Se hai un sito web, un blog o un piccolo e-commerce, non puoi scappare: la Privacy Policy deve esserci. Ma non deve essere per forza un documento illeggibile di 40 pagine scritto in “avvocatese”.
Ecco un approfondimento sui punti chiave che non possono mancare e perché sono importanti.
1. Chi comanda? (Il Titolare del Trattamento)
La legge vuole sapere chi è il responsabile dei dati. Se succede qualcosa, con chi bisogna parlare?
- Cosa devi mettere: Il tuo nome e cognome (se sei un libero professionista) o il nome della tua società. Aggiungi l’indirizzo fisico e, soprattutto, una email di contatto.
- Perché è importante: Serve a creare un ponte diretto tra te e l’utente. La trasparenza inizia mettendoci la faccia (e l’indirizzo).
2. Quali dati “metti in tasca”?
Qui devi fare l’elenco della spesa. Non dimenticare nulla, anche quello che ti sembra scontato.
- Dati diretti: Quelli che l’utente ti scrive (Nome, email nel form contatti, numero di telefono, indirizzo per la spedizione).
- Dati indiretti: Quelli che il sito raccoglie da solo mentre l’utente naviga (Indirizzo IP, tipo di browser, quanto tempo sta su una pagina).
- Dati particolari: Se chiedi dati sulla salute, orientamento politico o religioso, fermati: qui la legge è molto più severa e ti serve una consulenza specifica.
3. “Cosa te ne fai?” (Le Finalità)
Devi giustificare ogni singolo dato raccolto. La regola è: raccogli solo quello che ti serve davvero.
- Esempio: Se ti chiedo l’email, la uso per risponderti (finalità di servizio) o per mandarti sconti (finalità di marketing)? Sono due cose diverse e devi dichiararle entrambe.
- La Base Giuridica: È il motivo legale per cui puoi farlo. Di solito è il consenso dell’utente (ha cliccato “accetto”) o un contratto (deve darti l’indirizzo per ricevere il pacco che ha comprato).
4. Chi altro ci mette lo zampino? (Terze Parti)
Il tuo sito non è un’isola. Spesso i dati volano verso altri servizi.
- Servizi di analisi: Google Analytics sa chi visita il tuo sito.
- Social Network: Se hai il tasto “Mi piace” di Facebook, Facebook sa che l’utente è lì.
- Pagamenti: Se usi PayPal o Stripe, loro gestiscono i soldi e i dati della carta.
- Hosting: Anche l’azienda che “ospita” il tuo sito sui suoi server ha tecnicamente accesso ai dati.
5. Dove vanno a finire i dati? (Trasferimento all’estero)
Molti servizi (come Google o Mailchimp) hanno i server negli Stati Uniti.
- Cosa scrivere: Devi avvisare gli utenti se i loro dati escono dall’Europa. La legge europea (GDPR) protegge i dati molto bene, quindi bisogna assicurarsi che anche fuori dall’Europa siano trattati con cura.
6. Per quanto tempo li tieni?
Non puoi tenere i dati “per sempre”.
- La regola: Devi tenerli solo per il tempo strettamente necessario a fare quello che hai promesso. Se mi scrivi per un’informazione, una volta che ti ho risposto e abbiamo finito di parlare, dopo un po’ dovrei cancellare la conversazione.
7. I diritti dell’utente: Lui è il Capo
Questo è il cuore del GDPR. L’utente ha il potere. Devi scrivere che lui può:
- Chiederti quali dati hai su di lui.
- Chiederti di correggerli se sono sbagliati.
- Chiederti di cancellarli del tutto (“Diritto all’oblio”).
- Portarsi via i dati per darli a un altro servizio (“Portabilità”).
8. E i Cookies?
I cookie meritano una menzione a parte (spesso si fa una “Cookie Policy” separata). Sono quei pezzetti di codice che ricordano se l’utente ha messo un prodotto nel carrello o se è già venuto sul sito ieri. Ricorda: per quelli di profilazione (che seguono l’utente per scopi pubblicitari) serve sempre il consenso esplicito tramite il banner.
Un consiglio da amico
Non copiare la Privacy Policy di un altro sito. Ogni sito è diverso: magari lui usa strumenti che tu non usi, o viceversa. Se copi, rischi di dichiarare il falso, e allora sono guai.
Senti l’audio dell’articolo!
