Bandiere rosse dell'informativa sulla privacy: Come riconoscere una cattiva informativa sulla privacy

Che si tratti di una formulazione vaga, di una cattiva formattazione o di informazioni mancanti, una cattiva informativa sulla privacy può danneggiare la vostra credibilità e mettere a rischio la vostra attività.

In questa guida, vi illustro alcune bandiere rosse delle norme sulla privacy da evitare e vi mostro cosa fanno di diverso le buone norme.

Indice dei contenuti

1. Le principali bandiere rosse dell'informativa sulla privacy e come evitarle
2. Avete bisogno di aiuto per correggere queste bandiere rosse? Termly vi copre

Le principali bandiere rosse dell'informativa sulla privacy e come evitarle

Quindi, cosa rende esattamente "cattiva" una politica sulla privacy?

Non sempre si tratta di ciò che è contenuto nella polizza. A volte si tratta di ciò che manca, di ciò che non è chiaro o di come viene presentato.

Di seguito sono riportate sei delle bandiere rosse più comuni che incontriamo oggi nelle informative sulla privacy, insieme a suggerimenti per aiutarvi ad affrontarle o evitarle del tutto.

Bandiera rossa n. 1: è troppo lungo, troppo corto o difficile da leggere

Alcune informative sulla privacy coprono a malapena le nozioni di base, consistendo in poche frasi vaghe. Altre si spingono all'estremo opposto, accumulando pagine e pagine di denso testo legale senza pause, senza una struttura chiara o senza tenere conto dell'esperienza del lettore.

Che siano troppe, troppo poche o semplicemente difficili da vedere, questo tipo di politiche hanno una cosa in comune: allontanano i lettori.

Una politica troppo breve è indice di negligenza o di un approccio incompleto alle pratiche di privacy.

Un documento eccessivamente lungo o mal formattato risulta inaccessibile e suscita il timore di ciò che potrebbe nascondersi tra le scritte in piccolo.

Anche le informative sulla privacy lunghe, prolisse e di difficile lettura sono considerate una violazione delle leggi sulla privacy ai sensi del Regolamento generale sulla protezione dei dati (GDPR), del California Consumer Privacy Act (CCPA) e di altri regolamenti.

Perché questo accade?

Alcune aziende potrebbero limitarsi a copiare e incollare modelli di informativa sulla privacy senza adattarli alle loro pratiche effettive di raccolta dei dati.

Altri possono formattare le loro policy come documenti statici, come i PDF, senza adattarle al web o ai dispositivi mobili, il che porta a layout angusti, caratteri piccoli e sezioni illeggibili.

Se intendete utilizzare un modello, è essenziale trovarne uno efficace e personalizzabile, che vi consenta di creare una policy su misura per la vostra azienda e comprensibile per gli utenti.

Ad esempio, il modello di informativa sulla privacy diTermly è gratuito, completamente personalizzabile e scaricabile in vari formati.

Come si presenta una buona informativa sulla privacy

Una buona informativa sulla privacy è in grado di raggiungere un equilibrio in termini di dimensioni e quantità di testo, offrendo contenuti chiari e strutturati, sufficientemente lunghi da coprire ciò che è necessario, ma suddivisi in sezioni gestibili.

Un ottimo esempio di informativa sulla privacy che fa bene questo lavoro proviene da Simple Mills, Inc. Presenta informazioni dettagliate senza sovraccaricare il lettore.

La loro polizza è sufficientemente completa da coprire tutto ciò che gli utenti devono sapere, tra cui:

• Quali dati vengono raccolti
• Come si usa
• Con chi è condiviso
• Quali diritti hanno gli utenti

Lo comunicano senza ricorrere a inutili ripetizioni o a un linguaggio giuridico complesso.

La politica utilizza un layout pulito, con titoli di sezione grandi e in grassetto e una dimensione dei caratteri leggibile, che ne facilita la lettura. Ogni sezione è suddivisa in brevi paragrafi, il che aiuta a prevenire l'affaticamento del lettore e incoraggia gli utenti a impegnarsi nei contenuti.

Bandiera rossa n. 2: Non fornisce informazioni di contatto o non definisce la proprietà

Se un'informativa sulla privacy non indica chiaramente da chi proviene o come raggiungere l'azienda che l'ha redatta, si tratta di un grave problema di trasparenza.

Gli utenti devono sapere chi sta raccogliendo i loro dati, a chi si applica la politica e come possono mettersi in contatto per domande o dubbi.

Perché questo accade?

Questo segnale di allarme può derivare dal fatto che le aziende trattano le politiche sulla privacy come documenti unici per tutti.

Invece di personalizzare il contenuto per riflettere le loro specifiche attività, potrebbero omettere del tutto le informazioni di contatto.

In altri casi, le aziende potrebbero non rendersi conto che alcune leggi sulla privacy impongono alle imprese di includere i dettagli di contatto nella loro politica sulla privacy, tra cui i seguenti:

• Regolamento generale sulla protezione dei datiGDPR)
• Legge sulla privacy dei consumatori della California (CCPA)/Legge sui diritti alla privacy della California(CPRA)
• Legge sulla protezione delle informazioni personali e dei documenti elettronici (PIPEDA)
• Altre leggi degli Stati Uniti

La mancata inclusione delle informazioni di contatto può mettervi fuori strada rispetto a queste normative e lasciare gli utenti frustrati o impossibilitati a far valere i propri diritti.

Come si presenta una buona informativa sulla privacy

Una politica sulla privacy efficace non lascerà agli utenti il dubbio su chi sia il responsabile dei loro dati, ma lo farà in modo chiaro:

• Nome dell'azienda,
• Definire l'ambito di applicazione della politica e
• Offrite un metodo di contatto dedicato, come un indirizzo e-mail, un numero di telefono o un modulo di contatto.

Per esempio, il servizio postale degli Stati Uniti include una sezione dedicata nella sua politica sulla privacy intitolata "Dove inviare le richieste", che fornisce informazioni chiare per contattare i clienti in caso di domande o reclami relativi alla privacy.

La politica spiega anche che le richieste di informazioni saranno esaminate, risposte e gestite in modo confidenziale, a dimostrazione dell'impegno dell'USPS per la trasparenza e la responsabilità.

Bandiera rossa n. 3: raccoglie molti dati (o è molto vago)

È una bandiera rossa quando le aziende chiedono di raccogliere troppi dati non necessari nella loro politica sulla privacy.

Una politica sulla privacy che pretende di raccogliere un elenco di ogni possibile tipo di dati può risultare invadente ed eccessiva. È anche potenzialmente illegale.

Ai sensi del GDPR e delle leggi sulla privacy degli Stati Uniti, i responsabili del trattamento dei dati possono raccogliere solo le informazioni necessarie per raggiungere gli scopi indicati direttamente nell'informativa sulla privacy.

Ancora peggio, quando una politica dice qualcosa di vago come "Raccogliamo le vostre informazioni per migliorare i nostri servizi", gli utenti si chiedono che cosa stia succedendo ai loro dati.

La mancanza di chiarezza sul motivo per cui si raccolgono informazioni personali può anche far rischiare la non conformità a leggi come il GDPR e il CCPA, che richiedono alle aziende di spiegare lo scopo della raccolta dei dati in modo comprensibile per gli utenti.

Perché questo accade?

In alcuni casi, le aziende possono cercare di coprire le proprie basi includendo lunghi elenchi di tipi di dati senza legarli effettivamente a usi specifici.

Altri potrebbero prendere in prestito il linguaggio da un modello generico o da una politica di un altro sito web senza verificare che rifletta accuratamente le loro pratiche.

È anche possibile che le aziende non si rendano conto che legalmente non sono autorizzate a raccogliere tutti i dati che vogliono solo per il gusto di farlo.

In ogni caso, raccogliere una quantità eccessiva di dati o essere vaghi sui motivi che vi hanno spinto a farlo è un grave problema di privacy.

Come si presenta una buona informativa sulla privacy

Le informative sulla privacy più efficaci elencano in modo chiaro quali dati vengono raccolti e spiegano anche perché vengono raccolti.

Per ogni categoria di informazioni, deve indicare chiaramente la finalità e, se necessario, fare riferimento alla base giuridica del trattamento dei dati.

Un ottimo esempio di informativa sulla privacy che elenca bene i dati proviene dalla Global Privacy Notice di Visa, che delinea decine di categorie di informazioni personali, tra cui:

• Dettagli della transazione
• Geolocalizzazione
• Identificatori biometrici
• Dati comportamentali desunti

Oltre a informare gli utenti di questi tipi di raccolta dei dati, essi spiegano ogni scopo, dall'elaborazione dei pagamenti e l'individuazione delle frodi, all'adempimento degli obblighi legali e alla fornitura di servizi personalizzati.

In qualità di società di pagamenti globale che gestisce informazioni sensibili, Visa ha la chiara responsabilità di essere trasparente. Il loro livello di specificità aiuta gli utenti a capire esattamente cosa viene raccolto e perché, il che è particolarmente importante per un'azienda nella loro posizione.

Bandiera rossa n. 4: si contraddice da sola

Un'informativa sulla privacy che dice una cosa in una sezione e il contrario in un'altra crea confusione ed erode la fiducia.

È fuorviante quando una sezione dell'informativa sulla privacy afferma: "Non utilizziamo i dati personali per il marketing",mentre un'altra elenca i cookie di marketing.

Questo tipo di contraddizioni suggerisce che l'approccio alla privacy è stato messo insieme senza un'attenta revisione e potrebbe persino suggerire che la politica viola le leggi sulla privacy.

Perché questo accade?

Questo può accadere per diversi motivi. Ad esempio, quando le aziende aggiornano una parte della loro polizza, potrebbero dimenticare di aggiornarne altre, causando lacune e contraddizioni nel testo.

In altri casi, i team potrebbero non essere allineati sulle pratiche relative ai dati, con conseguenti messaggi contrastanti su ciò che viene o non viene fatto con i dati degli utenti.

Ecco un esempio del mondo reale. Uno studio del 2019 della UC Berkley ha cercato di esplorare le contraddizioni delle politiche sulla privacy delle app:

• Dopo aver analizzato 8.030 applicazioni Designed For Families (DFF),
• Il 9,1% ha dichiarato che le proprie applicazioni non erano rivolte ai bambini.
• Nel frattempo, il 30,6% ha dichiarato di non essere a conoscenza del fatto che i dati provenissero da bambini.

Questo tipo di ambiguità mina la fiducia degli utenti e rischia di non rispettare le severe normative, in questo caso il Children's Online Privacy Protection Act (COPPA).

Come si presenta una buona informativa sulla privacy

Le politiche sulla privacy più efficaci sono coerenti al loro interno.

Utilizzano una terminologia coordinata in tutte le sezioni, come "cookie", "condivisione da parte di terzi", "marketing" e "diritti dell'utente", e spiegano chiaramente qualsiasi modello di utilizzo dei dati.

Inoltre, una solida politica sulla privacy dovrebbe rispecchiare accuratamente le reali modalità di trattamento dei dati da parte dell'azienda.

Un buon esempio di informativa sulla privacy che non si contraddice proviene da Figma.

La loro politica è ben organizzata, utilizza un linguaggio coerente e collega ogni tipo di dati al suo scopo e alla sua base legale.

Sebbene possa sembrare normale che una politica eviti semplicemente le contraddizioni, ciò che la distingue è il modo in cui raggiunge questa coerenza.

Il contenuto del documento riflette un attento coordinamento tra le pratiche e gli scopi di Figma, riducendo il rischio di dichiarazioni contrastanti.

Bandiera rossa n. 5: non viene aggiornato da anni

Se un'informativa sulla privacy non è stata aggiornata da anni, è molto probabile che non rifletta più le attività del sito web. Si tratta di un'enorme bandiera rossa.

Le aspettative e le leggi sulla privacy sono in continua evoluzione. Così come la tecnologia, come l'improvviso accesso all'intelligenza artificiale. Anche le pratiche aziendali in materia di privacy devono evolversi di conseguenza.

Le politiche obsolete possono menzionare strumenti non più utilizzati o trascurare le nuove pratiche di trattamento dei dati.

Anche una cosa semplice come la mancanza della data di "ultimo aggiornamento" può far sembrare una polizza trascurata, sollevare bandiere rosse e suggerire una potenziale violazione legale.

Perché questo accade?

A volte le aziende trattano le politiche sulla privacy come documenti "una tantum", pubblicandole una volta e dimenticandosene.

Se non riuscite a mantenere aggiornata la vostra politica, potete causare la sfiducia degli utenti o problemi normativi se le vostre pratiche sono cambiate e la vostra politica non è più in linea con esse.

Come si presenta una buona informativa sulla privacy

Un esempio di azienda che tiene sotto controllo le proprie pratiche in materia di privacy e che pubblica una chiara "data di ultimo aggiornamento" viene da IKEA, la cui informativa sulla privacy è riportata qui sotto.

IKEA riporta chiaramente la data di "ultimo aggiornamento" nella parte superiore dell'informativa, a dimostrazione del fatto che è stata aggiornata di recente. Questo sottolinea il loro impegno per la trasparenza e per tenere informati gli utenti, dimostrando che rivedono e mantengono attivamente le loro pratiche sui dati.

Il punto fondamentale è che un'informativa sulla privacy non è un documento "imposta e dimentica".

Mantenerlo aggiornato dimostra che prendete sul serio i dati degli utenti e vi aiuta a rimanere in linea con l'evoluzione delle leggi e degli standard di settore.

Bandiera rossa n. 6: è chiaramente generata dall'IA

Gli strumenti di intelligenza artificiale possono essere utili per il brainstorming o la stesura di idee, ma affidarsi a loro per scrivere l'intera informativa sulla privacy è un segnale di allarme importante.

Molte informative sulla privacy generate dall'IA contengono un linguaggio vago e generico che potrebbe non riflettere accuratamente le vostre pratiche aziendali.

Peggio ancora, gli strumenti di IA sono noti per le loro allucinazioni, il che significa che potrebbero inventare requisiti legali, citare leggi inesistenti o fare affermazioni che non sono vere o applicabili.

Perché questo accade?

La maggior parte degli strumenti di intelligenza artificiale non è addestrata in modo specifico alle leggi sulla privacy aggiornate. Inoltre, non hanno modo di comprendere le sfumature del modo in cui la vostra azienda raccoglie ed elabora i dati personali.

Senza una supervisione legale, una revisione, diversi cicli di editing e una guida, possono facilmente produrre contenuti fuorvianti, falsi e imprecisi che mettono a rischio la vostra azienda.

Come si presenta una buona informativa sulla privacy

Le politiche sulla privacy più efficaci sono personalizzate per la vostra azienda, legalmente accurate e coerenti con le vostre pratiche di raccolta dei dati.

Se non siete sicuri dei segnali che indicano che una polizza è stata generata dall'IA, ecco cosa cercare ed evitare:

• Frasi ripetitive o vaghe
• Leggi false o mal citate
• Contraddizioni tra le sezioni
• Una struttura che sembra scollegata dalla vostra attività.
• Informazioni errate (allucinazioni)

Se state cercando un esempio di politica chiara e affidabile creata con una vera e propria supervisione legale, date un'occhiata all'informativa sulla privacy diTermly.

È redatto e rivisto regolarmente dal nostro team legale e da esperti di privacy, in modo che i nostri utenti possano essere certi che rifletta le leggi e le prassi attuali in materia di privacy.

Questo tipo di politica, verificata da esperti, non solo evita le comuni bandiere rosse, ma crea anche fiducia nei vostri utenti e aiuta a garantire che il vostro sito rimanga allineato con gli standard di privacy in evoluzione.

Avete bisogno di aiuto per correggere queste bandiere rosse? Termly vi copre

La stesura di un'informativa sulla privacy chiara e affidabile può sembrare un'impresa ardua, soprattutto in presenza di leggi che cambiano, strumenti in evoluzione e aspettative elevate da parte degli utenti.

Ma non dovete affrontarlo da soli.

Termlyè gratuito Privacy Policy Generator semplifica la creazione di una politica personalizzata che si adatti al vostro sito web e tenga informati i vostri utenti.

Il nostro Generatore vi guida attraverso le domande chiave per assicurarvi che la vostra polizza copra l'essenziale e vi permette di pubblicare facilmente la polizza completata sul vostro sito web.

È supportata dal nostro team legale e da esperti di privacy dei dati, e viene aggiornata regolarmente per mantenerla in linea con il panorama legale della privacy dei dati in continua evoluzione.

Se volete saperne di più prima di immergervi, consultate la nostra guida sulle best practice per le informative sulla privacy per trovare suggerimenti ed esempi chiari che vi aiutino a fare le cose per bene.

Per saperne di più su chi scrive

Scritto da Hanna De La Garza

Hanna è Content Writer presso Termly, dove crea risorse coinvolgenti su privacy dei dati, gestione del consenso, aggiornamenti normativi e altro ancora. Si concentra sul rendere accessibili argomenti complessi per i proprietari di aziende e contribuisce sia alle nuove iniziative di contenuto sia agli aggiornamenti dei materiali esistenti per garantire accuratezza e chiarezza.

Per saperne di più su chi scrive

Recensito da Masha Komnenic CIPP/E, CIPM, CIPT, FIP Direttore di Global Privacy