tutte le organizzazioni che non sanno da che parte iniziare con la redazione della propria informativa sulla privacy, il modello precompilato realizzato da IT Governance sarà di grande aiuto.
Personalizzabile con i dati della propria azienda, l’Informativa sulla privacy GDPR – modello personalizzabile permetterà ad ogni organizzazione, di qualsiasi dimensione e tipologia, di redigere l’informativa sulla privacy in pochi minuti.
