Come scrivere un’informativa sulla privacy conforme al GDPR

Nelle ultime settimane alzi la mano chi non ha ricevuto decine di e-mail tutte con lo stesso oggetto o quasi: “informativa sulla privacy – aggiornamento”, oppure “abbiamo aggiornato la nostra informativa sulla privacy”. Con l’avvicinarsi del 25 maggio, data di entrata in vigore del RGPD (o GDPR), moltissime aziende hanno bombardato il proprio database di contatti con le suddette email per mettersi in pari con ciò che il nuovo Regolamento Generale sulla Protezione dei Dati richiede, pena la violazione dei nuovi requisiti.

Ma come deve essere rivista l’informativa sulla privacy?

Ecco alcuni suggerimenti.

L’informativa sulla privacy deve spiegare in che modo si è responsabili della protezione dei dati e in che modo le persone fisiche (interessati) possono esercitare i loro diritti su tali dati. L’informativa è un documento diverso dalla politica di protezione dei dati (data protection policy), che dovrebbe essere un documento interno contenente gli obiettivi e le responsabilità relative alla protezione dei dati come anche il modo con il quale l’azienda intenda gestire le violazioni.

Gli articoli 12, 13 e 14 del RGPD delineano i requisiti per l’informativa sulla privacy. Essi dichiarano che si deve informare gli interessati che si possiedono le loro informazioni e come queste sono state raccolte, archiviate e per quanto tempo verranno mantenute (il RGPD afferma che le informazioni possono essere conservate solo “finché necessario”).

L’informativa sulla privacy deve specificare:

  • Chi sta raccogliendo i dati (se l’azienda stessa o una terza parte);
  • Le basi legali che si stanno utilizzando per l’elaborazione dei dati;
  • Se i dati verranno condivisi con terze parti.

Infine, si dovrebbe spiegare in che modo le persone possono esercitare i loro diritti sui dati. I diritti più importanti da affrontare sono:

  • Diritti di accesso: gli interessati hanno il diritto di presentare richieste di accesso ai propri dati, le quali richiedono alle aziende di fornire una copia dei dati personali che li riguardano;
  • Diritto di rettifica: se le informazioni detenute dall’organizzazione non sono accurate o incomplete, gli interessati possono richiederne l’aggiornamento;
  • Diritto alla cancellazione (o all’oblio): in alcune circostanze, le persone possono richiedere che l’organizzazione elimini i propri dati personali;
  • Diritto di limitazione del trattamento: in alternativa alla cancellazione dei dati, ci sono momenti in cui gli interessati preferirebbero limitarne l’elaborazione.

Gli interessati hanno otto diritti in totale, che puoi leggere qua.

Le parole da usare

Il RGPD è molto rigoroso su come l’informativa sulla privacy deve essere formulata e strutturata. Deve essere:

  • Concisa, chiara, comprensibile e di facile accesso. Le aziende dovrebbero presentare le informazioni usando il minor numero possibile di parole, ciascun punto presentato separatamente e l’intera sezione chiaramente identificabile rispetto alle informazioni non relative all’informativa sulla privacy.
  • Per iscritto. Sebbene siano consentiti mezzi non scritti (video, messaggi vocali, infografiche, soprattutto se rivolti a bambini o persone vulnerabili), l’informativa sulla privacy deve essere disponibile alla lettura in un unico documento scritto.
  • In un linguaggio semplice. L’informativa deve definire in modo chiaro ciò che l’azienda intende fare con i dati. Deve perciò evitare termini vaghi come “può”, “alcuni” ed “eventualmente”. Inoltre, deve essere scritta per essere capita dal lettore medio e l’azienda deve fornire disposizioni speciali se l’informativa è rivolta a bambini o persone vulnerabili.
  • Disponibile per via orale su richiesta. Le aziende dovrebbero avere una versione registrata o qualcuno disponibile a leggerla ad alta voce, se richiesto.

L’informativa sulla privacy è solo uno dei tanto passaggi che ogni azienda deve effettuare per conformarsi al RGPD. Scopri quali sono gli altri in questi due volumi:

EU General Data Protection Regulation (GDPR) – An Implementation and Compliance Guide, Second Edition

Descrive in dettaglio tutto ciò che è necessario fare per conformarsi al RGPD. In lingua inglese.
Leggi i contenuti >>

 

UE-RGDP: Guida tascabile

Mostra una panoramica sui principi generali e sugli obblighi per le aziende secondo il Regolamento. In lingua italiana.
Leggi i contenuti >>

Leave a Reply

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.