Le informative sulla privacy sono documenti complessi che richiedono molti dettagli specifici per ogni singola azienda, sito web o applicazione mobile.
A volte, però, le aziende omettono accidentalmente dettagli vitali, dimenticano una clausola essenziale, si affidano a soluzioni imperfette o commettono altri errori che potrebbero causare problemi con le leggi sulla privacy.
Di seguito, illustro nove problemi comuni legati alla privacy e fornisco suggerimenti su come evitarli.
- Dedicare troppo poco tempo alla preparazione
- Non aggiornare mai l'informativa sulla privacy
- Dichiarare erroneamente le attività di trattamento dei dati
- Incomprensione delle leggi applicabili alla vostra azienda
- Utilizzo di un linguaggio complicato
- Non si rivede con attenzione
- Non ottenere un chiaro consenso dagli utenti
- Collocazione errata sul sito o sull'app
- Utilizzo di un generatore o di un modello non affidabile
- Riassunto
Dedicare troppo poco tempo alla preparazione
Nel redigere un'informativa sulla privacy, cercate di non affrettare la fase di stesura e preparazione.
Non fraintendetemi, capisco perché i proprietari di aziende a volte lo fanno: tutti vogliamo che il processo di creazione dei documenti legali necessari sia rapido, facile e indolore.
Ma se non dedicate abbastanza tempo alla ricerca e alla stesura della vostra informativa sulla privacy in anticipo, questo causerà problemi che potrebbero ritorcersi contro di voi in seguito. Questo dolore potrebbe manifestarsi sotto forma di ingenti multe legali e di reazioni negative da parte dei vostri consumatori.
Anche se avete intenzione di utilizzare un avvocato o una soluzione gestita completa, come il nostro generatore di informativa sulla privacyci sono ancora diverse cose che voi, in quanto proprietari dell'azienda, dovete preparare.
In particolare, è necessario determinare:
- Quali leggi sulla privacy si applicano alla vostra azienda?
- Quali dati personali raccoglie il vostro sito web, la vostra app o la vostra piattaforma dagli utenti?
- Perché raccogliete i dati e come li utilizzate?
- Come immagazzinerete i dati per tenerli al sicuro?
- Condividete i dati con terzi (e questi seguono le stesse linee guida sulla privacy della vostra azienda)?
Una volta che si conoscono le risposte a queste domande, diventa più facile utilizzare un generatore di informativa sulla privacy, parlare con un avvocato o addirittura scrivere la propria informativa sulla privacy.
Non aggiornare mai l'informativa sulla privacy
Un altro problema da evitare è quello di non aggiornare o modificare l'informativa sulla privacy dopo averla pubblicata sul sito web o sull'app.
Le politiche sulla privacy sono documenti vivi che devono riflettere accuratamente le vostre attuali attività di raccolta ed elaborazione dei dati. In caso contrario, violano direttamente le leggi sulla privacy e rischiano di rimanere indietro con l'entrata in vigore di altre leggi.
La legge sulla privacy dei consumatori della California(CCPA) impone alle aziende di aggiornare la propria politica sulla privacy almeno una volta ogni dodici mesi.
Altre leggi, tra cui il Regolamento generale sulla protezione dei dati (GDPR), vi ritengono finanziariamente responsabili se i dati della vostra polizza sono imprecisi o incoerenti con la realtà.
Quando abbiamo chiesto all'avvocato specializzato in privacy Anthony E. Saurini, Esq, CIPP/U.S., quali sono i principali errori che le aziende dovrebbero evitare quando redigono una politica sulla privacy, egli ha sottolineato l'importanza di costruire una politica in grado di adattarsi al futuro.
Secondo Saurini, "l'errore più grande che i proprietari di aziende dovrebbero evitare quando creano una politica globale sulla privacy è quello di non anticipare completamente le loro future esigenze normative".
"Gli enti normativi di tutte le regioni del mondo hanno iniziato a trattare i dati personali di un individuo come un bene di sua proprietà. Solo negli Stati Uniti, una moltitudine di singoli Stati ha recentemente approvato una legislazione sulla privacy dei dati".
E aggiunge: "I leader aziendali si stanno già adattando a questa nuova era di minimizzazione dei dati e di privacy by design che si sta sviluppando in tutto il mondo, investendo oggi nelle loro future esigenze di conformità alla privacy dei dati."
Prendersi il tempo necessario per stabilire un processo di aggiornamento della politica sulla privacy può aiutare la vostra azienda a tenere il passo con il ritmo veloce della legislazione sulla privacy dei dati.
Dichiarare erroneamente le attività di trattamento dei dati
Quando redigete un'informativa sulla privacy per la vostra azienda, evitate di dichiarare il falso o di essere disonesti sulle vostre attività di trattamento dei dati. A mio parere, questo è uno dei peggiori errori che si possano commettere.
Quando abbiamo parlato con l'esperta di privacy e avvocato Nadine Talaat, CIPP/U.S., CIPP/E, dei principali errori che i proprietari di aziende dovrebbero evitare nel redigere le loro politiche sulla privacy, lei si è detta d'accordo e ha subito menzionato l'errata dichiarazione delle pratiche sulla privacy.
Talaat afferma: "l'errore principale che i proprietari di aziende dovrebbero evitare quando creano un'informativa sulla privacy per il loro sito web o la loro applicazione è quello di allineare il loro programma sulla privacy all'informativa sulla privacy e di articolare quali dati vengono raccolti".
Talaat aggiunge: "l'informativa sulla privacy deve coincidere con il programma aziendale sulla privacy. Questo passo importante consente sia la conformità aziendale che i diritti di privacy degli utenti. Deve essere chiaro quali dati vengono raccolti e trattati e quale sia il loro scopo".
Le autorità di regolamentazione e le agenzie di controllo cercano incongruenze tra le azioni di un'azienda e ciò che dice la sua politica sulla privacy, soprattutto se i consumatori presentano reclami.
Un esempio di ciò si è verificato nel 2021 a Meta, quando la Commissione irlandese per la protezione dei dati ha multato WhatsApp per 225 milioni di euro (247 milioni di dollari) per aver utilizzato un'informativa sulla privacy poco chiara e non trasparente riguardo all'uso dei dati degli utenti, che non è nemmeno la più grande multa GDPR mai emessa.
"I proprietari di aziende dovrebbero essere trasparenti sui dati personali che raccolgono, compresi quelli raccolti da terzi attraverso il loro sito web o la loro applicazione. "Per farlo, devono essere consapevoli delle norme sulla privacy applicabili nel loro mercato geografico, che sia negli Stati Uniti o in tutto il mondo", afferma Talaat.
E aggiunge: "Sebbene negli Stati Uniti non esista un regolamento federale generale sulla privacy dei dati, esistono regolamenti in vigore in diversi Stati, tra cui il CPRA della California e il VCDPA della Virginia".
"Comprendere le normative applicabili e attuarle correttamente creerà fiducia nell'utente. In generale, i proprietari delle aziende dovrebbero essere consapevoli e implementare misure di salvaguardia adeguate per la conformità alla privacy".
Costruire la fiducia dei consumatori è essenziale per le aziende che operano online oggi: basta guardare queste allarmanti statistiche sulla privacy dei dati:
- 1 utente su 5 legge sempre o spesso l'informativa sulla privacy di un'azienda prima di accettarla.(Pew Research Center)
- Il 48% degli utenti ha smesso di acquistare da un'azienda per problemi di privacy. (Tableau)
- Il 33% degli utenti ha interrotto i rapporti con le aziende a causa dei dati.(Cisco)
Assicuratevi che la vostra informativa sulla privacy rifletta accuratamente il modo in cui raccogliete e utilizzate i dati personali, evitando di modellarla come quella di un concorrente o di copiarla e incollarla da un altro sito web. Altrimenti, potreste finire per pagare letteralmente per i vostri errori.
Incomprensione delle leggi applicabili alla vostra azienda
È essenziale non fraintendere le leggi sulla privacy dei dati che si applicano alla vostra azienda e che hanno un impatto sulla vostra politica sulla privacy. Siete totalmente responsabili del rispetto di tali normative.
La maggior parte delle leggi sulla privacy dei dati ha un campo di applicazione ampio e interessa le aziende al di fuori delle regioni in cui la legislazione è in vigore. In altre parole, le aziende non situate in Europa rientrano comunque nel campo di applicazione del GDPR, così come le entità al di fuori della California possono rientrare nella giurisdizione del CCPA.
Per determinare la legislazione sulla protezione dei dati che interessa la vostra azienda, può essere utile rispondere alle seguenti domande:
- In quale giurisdizione si trova?
- Dove si trovano i vostri clienti?
- In quale settore o settori lavorate?
- Ci sono leggi specifiche del settore che dovete rispettare?
Di seguito, ho incluso le soglie legali di 12 tra le più importanti leggi sulla privacy dei dati a livello mondiale e i dettagli sulle sanzioni previste in caso di violazione di tali leggi.
Leggete con attenzione e prendete nota di quelli che fanno al caso vostro.
| Legge sulla privacy dei dati | Soglia legale | Sanzioni in caso di violazione della legge |
| Regolamento generale sulla protezione dei dati (GDPR) | Qualsiasi organizzazione che raccoglie, elabora o memorizza i dati personali di persone situate nell'Unione Europea (UE) o nello Spazio Economico Europeo (SEE). |
|
| La legge sulla protezione dei dati(UK GDPR) | Qualsiasi organizzazione che offre beni o servizi ai cittadini del Regno Unito e che tratta i loro dati personali. |
|
| Legge modificata sui diritti alla privacy dei consumatori della California(CCPA/CPRA) | Entità a scopo di lucro che svolgono attività in California e che soddisfano una delle seguenti condizioni:
|
|
| Legge sulla protezione della privacy online in California(CalOPPA) | Qualsiasi sito web con visitatori californiani ricade sotto la soglia di questa legge. |
|
| Legge sulla privacy dei dati dei consumatori della Virginia(VCDPA) | Enti che svolgono attività commerciali in Virginia o che si rivolgono a residenti della Virginia che soddisfano una delle seguenti condizioni:
|
|
| Legge sulla protezione dei dati del Connecticut(CTDPA) | Qualsiasi responsabile o incaricato del trattamento dei dati che svolge la propria attività nel Connecticut o che produce prodotti o servizi destinati ai consumatori del Connecticut. e qualsiasi responsabile del trattamento o incaricato del trattamento che soddisfi uno o più dei seguenti requisiti:
|
|
| Legge sulla privacy del Colorado(CPA) | Controllori che svolgono attività commerciali in Colorado o che producono o consegnano prodotti commerciali intenzionalmente destinati ai residenti del Colorado che soddisfano una (o entrambe) delle seguenti condizioni:
|
|
| Legge sulla protezione della privacy online dei bambini(COPPA) | Qualsiasi sito web o servizio online diretto a bambini di età inferiore ai 13 anni che:
|
|
| Legge sulla protezione delle informazioni personali e dei documenti elettronici(PIPEDA) | Qualsiasi organizzazione che raccolga e utilizzi informazioni personali in relazione ad attività commerciali, compresa la vendita o la condivisione di elenchi di donatori, membri o raccolte di fondi, rientra nel campo di applicazione del PIPEDA. |
|
| Legge australiana sulla privacy del 1988 | Qualsiasi ente o organizzazione governativa australiana che abbia un reddito lordo annuale di 3 milioni di dollari. e piccole imprese con un fatturato inferiore a 3 milioni di dollari che soddisfano uno dei seguenti requisiti:
|
|
| Legge sulla privacy della Nuova Zelanda del 2020 | Qualsiasi persona, organizzazione o azienda del settore pubblico o privato che raccoglie e detiene informazioni personali su altre persone. |
|
| La legge sudafricana sulla protezione delle informazioni personali(PoPIA) | Qualsiasi entità registrata in Sudafrica che tratta dati personali o persone da qualsiasi luogo.
E tutte le entità situate al di fuori del Paese che esternalizzano il trattamento dei dati in Sudafrica. |
|
Utilizzo di un linguaggio complicato
Per quanto riguarda il contenuto della vostra informativa sulla privacy, evitate di utilizzare un gergo inutile o il legalese. Queste parole e frasi comunemente usate dagli avvocati non sono di solito comprensibili o accessibili al lettore medio.
Alcune legislazioni, tra cui il GDPR, stabiliscono che le entità con politiche sulla privacy non scritte in un linguaggio semplice violano la legge. Questo requisito garantisce la trasparenza in modo che tutti possano leggere e capire cosa sta accadendo alle loro informazioni personali e i loro diritti sui dati.
Allo stesso modo, si dovrebbe evitare di scrivere grandi muri di testo con frasi contorte e ripetute.
Tenete presente il vostro pubblico quando redigete la vostra informativa sulla privacy e implementate tecniche di formattazione di facile lettura, sfruttando tabelle, grafici, diagrammi ed elenchi puntati.
Non si rivede con attenzione
Un altro problema comune da evitare è quello di trascurare un'attenta revisione dell'informativa prima di pubblicarla, anche se si utilizza un modello o un generatore affidabile.
Ricordate quando a scuola l'insegnante vi ricordava di controllare il vostro lavoro? Bene, questa logica funziona anche con la vostra politica sulla privacy.
Assicuratevi di rileggerlo e di verificare la presenza di errori, incongruenze o qualsiasi cosa abbiate saltato o tralasciato. Dovete anche ricontrollare che non ci siano problemi grammaticali e verificarne la leggibilità. Potete correggerlo da soli o utilizzare un programma di controllo grammaticale per aiutarvi in questo processo.
Non ottenere un chiaro consenso dagli utenti
A seconda delle leggi sulla privacy in vigore, potrebbe essere necessario ottenere il consenso esplicito e affermativo degli utenti prima di procedere alla raccolta dei dati. Questo requisito si applica in particolare al GDPR se il consenso è una delle basi legali per il trattamento dei dati personali.
Se vi trovate in questa situazione, assicuratevi di presentare a tutti gli utenti che accedono al vostro sito web o alla vostra app un link attivo alla versione più aggiornata della vostra informativa sulla privacy e chiedete loro di compiere una qualche azione per dimostrare di aver letto e accettato i termini descritti.
In genere consiglio di utilizzare una casella di controllo, ma assicuratevi che non sia contrassegnata, poiché le caselle di controllo pre-selezionate non sono GDPR.
Collocazione errata sul sito o sull'app
Un altro problema comune che si vuole evitare con l'informativa sulla privacy è quello di sbagliare la collocazione sul sito web o sull'app o di dimenticare di pubblicarla nelle aree necessarie.
Dovreste sempre prevedere di affiggere la vostra polizza in più di un punto, ma i luoghi precisi dipendono dalle leggi in cui rientra la vostra attività.
Ad esempio, ai sensi del CCPA, dovete presentare ai vostri utenti un avviso nel punto di raccolta o prima di esso. Se memorizzate informazioni personali durante il processo di acquisto, dovete fornire un link alla vostra politica nella pagina di acquisto.
Allo stesso modo, se raccogliete dati personali dagli utenti quando creano un login o un nuovo profilo sulla vostra piattaforma, dovrete inserire un link alla vostra informativa sulla privacy.
Ecco un elenco dei luoghi più comuni in cui inserire un link all'informativa sulla privacy:
- Il piè di pagina del vostro sito web
- Un menu statico nella vostra applicazione
- Schermate di pagamento o pagine di checkout
- Pagine per la creazione di nuovi account utente
- Nelle vostre e-mail di marketing
- Moduli per l'invio di contenuti - se permettete agli utenti di pubblicare le loro creazioni
- Su tutti i moduli che raccolgono informazioni personali dagli utenti
Utilizzo di un generatore o di un modello non affidabile
Su Internet esistono moltissime risorse eccellenti per la conformità alla privacy che possono aiutarvi a creare una politica sulla privacy per la vostra azienda. Ma questo significa che c'è anche un'altrettanta quantità di opzioni non proprio eccellenti che dichiarano di essere conformi ma, in realtà, non lo sono.
Pertanto, quando scaricate un modello di informativa sulla privacy gratuito modello di informativa sulla privacy o provate un generatore di polizze, siate particolarmente cauti e fate attenzione a queste bandiere rosse:
- 🚩 Non chiedono effettivamente quali dati specifici raccogliete: Questo è un segnale di allarme perché ogni azienda raccoglie informazioni diverse per motivi diversi. Se non vi chiedono questi dettagli, non c'è modo che l'informativa sulla privacy rifletta accuratamente le informazioni che state trattando.
- 🚩 Non ci sono domande sulla provenienza dei vostri utenti: sapere dove si trovano i vostri utenti aiuta a determinare se la vostra azienda rientra in determinate leggi sulla privacy. Se un generatore non vi chiede queste informazioni, è probabile che non si renda conto delle leggi necessarie da seguire.
- 🚩 Non è possibile esaminare l'informativa prima di averla pagata: Se qualcuno cerca di farvi pagare prima che possiate rivedere l'informativa sulla privacy generata, questo è un segnale di allarme importante. Non vorrete spendere fino a 200 dollari senza poter prima rivedere e approvare l'informativa. Suggerisco vivamente di evitare i siti web che vi obbligano a farlo.
- 🚩 Non ci sono molte domande a cui rispondere: Se un generatore o un modello sembra molto corto, potrebbe essere perché manca di clausole ed elementi essenziali necessari per ottenere la piena conformità legale. Diffidate di politiche molto brevi, perché è probabile che siano incomplete.
- 🚩 Non chiedono di utilizzare i cookie di Internet: I cookie di Internet sono considerati informazioni personali e molte leggi sulla privacy richiedono di consentire agli utenti di rinunciare a pubblicità mirata, spesso effettuata inserendo cookie di Internet nei browser degli utenti. Se un modello o un generatore non contiene nulla sui cookie, probabilmente è incompleto.
Riassunto
Evitando i nove problemi più comuni relativi alle norme sulla privacy che ho trattato in questa guida, imposterete il vostro sito web o la vostra app in modo da ottenere una conformità alla privacy dei dati efficace e indolore.
Inoltre, dimostrate ai consumatori che possono fidarsi di voi con le loro informazioni personali.
Vale la pena di fare uno sforzo in più per evitare multe salate e ripercussioni pubbliche in futuro.
Potete semplificare ulteriormente la vostra attività utilizzando il generatore di informativa sulla privacy diTermly per personalizzare un accordo che si adatti perfettamente alle vostre esigenze di conformità alla privacy.
DISCLAIMER: Tutte le informazioni, i contenuti, i materiali e le citazioni presentate in questo articolo sono solo a scopo informativo generale e non costituiscono, e non intendono costituire, una consulenza legale. Le informazioni contenute in questa pagina potrebbero non costituire le informazioni legali o di altro tipo più aggiornate.
Per saperne di più su chi scrive
Scritto da Masha Komnenic CIPP/E, CIPM, CIPT, FIP
Masha è una specialista in sicurezza delle informazioni e trattamento dei dati nonché Certified Data Protection Officer. Negli ultimi sei anni ha lavorato come Data Protection Officer, aiutando piccole e medie imprese a raggiungere la conformità legale. È stata anche mentore della conformità alla privacy per molti acceleratori d'impresa internazionali. È specializzata nell'implementazione, nel monitoraggio e nella verifica della conformità aziendale alle normative sulla privacy (HIPAA, PIPEDA, Direttiva ePrivacy, GDPR, CCPA, POPIA, LGPD). Ha studiato Legge all'Università di Belgrado e superato l'esame di abilitazione alla professione forense nel 2016. Per saperne di più su chi scrive
