La privacy policy è obbligatoria per legge?
Sì, senza eccezioni. Il Regolamento UE 679/2016 (GDPR) e il D.lgs 196/2003 (Codice Privacy italiano) impongono a qualsiasi soggetto che raccoglie dati personali di fornire un'informativa chiara e completa agli interessati.
Un sito web raccoglie dati personali anche solo attraverso log del server, cookie di analisi, moduli di contatto, newsletter, shop online. Se il tuo sito fa anche solo una di queste cose, hai bisogno di una privacy policy.
Cosa deve contenere secondo il GDPR (art. 13)
- Identità e dati di contatto del titolare del trattamento
- Dati di contatto del DPO (se nominato)
- Finalità e base giuridica del trattamento
- Eventuali destinatari dei dati
- Trasferimento dati extra-UE (se applicabile)
- Periodo di conservazione dei dati
- Tutti i diritti dell'interessato (accesso, rettifica, cancellazione, portabilità, opposizione)
- Diritto di reclamo al Garante Privacy
Le sanzioni se non hai la privacy policy
Il Garante per la Protezione dei Dati Personali ha intensificato i controlli dal 2023. Le sanzioni per violazione del GDPR possono arrivare fino a €10 milioni o 2% del fatturato mondiale per violazioni meno gravi, e €20 milioni o 4% per violazioni più gravi. Per le PMI italiane, le sanzioni tipiche variano tra €2.000 e €20.000.
Privacy policy copiata da internet: perché non funziona
Copiare la privacy policy di un altro sito viola il copyright del titolare originale e quasi certamente non copre le tue specifiche attività di trattamento. Il GDPR richiede che l'informativa sia specifica per il tuo caso.