Documentazione

Come scegliere le giuste opzioni per la tua privacy policy

iubenda ha sviluppato un sistema che ti consente di applicare diritti diversi ai differenti gruppi di utenti di cui raccogli ed elabori dati personali in qualità di “titolare” (il termine che nel GDPR definisce qualunque soggetto decida sulle finalità e sugli strumenti di trattamento).

In particolare:

  • puoi decidere di applicare degli standard di protezione più elevati a tutti i tuoi utenti. In questo caso, genererai una privacy policy che si applica nella sua totalità a tutti i tuoi utenti, e che è conforme al GDPR; oppure

  • puoi decidere di applicare una serie di diritti di base a tutti i tuoi utenti, e standard di protezione più elevati solo per alcuni di questi. In questo caso, le protezioni più ampie si applicheranno in particolare in tutti i casi in cui il trattamento di dati personali è soggetto al GDPR.

Qual è la scelta migliore nel mio caso?

Puoi attivare l’opzione “GDPR e standard UE” per:

  • Utenti UE
  • Tutti

Puoi trovare lo switch qui:

  • Accedi all’admin area della tua privacy policy
  • Visita la sezione dedicata alla modifica della privacy policy tramite “Dashboard > [la tua policy] > Modifica”
  • Nella colonna di destra troverai un box chiamato “GDPR e standard UE” Switch GDPR e standard UE
  • Sotto la voce “Applica i livelli superiori di protezione previsti dal GDPR a” scegli tra:
    • “Tutti” (opzione predefinita); oppure
    • “Utenti UE”
  • Questo ti consente di considerare il tuo caso specifico e scegliere in base a dove si trovano i tuoi utenti/clienti

Una volta che hai deciso quali diritti offrire a chi, puoi continuare.

Se sei un titolare del trattamento dei dati con sede nel territorio UE

In questo caso dovrai applicare uno standard di protezione elevato per tutti i tuoi utenti poiché tutte le attività di trattamento dei dati che esegui sono soggette al GDPR. Questo si estende anche a tutti i tuoi utenti che non sono localizzati nel territorio UE.

Se sei un titolare del trattamento dei dati con sede extra-UE

In questo caso puoi scegliere di applicare standard di protezione più elevati per tutti i tuoi utenti, oppure garantire particolari diritti solo nel caso in cui il trattamento dati sia soggetto al GDPR. Ricorda che devi applicare degli standard di protezione più elevati quando il trattamento:

  • riguarda dati personali di utenti localizzati nel territorio UE ed è collegato all’offerta di beni o servizi a pagamento o a titolo gratuito a tali utenti;
  • riguarda dati personali di utenti localizzati nel territorio UE e permette al titolare di monitorare i comportamenti di tali utenti (comportamenti che avvengono sempre nel territorio UE).

Esempio

Se sei un titolare con sede negli USA, puoi scegliere di garantire diritti di base ai tuoi utenti, come richiesto dalla legge statunitense. Tuttavia, sei tenuto ad applicare standard di protezione più elevati se parte delle attività di elaborazione dei dati consiste nell’offerta di beni o servizi a pagamento e non a utenti localizzati nel territorio UE, oppure nel monitoraggio di comportamenti degli utenti che avvengono sempre nel territorio UE.

Ulteriori conseguenze dell’applicazione di standard di protezione più elevati

L’applicazione di standard di protezione più elevati comporta ulteriori implicazioni, descritte a seguire.

Trasferimento di dati al di fuori dell’UE o dalla Svizzera

Se raccogli dati personali all’interno dell’UE, sei libero di trasferirli in altri Paesi dell’UE o dello SEE (Spazio Economico Europeo). Tuttavia, se prevedi di trasferire questi dati in altri Paesi, come ad esempio la Svizzera o gli Stati Uniti, è necessario indicare una valida base giuridica che consenta tale trasferimento.

I servizi che potresti integrare nella tua privacy policy sono:

  • Trasferimento di dati dall’UE e/o dalla Svizzera verso gli Stati Uniti sulla base del Privacy Shield
  • Trasferimento di dati verso Paesi che garantiscono standard europei
  • Trasferimento verso Paesi terzi sulla base di clausole contrattuali standard
  • Trasferimento verso Paesi terzi basato sul consenso
  • Altra base giuridica per il trasferimento di dati verso Paesi terzi

Alcuni esempi di trasferimento dei dati

  • Quando lavori con partner o utilizzi servizi localizzati fuori dall’UE/SEE (ad esempio, Google Analytics), stai trasferendo dati personali fuori dall’UE. I servizi disponibili nel nostro generatore stimano la localizzazione di partenza del servizio e, se note a iubenda, forniscono informazioni sulla certificazione Privacy Shield del soggetto terzo. Nel caso di Google Analytics, è necessario aggiungere in particolare il servizio “Trasferimento di dati dall’UE e/o dalla Svizzera verso gli Stati Uniti sulla base del Privacy Shield”;
  • quando inserisci un servizio personalizzato che non è presente nel nostro generatore, ad esempio un servizio con base negli USA senza una certificazione Privacy Shield, ricordati di indicare qual è la base giuridica per il trasferimento;
  • se sei un titolare localizzato fuori dall’UE, trasferisci dati personali degli utenti europei al di fuori dell’UE ogniqualvolta raccogli dati di questi utenti. Assicurati di farlo in virtù di una valida base giuridica per il trasferimento.

Basi legali per il trasferimento

Il GDPR prevede una serie di basi giuridiche valide per trasferire dati al di fuori dell’UE. Le più rilevanti sono:

Ogni volta che la Commissione europea ritiene che un paese fuori dall’UE garantisce standard di protezione dei dati paragonabili a quelli dell’UE, emette una decisione di adeguatezza. Se si prevede di trasferire dati in tale paese è sufficiente comunicarlo agli utenti tramite la propria privacy policy.

Ad oggi sono state adottate decisioni di adeguatezza per Andorra, Argentina, Canada (organizzazioni commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay.

–> Servizio per aggiungere in questo caso: “Trasferimento dati verso paesi che garantiscono standard europei”

Il Privacy Shield è un accordo stipulato tra Europa e Stati Uniti affinché i dati trasferiti in USA siano adeguatamente protetti, secondo gli standard approvati dalla Commissione, anche una volta fuoriusciti dall’Unione. Pertanto, se un importatore di dati con sede negli Stati Uniti è membro attivo del Privacy Shield, è possibile trasferire loro i dati: è sufficiente comunicarlo ai propri utenti tramite privacy policy.

Scopri se un importatore di dati fa parte del Privacy Shield qui. In teoria dovresti anche essere in grado di trovare informazioni sul Privacy Shield nell’informativa sulla privacy di quel servizio, essendo questo uno dei requisiti. Si prega di informarsi sull’elenco aggiornato delle decisioni di adeguatezza sul sito web della Commissione europea.

–> Servizio da aggiungere in questo caso: “Trasferimento di dati dall’UE e/o dalla Svizzera agli Stati Uniti in base allo scudo per la privacy”

Se il Paese in cui prevedi di esportare i dati non sembra garantire un livello adeguato di protezione, puoi assicurarti che l’importatore di dati (ovvero la società o la persona a cui stai esportando i dati) rispetti regole più rigide. A tal fine, siglerai con lui un contratto che include clausole standard redatte dalla Commissione europea. Nella maggior parte dei casi, utilizzerai le clausole contrattuali standard per i controller con sede in UE che esportano dati a processor con sede altrove.

Anche qui: puoi trasferire dati personali se hai un contratto del genere, ma devi menzionarlo nella tua privacy policy.

–> Servizio da aggiungere in questo caso: “Trasferimento dati all’estero basato su clausole contrattuali standard”

Infine, se nessuna delle opzioni di cui sopra sembra praticabile, è necessario raccogliere il consenso degli utenti per trasferire i propri dati al di fuori dell’UE. Questo è lo scenario più complicato, perché devi assicurarti che il loro consenso sia – tra altre cose – “informato”. Sai davvero cosa succederà ai dati degli utenti una volta esportati al di fuori dell’UE? Puoi dire che tipo di misure di sicurezza vengono fornite dalla legislazione locale o adottate su iniziativa dell’importatore di dati per garantire la protezione dei dati personali?

Se sei in grado di fornire tali informazioni, puoi chiedere ai tuoi utenti di consentire il trasferimento dei dati personali, ma se non sei in grado di fornirli, fai attenzione: qualsiasi consenso raccolto non sarà considerato “informato” e quindi nullo.

–> Servizio da aggiungere in questo caso: “Trasferimento dati all’estero in base al consenso”

Infine, se sei un vero fanatico della privacy, saprai che il GDPR menziona un paio di altre opzioni di gran lunga meno rilevanti per trasferire dati al di fuori dell’UE. Se stai basando il tuo trasferimento su una qualsiasi di queste opzioni, dovresti scegliere il servizio

–> “Altre basi legali per il trasferimento di dati all’estero”

e specificare di conseguenza.

Cosa succede in caso di trasferimento dati dalla Svizzera?

Se trasferisci dati personali dalla Svizzera a un altro Paese, devi farlo in base a una delle basi giuridiche riconosciute dalla legislazione svizzera, incluso il Privacy Shield US-CH.

Se hai bisogno di maggiori informazioni sulle norme di protezione dei dati a livello federale in Svizzera puoi visitare questa pagina.

Profilazione

Per “profilazione” si intende qualsiasi forma di trattamento automatizzato di dati personali effettuato per valutare particolari aspetti della personalità di una persona fisica, in particolare per analizzarne o prevederne gli effetti sul lavoro, la situazione economica, lo stato di salute, le preferenze, gli interessi, l’affidabilità, il comportamento, l’ubicazione o i movimenti effettuati.

Se profili i tuoi utenti, devi informarli. È pertanto necessario che tu scelga l’apposita clausola disponibile nel Generatore di Privacy Policy.

Il servizio che potresti integrare nella tua privacy policy è:

  • Analisi dei dati dell’utente e previsioni (“profilazione”)

Esempio

Se vendi prodotti e tieni traccia delle scelte degli utenti per scopi di marketing, dividendoli in categorie rappresentative, ad esempio per età, sesso, origine geografica etc., li stai profilando.

Processi decisionali automatizzati

I processi decisionali automatizzati sono dei processi che consentono di prendere decisioni che possono produrre sugli utenti significativi effetti legali (o simili) in modo completamente automatizzato, senza l’intervento umano. Questi processi possono anche basarsi sulla profilazione (vedi sopra).

Nel caso tu stia implementando dei processi decisionali automatizzati, è necessario informare gli utenti. Per farlo, devi scegliere la relativa clausola disponibile nel Generatore di Privacy Policy. Gli utenti, inoltre, godono di uno specifico diritto di opposizione ai processi decisionali automatizzati, che è specificato in una sezione dedicata della privacy policy generata.

I servizi che potresti integrare nella tua privacy policy sono:

  • Processi decisionali automatizzati
  • Analisi dei dati dell’utente e previsioni (“profilazione”)

Esempio

Sei una banca. Per valutare se gli utenti abbiano diritto a ricevere un prestito, chiedi loro di inserire i propri dati personali in un modulo. Grazie ad un algoritmo, tali dati vengono valutati in modo completamente automatico e viene presa una decisione.

Acquisizione di dati da terze parti

Se non raccogli direttamente i dati personali dei tuoi utenti, ma li ottieni da terze parti, è necessario informare gli utenti interessati in merito a tali terzi, oltre che soddisfare tutti gli altri obblighi di informazione. Di conseguenza, è necessario che tu scelga l’apposita clausola disponibile nel Generatore di Privacy Policy.

L’informazione relativa all’acquisizione dei dati da terze parti deve essere comunicata entro un mese dal momento in cui sono stati raccolti i dati. In particolare:

  • se i dati personali sono utilizzati per comunicare con l’utente, la comunicazione va effettuata al più tardi alla prima comunicazione con l’utente stesso;
  • se è prevista una comunicazione a un altro destinatario, la comunicazione va effettuata al più tardi al momento in cui i dati personali sono divulgati.

Il servizio che potresti integrare nella tua privacy policy è:

  • Dati personali raccolti attraverso fonti diverse dall’utente

Esempio

Sei un head hunter e hai trovato un profilo interessante su LinkedIn. Non appena hai contattato il candidato in questione o hai trasferito i suoi dati al potenziale datore di lavoro, e in ogni caso entro un mese da quando hai raccolto i suoi dati personali, devi fornire al candidato tutte le informazioni obbligatorie, compresa l’indicazione di LinkedIn come fonte dei suoi dati.

Rappresentante UE

Se sei un titolare del trattamento dei dati con sede al di fuori del territorio UE, devi nominare come Rappresentante nell’UE una persona fisica o giuridica con sede in uno dei Paesi dell’UE in cui si trovano i tuoi utenti. La nomina deve essere effettuata per iscritto e il rappresentante designato deve essere menzionato nella tua privacy policy.

Di conseguenza, è necessario inserire i dati del rappresentante (nome e recapito) nel campo in cui si trovano i dati della tua società.

Data Protection Officer – DPO

In determinate condizioni, è necessario nominare una persona fisica o giuridica quale Responsabile della Protezione dei Dati (Data Protection Officer – DPO) e menzionarla nella privacy policy.

In particolare, è necessario nominare un DPO quando:

  • sei un’autorità o un ente pubblico; oppure
  • le tue attività principali consistono in operazioni che richiedono un monitoraggio regolare e sistematico degli utenti su larga scala; oppure
  • le tue attività principali consistono nel trattamento su vasta scala di dati sensibili o giudiziari.

Se una delle condizioni di cui sopra è applicabile, è necessario inserire i contatti del DPO nella sezione contenente le informazioni sulla tua società.

Infine, tieni conto che il GDPR consente agli Stati Membri dell’UE di prevedere ulteriori condizioni in base alle quali la nomina del DPO è obbligatoria. Pertanto, verifica se la tua società è soggetta a disposizioni nazionali di uno Stato Membro dell’UE in aggiunta a quelle generali del GDPR, e se tali disposizioni richiedono la nomina di un DPO.