Vai al contenuto

Generatore di Privacy e Cookie Policy

Chiedici una valutazione senza impegno

Cose da sapere

Requisiti legali

Nella maggior parte delle legislazioni, è obbligatorio fornire informazioni sul trattamento dei dati e adottare un metodo per ottenere il consenso degli utenti e per facilitarne la revoca. Il mancato rispetto di queste leggi può comportare ingenti sanzioni, esporti al rischio di controversie e compromettere la credibilità del tuo sito web o della tua applicazione.

Cosa prevede la legge

  • Gli utenti devono essere informati sull’identità del titolare del sito/app, sui dati raccolti, sui loro diritti in relazione a tali dati, sulle modalità di notifica delle modifiche alla policy, sulla data a partire dalla quale la policy è entrata in vigore e su eventuali accessi di terzi ai loro dati (ad esempio tramite widget di terza parte, pulsanti sociali, servizi pubblicitari etc.). Gli utenti devono inoltre essere a conoscenza delle condizioni di utilizzo del servizio (comprese le eventuali condizioni di vendita).
  • Gli utenti devono essere in grado di prestare, negare o revocare il loro consenso (a seconda della normativa applicabile). Negli Stati Uniti, la legge in genere obbliga il titolare ad offrire chiaramente agli utenti la possibilità di revocare il consenso (opt-out). Disposizioni diverse si applicano, tuttavia, nei casi che riguardano il trattamento dei cosiddetti “dati sensibili” (come dati sanitari, informazioni creditizie, dati relativi a studenti, informazioni personali relative ai minori di 13 anni). In questi casi deve essere richiesta un’azione di “opt-in” verificabile, come la spunta di una checkbox o un’altra azione positiva di consenso.Rispetto alle leggi statunitensi, la normativa europea (in particolare il GDPR) è più restrittiva in materia di consenso. Secondo il GDPR, il consenso deve essere “esplicito e libero”. Ciò significa che le modalità di acquisizione del consenso devono essere inequivocabili e prevedere una chiara azione di “opt-in”; (il regolamento vieta espressamente l’uso di checkbox preselezionate o di altri sistemi alternativi di “opt-out”). Il regolamento sancisce inoltre un diritto specifico alla revoca del consenso, che deve essere tanto facile quanto lo è il suo conferimento. Dal momento che ai sensi del GDPR il consenso è una questione di estrema importanza, è fondamentale (e obbligatorio) registrare in modo chiaro tutti i consensi acquisiti.Il registro dei consensi deve contenere almeno le seguenti informazioni:
    • l’identità dell’utente che ha prestato il consenso;
    • il momento in cui il consenso è stato conferito;
    • le informazioni che sono state fornite all’utente nel momento in cui ha acconsentito al trattamento;
    • i metodi utilizzati per ottenere il consenso (ad esempio tramite un modulo di iscrizione alla newsletter, durante un checkout etc.);
    • un’indicazione circa l’eventuale revoca del consenso.È utile ricordare che ai sensi del GDPR il consenso non è l’unica ragione per cui un’organizzazione può trattare i dati degli utenti, ma è solo una delle “Basi Giuridiche” del trattamento. Le aziende possono dunque avvalersi – nel contesto del GDPR – di altre basi giuridiche per il trattamento dei dati dei propri utenti. In ogni caso, per alcune attività di trattamento il consenso è la soluzione migliore, se non la sola strada percorribile.
  • Gli utenti devono essere informati sull’uso dei cookie e avere la possibilità di acconsentire o rifiutare. La direttiva ePrivacy o la Cookie Law impongono infatti la raccolta di un consenso informato dell’utente prima di installare cookie sul suo dispositivo e di iniziare il tracciamento.
  • Devi tenere un registro delle attività di trattamento (obbligatorio per legge se rientri nell’ambito di applicazione del GDPR). Ai sensi del diritto comunitario (in particolare il GDPR), devi conservare e tenere aggiornato un registro “completo e esaustivo” delle attività di trattamento dei dati personali, sia interne che esterne. Il registro è espressamente richiesto nei casi in cui le tue attività di trattamento non sono occasionali, possono comportare rischi per i diritti e le libertà altrui, includono il trattamento di “categorie speciali di dati” o quando la tua organizzazione ha più di 250 dipendenti, il che vale di fatto per quasi tutti i titolari e responsabili del trattamento.Tuttavia, anche se le tue attività di trattamento non rientrano nelle situazioni appena esposte, i tuoi doveri di informare gli utenti ti impongono di conservare un registro di base contenente i dati che raccogli, le finalità, tutte le parti coinvolte e il periodo di conservazione dei dati – questo è obbligatorio per tutti. Consulta la nostra guida GDPR per scoprire come mantenere registri del trattamento conformi, sia per i titolari che per i responsabili.

In generale, queste leggi si applicano a qualsiasi servizio rivolto agli utenti di un dato Paese, il che significa che molto probabilmente queste disposizioni si applicheranno alla tua attività indipendentemente dalla sede dell’organizzazione o dall’ubicazione dei tuoi server. Pertanto, è sempre consigliabile che le attività di trattamento dei dati vengano svolte nel rispetto delle più severe norme applicabili.

Requisiti delle terze parti

Dal momento che anche le applicazioni ed i servizi di terza parte devono rispettare queste leggi, è possibile che siano le stesse terze parti ad imporre ai siti web e alle app che le utilizzano di rispettare determinati standard normativi.

Un esempio è Google: per utilizzare determinati servizi e strumenti (come AdSense, Google Analytics, Google Play Store), Google impone al titolare del sito/app di disporre di una privacy policy completa e aggiornata. Segue un estratto delle condizioni di utilizzo di Google Analytics:

“L’Utente dovrà pubblicare norme sulla privacy che avvisino dell’utilizzo di cookie al fine di raccogliere dati”, e “L’Utente non potrà eludere le funzioni a tutela della privacy (ad es. la disattivazione) che sono parte del Servizio”.

Di tanto in tanto i requisiti delle terze parti cambiano in risposta a normative nazionali o internazionali. Per evitare l’interruzione del servizio, è spesso necessario che le policy rispondano ai requisiti più recenti. Per questo motivo, Idia utilizza una funzione di incorporazione e non il semplice copia e incolla. In questo modo, puoi essere certo che la tua policy sia sempre aggiornata grazie alle revisioni continue effettuate da remoto dal nostro team legale.

Poiché l’uso dei cookie comporta sia l’elaborazione dei dati dell’utente che l’installazione di tecnologie di tracciamento, è un fattore di notevole importanza nell’ambito della protezione dei dati personali degli utenti. Per questo motivo, se operi nel territorio dell’Unione Europea o ti rivolgi ad utenti europei, devi rispettare la Cookie Law. Per adeguarsi alla Cookie Law è necessario soddisfare 2 requisiti:

  • dotarsi di una cookie policy, che puoi attivare con l’opzione dedicata disponibile nel Generatore di Privacy Policy descritto in precedenza;
  • mostrare un cookie banner.

La nostra Cookie Solution è conforme alle disposizioni della legge europea sul trattamento mediante cookie. Consente di informare facilmente gli utenti e di ottenerne il consenso, compresa la possibilità di bloccare qualsiasi codice che installa cookie prima di aver raccolto il consenso dell’utente (così come richiesto in molti Paesi UE). È facile da usare, veloce e non richiede investimenti onerosi.

Internal Privacy Management

Adeguarsi al GDPR può rivelarsi una sfida tecnica da attuare in termini pratici. Questo è particolarmente vero per la gestione della privacy interna. Per essere conforme, devi essere in grado di rintracciare e descrivere:

  • quali dati raccogli;
  • per quali scopi sono stati raccolti;
  • la base legale per l’elaborazione;
  • la politica di conservazione dei dati per ogni attività di elaborazione;
  • le parti coinvolte (sia all’interno che all’esterno dell’organizzazione);
  • le misure di sicurezza;
  • il trasferimento dei dati al di fuori dell’UE, qualora avvenga;
  • altri dettagli correlati che possono essere applicati a tutta l’azienda, inclusi i dati dei dipendenti.

La nostra soluzione consente di registrare e gestire facilmente tutte le attività di elaborazione dei dati all’interno della propria organizzazione, così da poter soddisfare facilmente i requisiti e soddisfare i propri obblighi legali.

Più precisamente ti consente di:

  • creare un registro del trattamento;
  • definire le attività di elaborazione effettuate scegliendo da oltre 600 opzioni pre-configurate;
  • dividerle per area (sottodivisioni all’interno delle quali le attività di elaborazione dati sono le stesse);
  • individuare responsabili ed altri soggetti;
  • documentare le basi giuridiche e le altre informazioni richieste dal GDPR.

Gestire il consenso e mantenere i record dettagliati relativi ad esso

Al fine di rispettare le leggi sulla privacy, in particolare il GDPR, le aziende devono archiviare la prova del consenso così da poter dimostrare che il consenso è stato raccolto. Questi record devono mostrare:

  • quando è stato fornito il consenso;
  • chi lo ha fornito;
  • quali erano le loro preferenze al momento della raccolta del consenso;
  • quale avviso legale o sulla privacy sono stati presentati al momento della raccolta;
  • quali moduli di raccolta del consenso sono stati presentati al momento della raccolta.

La nostra Consent Solution semplifica questo processo aiutandoti a conservare facilmente la prova del consenso e a gestire le preferenze di consenso e privacy per ciascuno dei tuoi utenti. Ti consente di tracciare ogni aspetto del consenso (compreso l’avviso legale o sulla privacy e il modulo di consenso presentato all’utente al momento della raccolta) e le relative preferenze espresse dall’utente.

Per utilizzarla basta attivare la Consent Solution, ottenere la chiave API, installarla tramite API HTTP o widget JS e il gioco è fatto. Sarai in grado di recuperare i consensi in qualsiasi momento e tenerli aggiornati.