La legge obbliga ogni sito/app che raccoglie dati ad informare gli utenti attraverso una privacy e cookie policy.

La privacy policy deve contenere alcuni elementi fondamentali, tra cui:

• le tipologie di dati personali trattati;
• le basi giuridiche del trattamento;
• le finalità e le modalità del trattamento;
• i soggetti ai quali i dati personali possono essere comunicati;
• l’eventuale trasferimento dei dati al di fuori dell’Unione Europea;
• i diritti dell’interessato;
• gli estremi identificativi del titolare.

La cookie policy descrive in particolare le diverse tipologie di cookie installati attraverso il sito, le eventuali terze parti cui questi cookie fanno riferimento – incluso un link ai rispettivi documenti e moduli di opt-out – e le finalità del trattamento.

Non possiamo usare un documento generico?

Non è possibile utilizzare documenti generici in quanto l’informativa deve descrivere in dettaglio il trattamento dati effettuato dal proprio sito/app, elencando anche tutte le tecnologie di terza parte utilizzate (es. pulsanti Like di facebook o mappe di Google Maps).

E se il mio sito non tratta alcun dato?

È molto difficile che il tuo sito non tratti alcun dato. Bastano infatti un semplice modulo di contatto o un sistema di analisi del traffico come Google Analytics per far scattare l’obbligo di predisporre e mostrare un’informativa.

Ai sensi del GDPR, se l’utente ha la possibilità di immettere direttamente dati personali sul sito/app, ad esempio compilando un form di contatto, di registrazione al servizio o di iscrizione alla newsletter, è necessario raccogliere un consenso libero, specifico ed informato, nonché registrare una prova inequivocabile del consenso.

Analogamente al GDPR, anche per la LGPD brasiliana il titolare del trattamento deve dimostrare, attraverso l’archiviazione di una prova, di aver raccolto correttamente il consenso dell’utente.

Cosa si intende per consenso libero, specifico ed informato?

È necessario raccogliere un consenso per ogni specifica finalità di trattamento – ad esempio, un consenso per inviare newsletter e un altro consenso per inviare materiale promozionale per conto di terzi. I consensi possono essere richiesti predisponendo una o più checkbox non pre-selezionate, non obbligatorie ed accompagnate da dei testi informativi che facciano capire chiaramente all’utente come saranno utilizzati i suoi dati.

Come è possibile dimostrare il consenso in modo inequivocabile?

È necessario raccogliere una serie di informazioni ogniqualvolta un utente compila un modulo presente sul proprio sito/app. Tali informazioni includono un codice identificativo univoco dell’utente, il contenuto della privacy policy accettata e una copia del modulo presentato all’utente.

La email che ricevo dall’utente a seguito della compilazione del modulo non è una prova sufficiente del consenso?

Purtroppo non è sufficiente, in quanto mancano alcune informazioni necessarie a ricostruire l’idoneità della procedura di raccolta del consenso, come la copia del modulo effettivamente compilato dall’utente.

Devo adeguarmi alla LGPD anche se la mia organizzazione non ha sede in Brasile?

Rientri nell’ambito di applicazione della LGPD se tratti dati di persone che si trovano all’interno del territorio brasiliano, indipendentemente dalla nazionalità (anche se queste si trovavano in Brasile solo al momento della raccolta dei dati, e da allora si sono spostate).

In alcuni casi può essere opportuno proteggere la propria attività online da eventuali responsabilità predisponendo un documento di Termini e Condizioni. I Termini e Condizioni di solito prevedono clausole relative all’uso dei contenuti (copyright), limitazione di responsabilità, condizioni di vendita, permettono di elencare le condizioni obbligatorie previste dalla disciplina sulla tutela del consumatore e molto altro.

I Termini e Condizioni dovrebbero includere quantomeno queste informazioni:

• i dati identificativi dell’attività;
• una descrizione del servizio offerto dal sito/app;
• le informazioni su allocazione dei rischi, responsabilità e liberatorie;
• garanzie (se applicabile);
• diritto di recesso (se applicabile);
• informazioni sulla sicurezza;
• diritti d’uso (se applicabile);
• condizioni d’uso o di acquisto (come requisiti di età o restrizioni legate al paese);
• politiche di rimborso/sostituzione/sospensione del servizio;
• informazioni sui metodi di pagamento.

Quando è obbligatorio predisporre un documento di Termini e Condizioni?

I Termini e Condizioni possono rendersi utili in qualunque scenario, dall’e-commerce al marketplace, dal SaaS all’app mobile e al blog. Nel caso dell’e-commerce, non solo è consigliabile, ma è spesso obbligatorio predisporre questo documento.

Posso copiare e utilizzare un documento di Termini e Condizioni da un altro sito?

Il documento di Termini e Condizioni è essenzialmente un accordo giuridicamente vincolante, e pertanto non solo è importante averne uno, ma è anche necessario assicurarsi che sia conforme ai requisiti di legge, che descriva correttamente i tuoi processi aziendali ed il tuo modello di business, e che rimanga aggiornato rispetto alle normative di riferimento. Copiare i Termini e Condizioni da altri siti è molto rischioso in quanto potrebbe rendere il documento nullo o non valido.