Privacy Policy Siti Web: struttura e contenuti minimi per il marketing

Le grandi opportunità che il web offre (in particolare per chi desidera vendere prodotti e servizi attraverso l’e-commerce) hanno dei confini determinati dalle norme che regolano il trattamento dei dati.

Infatti, l’imprenditore digitale, attraverso il marketing e la profilazione, entra in possesso di informazioni che riguardano la sfera personale degli utenti e deve tutelarle, secondo le regole del regolamento europeo in materia.

Se un’azienda decide di fare profilazione nelle sue attività di marketing, deve anzitutto dirlo nell’informativa. Qui entra in gioco la privacy policy, che è un documento, redatto all’interno del sito web, che informa gli utenti circa il trattamento dei loro dati personali.

Per redigere la privacy policy per siti web è necessario seguire le norme stabilite dal Gdpr. L’informativa privacy è un atto molto importante che serve per comunicare agli utenti come vengono trattati i dati personali, che sono stati conferiti tramite il sito internet. Soprattutto se si tratta di siti per l’e-commerce.

Pubblicare una privacy policy per un sito internet a norma è importante perché:

• si aumenta il livello di fiducia degli utenti;
• si evitano le sanzioni del garante privacy;
• si qualifica il sito come “virtuoso”, perché attento ai diritti degli utenti.

L’informativa deve essere resa anche con riguardo ai cookies. Tra i diversi tipi di cookies, nell’e-commerce hanno particolare rilievo quelli di profilazione.

Nelle diverse comunicazioni da fornire nella informativa privacy, ci sono anche i dati del titolare del trattamento: l’utente ha il diritto di conoscere chi tratta i suoi dati personali e decide “le finalità e i mezzi del trattamento”.

Le finalità del trattamento nella privacy policy per sito web

È necessario spiegare, nell’informativa, per quali finalità il sito web tratta i dati personali degli utenti. Per semplificare e permettere di pubblicare un’informativa privacy sito web completa e a norma, ecco le più frequenti finalità da indicare:

• iscrizione al sito Questa finalità è da indicare se l’utente ha la possibilità di iscriversi al sito internet;
• risposte alle domande degli utenti Se il sito internet contiene una email o un modulo di contatto attraverso cui gli utenti possono porre quesiti, vengono trattati i dati degli utenti (come l’email) per rispondere alle domande e di ciò si deve fare menzione nell’informativa privacy;
• marketing e invio di newsletter Si deve indicare quando si vogliono trattare i dati personali per inviare comunicazioni pubblicitarie o newsletter;
• profilazione È una finalità da tenere sempre distinta dal semplice marketing. Si verifica quando si vogliono creare, nel database, dei “gruppi” di utenti per inviare comunicazioni pubblicitarie personalizzate.

Conservazione dei dati personali, marketing e profilazione

La privacy policy di un sito web deve indicare anche il periodo di conservazione dei dati personali. Prima dell’entrata in vigore del Gdpr, si riteneva che, per le finalità di marketing, il periodo di conservazione fosse 24 mesi, mentre, per le finalità di profilazione, fosse di 12 mesi (sulla base di specifici provvedimenti emessi dall’Autorità), fatto salvo il diritto dell'interessato a ritirare il consenso nel qual caso si dovrà procedere con la cancellazione puntuale dei dati.

Dopo l’entrata in vigore del Gdpr, con riferimento alle finalità di marketing e alla profilazione, alcuni operatori ritengono che questi limiti siano venuti meno. Soprattutto in quanto lo stesso Gdpr non prevede alcun limite specifico in tal senso, ma demanda al titolare del sito web di decidere questo limite temporale.

Entrambe le impostazioni possono risultare corrette. Peraltro, si potrà decidere di conservare i dati per 12-24 mesi (per finalità di profilazione e marketing) oppure optare per un tempo più lungo. In tal caso, però, il periodo di conservazione dovrà essere applicato con buon senso.

Comunque, se si conservano i dati personali oltre il periodo indicato nella privacy policy, si commette un’irregolarità. Ancora peggio se non si indica nulla nella stessa privacy policy.

Un provvedimento del Garante della privacy dell’ottobre scorso stabilisce che, se il consenso è stato validamente ottenuto dall’utente, il sito web (in particolare, un sito e-commerce) non deve chiedere nessuna conferma, quindi il consenso al marketing non scade. Dunque, il sito internet può continuare a inviare comunicazioni di marketing finché non sia intervenuta, eventualmente, la revoca del consenso.

Quando si avvicina la scadenza del periodo di conservazione, se non si desidera cancellare i dati personali dei clienti, si deve richiederne il consenso per finalità di marketing-profilazione. Se il consenso è negato, c’è l’obbligo di cancellazione.

La gestione del trattamento dei dati

La privacy policy del sito web deve informare l’utente circa gli strumenti offerti dalla legge per chiedere informazioni sul trattamento dei dati personali, così come quelli per opporsi al trattamento. Per cui la privacy policy del sito web deve pubblicare una sezione in cui l’utente viene informato che può:

• chiedere l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
• revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
• proporre reclamo ad un’autorità di controllo (come il Garante privacy).

Vuoi leggere altri approfondimenti? Ecco cosa offre il nostro Blog:

• Come realizzare un sito e-commerce privacy friendly
• Gdpr compliance marketing-nell'e-commerce 
• E-commerce e social media marketing privacy 
• Gdpr e marketing nell'e-commerce
  
  

Inizia con il piede giusto: scopri le migliori regole per realizzare un sito web a norma di Gdpr per la privacy policy.

Clicca qui per verificare date e argomenti dei nostri prossimi webinar di approfondimento.