È prassi comune per le aziende raccogliere dati personali dai consumatori, ma conosci i tipi specifici di dati che stai effettivamente trattando?
Molte di queste categorie rientrano nelle definizioni legali di dati personali o informazioni personali ai sensi di leggi quali il GDPR, il CCPA e altre normative globali sulla privacy.
In questa guida, tratto i nove tipi di dati più comunemente raccolti e fornisco informazioni utili su ciò che è necessario sapere per rimanere nel rispetto della legge.
Quali tipi di dati sono protetti dalle leggi sulla privacy?
Sebbene la definizione di"dati personali"vari a seconda della legge sulla privacy, tali normative raccolgono in genere informazioni che, da sole o in combinazione con altri dettagli, possono essere utilizzate per identificare un individuo o una famiglia.
Alcune leggi elencano categorie specifiche di dati, come il California Consumer Privacy Act (CCPA).
Altri, come il Regolamento generale sulla protezione dei dati (GDPR), sono redatti in modo generico e tecnologicamente neutro per garantire che coprano quasi tutte le informazioni relative a una persona identificabile.
La mia azienda raccoglie dati di qualche tipo?
Probabilmente la tua azienda raccoglie uno o più tipi diversi di dati, soprattutto se svolgi una delle seguenti attività:
- Vendi beni o servizi online,
- Consenti agli utenti di creare account di accesso,
- Richiedere nomi e indirizzi e-mail per inviare newsletter o e-mail di marketing,
- Implementare cookie Internet sui browser dei visitatori del sito, che sono considerati dati personali.
- Utilizza servizi di terze parti come Google Analytics, HubSpot, ecc.
È necessario eseguire una verifica della privacy, in modo da sapere esattamente quali dati raccoglie la tua azienda, dove e come vengono raccolti e perché li raccogli.
Se il GDPR alla tua attività, devi identificare una base giuridica per il trattamento dei dati.
Ai sensi delle leggi statali statunitensi come il CCPA/CPRA, è invece necessario fornire un avviso al momento della raccolta dei dati e rispettare le richieste di rinuncia, ma non è necessaria una base giuridica.
Durante questa verifica, ti assicurerai anche di fornire le misure tecniche e di sicurezza adeguate per proteggere tutti i dati da accessi non autorizzati, fughe di informazioni e violazioni.
Quali sono i tipi di dati raccolti più comunemente?
Ora che abbiamo esaminato come la raccolta dei dati personali sia influenzata dalle leggi sulla privacy, diamo un'occhiata alle nove categorie di informazioni più comunemente raccolte.
1. Informazioni di identificazione personale (PII)
Le informazioni di identificazione personale o PII sono principalmente un termine giuridico e normativo statunitense. Ai sensi del GDPR di molte leggi internazionali, il concetto equivalente è semplicemente denominato "dati personali".
Per PII si intende qualsiasi informazione che, da sola o combinata con altre, possa identificare un individuo.
Si tratta di un tipo di dati raccolti molto comunemente, che possono includere dettagli quali:
- Nomi (nome e cognome)
- Indirizzi e-mail
- Numeri di telefono
- Indirizzi di residenza/indirizzi postali
Questo tipo di informazioni viene comunemente raccolto quando i visitatori del sito web inseriscono i propri dati in un portale di pagamento o creano account o login.
Le e-mail e i nomi vengono spesso raccolti per inviare e-mail di marketing o newsletter.
Cosa devi sapere
Le informazioni personali identificabili sono quasi sempre protette dalle leggi sulla privacy.
Assicurati di fornire agli utenti informazioni adeguate e trasparenti mantenendo aggiornate la tua informativa sulla privacy e la politica sui cookie con dettagli sulle informazioni personali raccolte dalla tua azienda.
2. Dati relativi all'account e all'autenticazione
Un altro tipo di dati raccolti molto comunemente sono i dati relativi all'account e all'autenticazione, che possono includere informazioni quali:
- Nomi utente
- Password
- Domande e risposte sulla sicurezza
- Codici di accesso
Le aziende spesso richiedono questi dati affinché gli utenti possano compilare moduli di registrazione, creare account o effettuare il login su siti web, app o qualsiasi altra piattaforma.
Cosa devi sapere
Leggi come il GDPR il CCPA proteggono i dettagli degli account e altri tipi di informazioni simili.
Se tratti questo tipo di informazioni in qualsiasi modo, includile come categoria di dati raccolti nella tua informativa sulla privacy.
Se vengono utilizzati cookie di autenticazione per memorizzare identificatori di sessione e token, tali dettagli devono essere inclusi nella politica sui cookie.
3. Analisi, dati di coinvolgimento e informazioni sulla navigazione in Internet
Molti siti web raccolgono dati analitici sui propri visitatori, che comprendono numerose informazioni, tra cui le abitudini di navigazione e dati quali:
- Visualizzazioni di pagina
- Frequenza di rimbalzo
- Informazioni sul dispositivo o sul browser
- Dati di geolocalizzazione
- Tassi di clic
- Tempo trascorso sulle pagine
- Condivisioni social
- Indirizzi IP
- Query di ricerca
- URL di provenienza
La maggior parte delle aziende utilizza un servizio di terze parti per raccogliere e analizzare queste informazioni, come Google Analytics, SEMrush, HubSpot
Alcuni dati analitici e di coinvolgimento sono considerati dati personali e sono protetti dalle leggi sulla privacy dei dati.
Nell'Unione Europea, i cookie analitici richiedono il consenso preventivo, a meno che non siano strettamente necessari. Questo requisito deriva dalla Direttiva ePrivacy, non dal GDPR.
Cosa devi sapere
Si tratta di una categoria di dati complessa perché comprende molti tipi diversi di dettagli, molti dei quali rientrano nella definizione giuridica di informazioni personali.
Sebbene non tutti i dati analitici consentano di identificare un individuo (ad esempio, i tassi di rimbalzo), altri dettagli possono farlo e alcuni sono addirittura considerati una categoria speciale di informazioni personali sensibili, soggette a requisiti legali ancora più severi (ad esempio, la geolocalizzazione precisa).
La geolocalizzazione precisa è sensibile ai sensi del CCPA/CPRA. Ai sensi GDPR, non si tratta automaticamente di dati di categoria speciale, a meno che non riveli caratteristiche protette (ad esempio, visite a cliniche sanitarie, edifici religiosi, ecc.).
4. Dettagli di pagamento/Informazioni finanziarie
Molti siti web dispongono di portali di pagamento che facilitano le transazioni finanziarie e tali portali raccolgono solitamente i seguenti tipi di informazioni finanziarie dagli utenti:
- Numeri di carte di credito/debito
- Informazioni sul conto bancario
- Indirizzi di fatturazione
È prassi comune raccogliere questi dati per completare in modo sicuro e corretto i pagamenti e le transazioni tra il consumatore e la tua azienda.
Cosa devi sapere
Queste informazioni sono protette dalla maggior parte delle leggi sulla privacy, e i numeri delle carte di credito e i dettagli dei conti sono considerati una categoria speciale di informazioni sensibili ai sensi di legge.
Ai sensi del CPRA, i numeri delle carte di credito e le credenziali degli account sono classificati come informazioni personali sensibili.
Ai sensi del GDPR, i dati finanziari sono dati personali ma non dati di categoria speciale. Tuttavia, i responsabili del trattamento devono implementare misure di sicurezza rafforzate poiché i dati finanziari comportano un rischio elevato di danno in caso di violazione.
Nella tua informativa sulla privacy dichiari agli utenti che raccogli dati relativi ai pagamenti e informazioni finanziarie. Se sei in possesso di questi dati e si verifica una violazione illegale, le leggi sulla privacy potrebbero ritenerti finanziariamente responsabile.
5. Dati demografici
Le aziende raccolgono solitamente alcuni tipi di dati demografici dagli utenti, ad esempio:
- Età
- Genere
- Data di nascita
- Nazionalità
Potresti raccogliere date di nascita e dati demografici per inviare materiale promozionale o coupon, per verificare che gli utenti che si registrano sulla tua piattaforma abbiano un'età superiore a una determinata soglia o per conoscere meglio la cultura dei tuoi utenti.
Cosa devi sapere
I dati demografici quali età o sesso sono dati personali ai sensi del GDPR del CCPA.
I profili demografici utilizzati per la pubblicità mirata possono comportare ulteriori obblighi, come la possibilità di rinuncia ai sensi del CCPA e di altre leggi statunitensi sulla privacy.
I dati relativi all'età dei minori sono soggetti a requisiti più severi (ad esempio, COPPA negli Stati Uniti, maggiore protezione dei dati dei minori GDPR).
6. Assistenza clienti e dati di comunicazione
Molte aziende raccolgono informazioni che gli utenti forniscono volontariamente quando interagiscono con l'assistenza clienti o compilano moduli.
Questa categoria può includere un'ampia gamma di dati, quali:
- Richieste di assistenza e messaggi dell'help desk
- E-mail inviate al servizio clienti
- Trascrizioni delle chat e interazioni con i chatbot
- Moduli di contatto
- Feedback sui prodotti o sondaggi
- File caricati, screenshot o allegati
- Contenuti generati dagli utenti (ad esempio recensioni, commenti o messaggi nei forum)
Questi dati vengono raccolti quando gli utenti richiedono assistenza, segnalano problemi, inviano richieste di informazioni o partecipano a iniziative della community o a programmi di soddisfazione dei clienti.
Cosa devi sapere
I dati relativi all'assistenza clienti e alla comunicazione contengono spesso una combinazione di dati personali, tra cui nomi, indirizzi e-mail, informazioni sui dispositivi e informazioni potenzialmente sensibili, se gli utenti le divulgano volontariamente.
Per questo motivo, leggi come il GDPR, il CCPA/CPRA e altre normative globali sulla privacy richiedono alle aziende di:
- Indicare chiaramente nella propria informativa sulla privacy che vengono raccolti dati relativi alle comunicazioni.
- Limitare l'accesso solo ai dipendenti o ai fornitori di servizi che ne hanno bisogno,
- Monitorare la raccolta accidentale di informazioni personali sensibili,
- Assicurarsi che le piattaforme di assistenza (ad esempio Zendesk, Intercom, HubSpot) siano coperte da accordi validi sul trattamento dei dati.
- Implementare misure di sicurezza adeguate, quali crittografia e controlli di accesso.
- Rispetta le richieste di cancellazione e i limiti di conservazione, poiché i registri delle comunicazioni vengono spesso conservati più a lungo del necessario.
Se vengono utilizzati cookie, tracker o strumenti di riproduzione delle sessioni per raccogliere dati sulle interazioni (ad esempio tramite widget di chat live), anche questo deve essere indicato nella politica sui cookie.
7. Dati sulla posizione
Alcune aziende potrebbero raccogliere dati sulla posizione degli utenti, che potrebbero includere:
- Indirizzi IP
- Coordinate GPS
- Indirizzi di spedizione
Le aziende potrebbero raccogliere questi dati per spedire le merci al luogo preferito dal cliente, per migliorare l'esperienza dell'utente o per scopi di marketing mirato.
Cosa devi sapere
Poiché questi dati possono identificare un individuo o una famiglia, sono quasi sempre protetti dalle leggi sulla privacy e possono essere raccolti legalmente solo entro i limiti specifici previsti.
Alcune di queste leggi, come il CCPA e altre normative statali statunitensi, conferiscono agli individui il diritto di opporsi all'utilizzo dei propri dati per scopi pubblicitari mirati.
Ai sensi del CPRA, per "geolocalizzazione precisa" si intendono i dati entro un raggio di 1.850 piedi (circa 564 metri). Questa categoria gode di una protezione maggiore.
8. Informazioni sul dispositivo e dati tecnici
Alcune aziende raccolgono informazioni sui dispositivi e altri dati tecnici dagli utenti, ad esempio:
- Tipo e modello del dispositivo
- Sistema operativo
- Tipo di browser
- Cookie e altri ID di tracciamento
Queste informazioni potrebbero essere utilizzate dalle aziende che desiderano perfezionare i propri prodotti e servizi, migliorare le opzioni di assistenza clienti o anche per scopi di sicurezza informatica e altri scopi di sicurezza.
Può essere utilizzato anche per attività di marketing mirato, pubblicità e analisi generali.
Cosa devi sapere
È importante che nella tua informativa sulla privacy siano menzionate tutte le informazioni tecniche e relative ai dispositivi che la tua azienda raccoglie direttamente dai consumatori.
Ma è altrettanto importante informarli sui cookie o sui tracker utilizzati per raccogliere questi dati.
Molte leggi, come il GDPR, richiedono di specificare in che modo vengono raccolte le informazioni dagli utenti e, in questo caso, potrebbe trattarsi dell'inserimento di un cookie nel loro browser.
È importante sapere che gli indirizzi IP possono essere considerati dati personali ai sensi del GDPR secondo la sentenza della Corte di giustizia dell'Unione europea nella causa Breyer contro Germania).
Anche gli ID dei dispositivi, gli ID pubblicitari e gli ID dei cookie possono costituire dati personali se consentono di identificare in modo ragionevole un utente o una famiglia.
9. Informazioni personali sensibili
Alcune aziende potrebbero raccogliere una categoria speciale di dati noti come informazioni personali sensibili, che possono includere:
- Informazioni sulla salute
- Dati biometrici
- Opinioni politiche
- Credenze religiose
- Razza/etnia
- Sesso/genere
- Orientamento sessuale
Tuttavia, la definizione specifica potrebbe variare a seconda della legge applicabile alla tua attività o che tutela i tuoi consumatori.
Ai sensi del GDPR, le "categorie particolari di dati personali" sono definite nell'articolo 9 e comprendono i dati relativi alla salute, i dati biometrici utilizzati ai fini dell'identificazione, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, la razza/etnia e l'orientamento sessuale.
Il trattamento di queste categorie richiede una giustificazione specifica ai sensi dell'articolo 9, come il consenso esplicito, gli obblighi previsti dal diritto del lavoro o un interesse pubblico rilevante.
Ai sensi del CPRA (California Privacy Rights Act) e di leggi simili sulla privacy vigenti negli Stati Uniti, le "informazioni personali sensibili" sono una categoria definita che include:
- Numeri di identificazione governativi,
- Credenziali di accesso all'account,
- Geolocalizzazione precisa,
- Origine razziale o etnica,
- Cittadinanza o status di immigrazione,
- Dati genetici e
- Il contenuto delle comunicazioni, tra le altre cose.
I consumatori hanno il diritto di limitare l'uso e la divulgazione di questi dati personali.
È importante non confondere le categorieGDPR con le informazioni personali sensibili del CCPA/CPRA.
I due quadri normativi utilizzano una terminologia diversa e impongono obblighi diversi, anche quando i tipi di dati sembrano simili.
Sebbene i nomi siano simili, i requisiti legali, i diritti dei consumatori e le condizioni di trattamento differiscono in modo significativo tra le diverse giurisdizioni.
Ci sono molti motivi diversi per cui un'azienda potrebbe raccogliere dati sensibili.
Alcuni motivi sono specifici del settore, come nel caso delle compagnie assicurative o degli ospedali che raccolgono e analizzano dati sanitari, oppure dei servizi GPS e di mappatura che raccolgono informazioni di geolocalizzazione.
Cosa devi sapere
Nella maggior parte delle leggi sulla privacy, le categorie di dati personali sensibili sono solitamente soggette a requisiti più severi in materia di riservatezza dei dati.
Ai sensi del GDPR, il trattamento dei dati di categoria speciale richiede sia una base giuridica ai sensi dell'articolo 6 sia una condizione specifica ai sensi dell'articolo 9.
Ai sensi del CPRA, le aziende devono fornire una "Notifica del diritto di limitazione" quando utilizzano informazioni personali sensibili per scopi quali la profilazione o la pubblicità mirata.
Ad esempio, potrebbe essere necessario eseguire valutazioni dei rischi relativi alla privacy dei dati, richiedere il consenso esplicito degli utenti prima di raccoglierli e presentare agli utenti informative sulla privacy molto chiare.
In che modo Termly le aziende a comunicare i tipi di dati che raccolgono
Se il tuo sito web raccoglie dati personali, Termly la soluzione completa per la conformità alla normativa sulla privacy.
Con un Termly , puoi utilizzare strumenti come il nostro generatore di informativa sulla privacy per elencare facilmente tutte le categorie e i tipi di dati necessari.
Il nostro generatore, supportato da un fondamento giuridico, pone semplici domande sulla tua attività e sulle sue attività di trattamento dei dati e include un elenco di categorie comuni di dati insieme alla possibilità di inserire i tuoi dati personali.
È inoltre possibile utilizzare lo scanner per siti webTermly per verificare quali cookie utilizza il proprio sito; lo scanner li classifica e li elenca in una politica sui cookie unica.
È veloce, facile e puoi registrarti gratuitamente.
Per saperne di più su chi scrive
Scritto da Natasha Piirainen
Natasha è una Content Specialist con oltre 10 anni di esperienzaprofessionale nello sviluppo di contenutibasati sulla ricerca . Si è laureata in inglese e filosofia al Wheaton College. In Termly sioccupa di privacy dei dati e di gestione del consenso best practice gestione del consenso edè responsabile della manutenzione e dell'aggiornamento di materialecompleto sulla privacy dei dati .
Per saperne di più su chi scrive
Recensione di Teodor Stanciu, CIPP/E, CIPM Coordinatore legale e DPO
