Informativa privacy: cosa è, come si appronta, perchè è l’ultima cosa da fare (e non utilizzando il copia e incolla).
Una informativa privacy non è semplicemente “un foglio”
È un errore in cui, specialmente dopo le nuove indicazioni del Garante in materia di cookie, i più ancora cascano, specialmente coloro che creano siti “fai da te” e chi pensa che un’informativa sia un “foglio” da trovare in internet, magari facendo copia incolla o da scaricare tra i tanti modelli che si trovano online.
Una privacy policy è in realtà quel documento che condensa ed esplicita una complessa filiera nella quale l’Interessato, cioè la persona di cui si raccolgono, trattano e conservano i dati, è assoluto protagonista e centro di interessi: sono infatti i suoi diritti quelli che devono essere indicati nell’informativa ai sensi degli articoli 13 e 14 del GDPR.
Cosa deve contenere
Il documento in questione (chiamiamola pure privacy policy mutuando il testo in inglese del GDPR, ma ricordiamo che parliamo dell’informativa) è il risultato di una serie di decisioni e sintesi dei procedimenti scelti da un imprenditore o professionista, Titolare del Trattamento, su cui gravano tutti i doveri previsti dalla normativa europea. Primo tra questi doveri è quello della scelta dei dati che intende trattare per la propria attività e, di conseguenza, le modalità che saranno scelte per la raccolta, le tipologie di trattamento necessarie, il luogo e le modalità di conservazione e, se possibile, anche la loro distruzione o cancellazione dagli archivi.
Logico ed intuitivo come per inserire nel testo del documento “l’esistenza di un processo decisionale automatizzato” oppure informazioni in merito a diversità nelle finalità di trattamento è indispensabile conoscere una serie di elementi che difficilmente sono noti a uno sviluppatore web o creatore di un sito che non abbia piena cognizione delle politiche aziendali in materia di dati.
Stop al copia e incolla
Purtroppo l’esperienza ci dice esattamente il contrario. La rete è piena di siti aziendali che presentano informative privacy lacunose, incomplete e, spessissimo, frutto di quel copia incolla che, può creare non pochi problemi per quanto riguarda, prima di tutto i cookie.
Tutto ciò, inoltre, viene troppo spesso complicato dagli stessi titolari del trattamento, imprenditori che si occupano delle loro attività e, verosimilmente, non hanno le competenze tecniche e legali per comprendere una normativa della quale farebbero a meno e che, per molti di loro, è un costo che vorrebbero evitare.
L’imprenditore deve indicare quali sono i dati personali indispensabili
Viceversa è proprio dalle loro intenzioni e decisioni che deve muovere il lavoro dei consulenti privacy, tecnici informatici e legali, per creare il perfetto quadro del trattamento dati sulla base dei principi di privacy by design e by default che stanno alla base del GDPR.
È infatti l’imprenditore che deve indicare quali sono i dati personali indispensabili alla sua attività, nel rispetto del principio di minimizzazione, e quali invece sono utili per ulteriori scopi che possono andare dalla fidelizzazione alla vera e propria profilazione dell’utenza. È ancora l’imprenditore Titolare che, dalla sua esperienza e dalla sua vision aziendale, trae le indicazioni sul tempo di conservazione dei dati e, magari, potrebbe trarre utili indicazioni in questi processo per cercare di non aggravare i propri archivi di dati inutile e, magari, alleggerire memorie evitando così anche il rischio di attacchi informatici e alleggerendosi di alcuni costi.
Indispensabile inoltre decidere prima chi dovrà venire a contatto di questi dati, anche qui cercando di ridurre al minimo la catena dei passaggi, per predisporre, insieme alle informative, le necessarie lettere di incarico.
Per approfondire > Privacy by design e by default, come strumenti dell’organizzazione aziendale
Informativa privacy: l’ultima cosa da fare
È pertanto solo dopo l’analisi di questi e altri elementi che sarà possibile, per chi dovrà scrivere le informative, avere il quadro completo della completa filiera aziendale della protezione del dato. Inoltre dobbiamo sempre tenere presente che, con il tempo, possono mutare le esigenze delle aziende o i loro processi interni. Ecco che potrebbe presentarsi anche la necessità di modifiche alle informative. Ed anche questo è un motivo per cui questo documento è l’ultimo passo da compiere nella definizione della complessiva gestione della privacy.
Cerchi piattaforme per adempiere a 360° al GDPR ed evitare sanzioni? Vedi qui!
Oppure ti serve formazione? O un consulente privacy? Abbiamo quel che cerchi!