In un mondo in cui i prodotti e i servizi digitali sono sempre più indispensabili, la protezione dei dati è diventata una priorità assoluta. Come risultato, molti Paesi hanno introdotto normative privacy solide e vincolanti alle quali ogni attività è tenuta ad adeguarsi.
Il mancato rispetto di queste norme può comportare non solo gravi conseguenze di natura economica, ma anche danni significativi e di lungo termine alla reputazione e alla fiducia nei confronti dell’organizzazione. È pertanto essenziale assicurarsi che la propria attività rispetti gli obblighi di legge.
Secondo la stragrande maggioranza delle legislazioni, se si trattano dati personali si è tenuti a informare l’utente in merito alle attività di trattamento dei dati effettuate tramite una privacy policy chiara e completa, assicurandosi altresì di mettere in atto misure di sicurezza efficaci per proteggere i dati personali e implementando metodi per la raccolta e la revoca del consenso.
I requisiti possono variare in base alle attività di trattamento, alla normativa di riferimento, all’età dell’utente o al tipo di azienda. Vale quindi la pena sottolineare che, al di là dei principi generali illustrati qui di seguito, potrebbero esserci ulteriori obblighi da rispettare a seconda della specifica normativa applicabile. Consulta le sezioni che seguono per ulteriori informazioni su alcune situazioni specifiche.
In generale, gli utenti devono essere informati:
Potresti essere inoltre responsabile di fornire informazioni aggiuntive agli utenti, a soggetti terzi e all’autorità di vigilanza a seconda della tua normativa di riferimento.
Una di queste leggi è il California Consumer Privacy Act (CCPA). Ai sensi del CCPA gli utenti devono essere informati circa la possibilità che i loro dati siano venduti (“venduti” va qui inteso come “condivisi con terzi per trarne una qualche forma di beneficio, di natura economica o altro”). L’informativa deve essere visibile direttamente nell’homepage del sito e deve includere un link di opt-out (DNSMPI). Leggi la guida completa per maggiori informazioni sul CCPA e sul suo ambito di applicazione.
Per consenso si intende la volontaria accettazione informata da parte di un utente a impegnarsi in un particolare evento o processo.
In linea di principio e a seconda della normativa applicabile, gli utenti devono essere in grado di negare, revocare o prestare il consenso. Il consenso può essere acquisito con qualunque metodo che richieda all’utente un’azione positiva, diretta e verificabile, come checkbox, campi di testo, pulsanti di scelta, invio di un’email di conferma etc.
Solitamente, le leggi di un particolare Paese si applicano se:
Ciò significa che una normativa locale può essere applicata a te o alla tua attività indipendentemente dal fatto che vi troviate o meno in quell’area. Per questo motivo, è sempre consigliabile approcciare le attività di trattamento dei dati personali tenendo presenti le più severe normative applicabili. Consulta l’articolo Normativa applicabile e lingua dei documenti per maggiori informazioni.
Negli Stati Uniti non esiste un unico quadro nazionale completo per la regolamentazione in materia di trattamento dei dati. Esistono tuttavia diverse leggi a livello statale, nonché linee guida di settore e leggi federali specifiche. Poiché l’attività online di un sito/app è raramente limitata a un solo Stato, è sempre meglio attenersi alle normative più severe.
In quest’ottica, lo Stato della California attua il quadro normativo più solido in materia di protezione dei dati. Il California Online Privacy Protection Act (CalOPPA), in vigore dal 2004, è stata la prima legge statale a introdurre l’obbligo di predisporre una privacy policy e si applica alle persone o alle aziende il cui sito/app tratta i dati personali di cittadini californiani.
In aggiunta alle informazioni generalmente richieste, cui si accennava prima, il CalOPPA richiede anche di:
Per quanto riguarda il consenso, la legge degli Stati Uniti generalmente richiede di prevedere una chiara opzione attraverso cui gli utenti possano revocare il consenso (opt-out). Regole diverse si applicano, tuttavia, nei casi che riguardano il trattamento di “dati sensibili” (come informazioni sanitarie, informazioni creditizie, dati degli studenti, dati personali di minori di 13 anni). In questi casi, deve essere infatti prevista una chiara azione di “opt-in” verificabile, ad esempio la spunta di una checkbox, o un’altra analoga azione positiva di consenso.
Se il tuo servizio raccoglie, utilizza o diffonde consapevolmente informazioni personali di bambini di età inferiore ai 13 anni, allora sei soggetto all’applicazione di speciali normative a tutela dei minori.
La legge sulla protezione della privacy online dei minori (ovvero il COPPA) è una legge federale statunitense attuata per proteggere al meglio i dati personali e i diritti dei minori di 13 anni.
In base a questa legge, se si gestisce un sito web o un qualsiasi altro servizio online rivolto a bambini sotto i 13 anni, o si è effettivamente consapevoli del fatto che si stanno raccogliendo informazioni personali relative a bambini sotto i 13 anni, è necessario darne comunicazione ai genitori e ottenere il loro consenso verificabile prima di raccogliere, utilizzare o diffondere queste informazioni.
È necessario inoltre garantire la sicurezza dei dati raccolti. “Verificabile” in questo contesto implica la necessità di utilizzare un metodo per ottenere il consenso che non sia facilmente falsificabile da un bambino, a riprova che tale consenso sia stato verosimilmente fornito da un adulto (ad esempio, attraverso la verifica di un documento d’identità ufficiale).
Per “dati personali” in questo contesto si intendono informazioni relative al bambino come:
💡 Per ulteriori informazioni, consulta questo articolo oppure leggi di più sul COPPA (in inglese).
Il Regolamento europeo generale sulla protezione dei dati personali (GDPR) è stato concepito per centralizzare la protezione dei dati per gli utenti europei ed è pienamente applicabile dal 25 maggio 2018. In estrema sintesi, il GDPR chiarisce come i dati personali debbano essere trattati, incluse le modalità di raccolta, utilizzo, protezione e condivisione.
Il GDPR si applica quando:
Un ambito di applicazione così ampio copre in pratica quasi tutte le attività, e pertanto si può concludere che il GDPR si applica indipendentemente dal fatto che la tua organizzazione si trovi o meno nell’Unione Europea.
Un fraintendimento comune è pensare che solo gli utenti dell’UE siano coperti dal GDPR. In realtà il GDPR si estende anche agli utenti al di fuori dell’UE se il responsabile del trattamento dei dati ha sede nell’UE. Pertanto, se sei un responsabile del trattamento nell’UE devi applicare gli standard GDPR a tutti i tuoi utenti.
Le condizioni di applicabilità del GDPR sono stabilite in due ambiti, materiale e territoriale. Per determinare se un’attività di trattamento dati è esente dalla sua applicabilità, dobbiamo considerare entrambi gli aspetti.
Il GDPR si applica al trattamento dei dati personali. Non si applica pertanto ai dati aziendali, come il nome e l’indirizzo della società. Fai attenzione, tuttavia, perché normalmente sono le “persone fisiche” che lavorano in un’azienda: qualsiasi dato che si riferisce a loro è quindi considerato “personale”, indipendentemente dal fatto che venga trattato in un contesto Business to Customer (B2C) o Business to Business (B2B).
Ci sono diversi altri scenari in cui i dati personali non rientrano nell’ambito di applicazione del GDPR, ad esempio quando vengono trattati da una persona fisica per un’attività puramente personale o domestica.
💡 Per saperne di più sull’ambito di applicazione del GDPR consulta la guida dedicata.
In aggiunta a quanto sopra, affinché un’attività di trattamento non sia soggetta al GDPR da un punto di vista territoriale, devono verificarsi tutte e 3 queste condizioni:
Assisti a demo dal vivo e ricevi risposta alle tue domande in tempo reale partecipando a uno dei nostri webinar gratuiti in italiano. Sono tutti pratici e progettati per aiutarti a comprendere e raggiungere la conformità per i tuoi siti e le tue applicazioni.
Partecipa ai nostri webinar gratuitiIn generale il GDPR stabilisce quanto segue:
Devi avere almeno una base giuridica per il trattamento dei dati degli utenti. Ai sensi del GDPR esistono 6 basi giuridiche.
Devi acquisire un consenso verificabile. Secondo il GDPR, il consenso è una delle basi giuridiche per il trattamento dei dati. Poiché il consenso deve essere “libero, specifico, informato e esplicito”, è necessario che la sua modalità di acquisizione sia inequivocabile e preveda una chiara azione di “opt-in”.
Il regolamento sancisce inoltre un diritto specifico alla revoca del consenso, che deve essere tanto facile quanto lo è il suo conferimento. Poiché il consenso ai sensi del GDPR è una questione di primaria importanza, è obbligatorio registrare in modo puntuale i consensi ottenuti.
Il registro dei consensi deve contenere almeno le seguenti informazioni:
Come anticipato, il consenso non è la sola base giuridica per effetto della quale un’organizzazione può trattare i dati degli utenti, ma è solo una delle basi giuridiche del trattamento. Ai sensi del GDPR, le organizzazioni possono dunque avvalersi anche di altre basi giuridiche del trattamento. Ciò premesso, è bene chiarire che per alcune attività di trattamento dei dati il consenso resta comunque la soluzione migliore, se non l’unica strada percorribile.
Molte Autorità per la Protezione dei Dati europee hanno rafforzato i loro requisiti e allineato le loro disposizioni su cookie e tracker con quelle del GDPR. In particolare, è obbligatorio registrare e memorizzare le preferenze di consenso dei propri utenti.
Il Registro Preferenze Cookie e Consensi è ora disponibile per la nostra soluzione Privacy Controls and Cookie Solution.
Clicca qui per saperne di più su come attivare il Registro Preferenze Cookie e Consensi all’interno della tua Privacy Controls and Cookie Solution.
Nell’ambito del GDPR gli utenti beneficiano di alcuni diritti sui propri dati. In qualità di titolare del trattamento, oltre a dover onorare tali diritti, devi informare gli utenti della loro esistenza. Questi includono:
Devi soddisfare i requisiti specifici imposti in caso di trasferimento dei dati al di fuori dello Spazio Economico Europeo. Il GDPR, infatti, consente il trasferimento dei dati di cittadini UE al di fuori dello Spazio Economico Europeo (SEE) solo se sono soddisfatte determinate condizioni.
Devi soddisfare i principi della privacy by design e della privacy by default. Secondo il GDPR, il tema della protezione dei dati dovrebbe essere cioè preso in considerazione sin dall’inizio della progettazione e dello sviluppo dei processi e delle infrastrutture aziendali.
Devi notificare le violazioni dei dati personali (data breach). Ai sensi del GDPR, devi informare l’autorità di controllo competente entro 72 ore dal momento in cui vieni a conoscenza di una violazione dei dati personali. In molti casi sei tenuto a informare anche gli utenti interessati.
Devi nominare un DPO (a patto che si verifichino determinate condizioni). Potrebbe esserti richiesto di nominare un responsabile della protezione dei dati (RPD o DPO) che avrà il compito di supervisionare tutte le attività di trattamento e monitorare il rispetto della legge applicabile. Il trattamento sistematico e su larga scala dei dati degli utenti e quello che riguarda speciali categorie di dati (ad esempio i dati sensibili) sono tra i casi in cui si richiede la nomina di un DPO.
Devi predisporre e aggiornare un registro delle attività di trattamento. Come stabilito dall’articolo 30, il GDPR richiede che tu conservi e tenga aggiornato un registro “completo e esaustivo” delle attività di trattamento dei dati. Il registro è espressamente richiesto nei casi in cui le tue attività di trattamento non sono occasionali, possono comportare rischi per i diritti e le libertà altrui, includono il trattamento di “categorie speciali di dati” o quando la tua organizzazione ha più di 250 dipendenti, il che vale di fatto per quasi tutti i titolari e responsabili del trattamento.
Tuttavia, anche se le tue attività di trattamento non rientrano nelle situazioni appena esposte, i tuoi doveri di informare gli utenti ti impongono di conservare un registro di base contenente i dati che raccogli, le finalità, tutte le parti coinvolte e il periodo di conservazione dei dati – questo è obbligatorio per tutti. Consulta la nostra guida GDPR per saperne di più.
Devi effettuare dei processi di DPIA (a patto che si verifichino determinate condizioni). Nei casi in cui l’attività di trattamento dei dati è suscettibile di comportare un rischio elevato per gli utenti, il GDPR introduce la necessità di effettuare una valutazione d’impatto, o Data Protection Impact Assessment (DPIA).
💡 Per ulteriori informazioni consulta la guida sul GDPR.
Dal momento che l’utilizzo di cookie comporta il trattamento dei dati degli utenti e l’utilizzo di tecnologie di tracciamento, si tratta di un’attività di primaria importanza in riferimento al tema della protezione dei dati personali. La Direttiva ePrivacy (o Cookie Law) è stata pensata proprio per affrontare tale questione.
Secondo la Cookie Law, le organizzazioni che si rivolgono ai cittadini dell’UE devono informare gli utenti sulle attività di raccolta dati effettuate e dare loro la possibilità di scegliere se acconsentire o meno. Ciò significa che se il tuo sito/app (o qualsiasi servizio di terza parte utilizzato dal tuo sito/app) utilizza i cookie, è necessario ottenere un consenso valido prima della loro installazione, tranne quando tali cookie rientrano nella categoria dei cookie esenti.
💡 Dai un’occhiata alla nostra tabella che confronta i paesi dell’UE sulle regole di raccolta del consenso ai cookie.
In pratica, dovrai mostrare un banner alla prima visita dell’utente, predisporre una cookie policy che contenga tutte le informazioni richieste, e dare agli utenti i mezzi o le informazioni per rifiutare il trattamento (o revocarne il consenso).
Prima di aver ottenuto il consenso informato e esplicito, non è possibile installare cookie, a eccezione dei cookie esenti.
Come accennato in precedenza, il “consenso” è una delle sei basi giuridiche ammesse dal GDPR e deve essere espresso e documentato in modi molto specifici per essere considerato valido.
Un dubbio che potresti avere è: devo trattare il consenso all’uso dei cookie allo stesso modo del consenso “regolare” per specifiche attività di trattamento dei dati, come l’invio di newsletter?
Se la risposta fosse “sì”, ciò significherebbe che andrebbero rispettati tutti i requisiti di validità del consenso anche quando si installano i cookie. Tuttavia, al momento la maggior parte dei commentatori concorda sul fatto che ciò non sarebbe fattibile e che non rientra nei piani del legislatore dell’UE.
Pertanto, i requisiti di consenso semplificato ai sensi della direttiva ePrivacy sono ancora ritenuti applicabili per l’installazione dei cookie, in gran parte a causa dell’articolo 95 del GDPR. Si tratta di una questione molto dibattuta, che verrà risolta solo quando sarà approvato il Regolamento ePrivacy, attualmente in fase di discussione.
Il cookie banner deve:
La cookie policy deve:
Il blocco preventivo dei cookie permette di soddisfare il principio generale secondo cui, in ottemperanza a quanto previsto dalla legislazione sulla privacy, l’installazione dei cookie può avvenire solo dopo aver ottenuto il consenso. Ciò implica la necessità di bloccare i codici che installano i cookie prima di aver raccolto il consenso dell’utente.
Il consenso all’installazione dei cookie può essere fornito in diversi modi. A seconda delle autorità locali, le azioni di consenso possono includere il proseguimento della navigazione, il click sui link o lo scorrimento della pagina. In molti casi, fare click su “ok”, chiudere il cookie banner o continuare la navigazione può essere considerato un consenso mediante comportamento attivo – a condizione che gli utenti siano stati precedentemente e chiaramente informati della conseguente installazione dei cookie.
Il requisito del consenso viene meno in presenza di alcune tipologie di cookie che non sono soggette all’obbligo del blocco preventivo (anche se hai comunque l’obbligo di informare gli utenti sull’uso dei cookie, vedi riquadro sottostante).
Le categorie di sono:
* Questa esenzione potrebbe non essere applicabile in tutti i Paesi in quanto dipende dalla specifica normativa locale.
L’esenzione dal requisito del consenso si applica con chiarezza solo ai cookie tecnici che non effettuano tracciamento e che sono strettamente necessari al funzionamento dei servizi richiesti dall’utente.
È il caso ad esempio di un sito e-commerce che consente agli utenti di tenere gli articoli nel carrello per tutta la durata della loro visita. In questo caso i cookie tecnici, necessari per la procedura di acquisto, sono richiesti dall’utente quando quest’ultimo aggiunge un articolo al carrello. È comunque importante notare che si tratta di cookie di sessione, e non di cookie di tracciamento.
Altri esempi di cookie tecnici sono i cookie di sessione utilizzati per rilevare violazioni alle procedure di autenticazione, cookie di load balancing e cookie per player multimediali, e – più in generale – cookie necessari per la fornitura di servizi richiesti dall’utente.
Questo significa che in questi casi non è obbligatorio mostrare un cookie banner?
Fermo restando che dovrai comunque informare l’utente sull’uso dei cookie tramite una cookie policy, il cookie banner non è strettamente necessario se la cookie policy è facilmente raggiungibile da ogni pagina del sito.
In futuro la Direttiva ePrivacy sarà abrogata dal Regolamento ePrivacy che, in quanto tale, opererà di concerto con il GDPR. In ogni caso, è molto probabile che il regolamento confermi disposizioni simili a quelle della direttiva, applicando gran parte delle stesse linee guida.
💡 Per ulteriori informazioni leggi la nostra guida alla Cookie Law.
Istituita in origine nel 1992 e parzialmente aggiornata nel 2019, la LPD disciplina la protezione dei dati in Svizzera. La recente revisione, approvata il 25 settembre 2020 ed entrata in vigore a settembre 2023, integra nuove disposizioni simili al GDPR pur mantenendo i suoi tipici principi svizzeri.
💡 Puoi scoprire maggiori dettagli sulla nuova Legge federale svizzera sulla protezione dei dati qui →
Sebbene esistano numerosi elementi di differenza tra le due leggi, le divergenze più rilevanti includono:
In conclusione, le aziende, soprattutto quelle che operano in o con la Svizzera, devono prendere atto delle nuove disposizioni della LPD. Le piattaforme come iubenda possono aiutare ad assicurare la compliance, anche con una solida privacy e cookie policy. Con la continua evoluzione delle normative internazionali sulla protezione dei dati, per le organizzazioni di tutto il mondo risulta fondamentale essere sempre aggiornate e conformi.
🚀 Scopri come conformarti alla LPD qui →
In genere questi requisiti vengono soddisfatti tramite un documento valido e aggiornato di termini e condizioni (chiamato anche ToS, termini di servizio, termini d’uso, termini di utilizzo o EULA – contratto di licenza per l’utente finale).
Oltre agli obblighi di informazione e agli altri requisiti di cui sopra (nonché in base alla normativa di riferimento), se si gestisce un sito web o un’applicazione mobile di e-commerce, si è inoltre soggetti alle leggi sui diritti dei consumatori e alle altre regole di settore applicabili.
In generale, i soggetti coinvolti nelle transazioni commerciali tra imprese saranno soggetti a tutti i contratti e a tutte le linee guida applicabili a livello nazionale e di settore. Tuttavia, il commercio tra imprese richiede spesso il trattamento di dati personali (siano essi o meno di dipendenti): in tal caso, e se il trattamento rientra nel suo ambito di applicazione, il GDPR ha la precedenza.
Secondo le più comuni leggi sulla tutela dei consumatori, quando si vende è necessario fornire le seguenti informazioni (oltre a quelle normalmente richieste sulla privacy):
Negli Stati Uniti non esiste un’unica legge in materia di resi/rimborsi per gli acquisti effettuati online, in quanto nella maggior parte dei casi tale legge viene attuata a livello di singolo Stato; tuttavia, in base a diverse leggi statali, se ai consumatori non è stata comunicata alcuna informazione su rimborsi o restituzioni prima dell’acquisto, viene automaticamente applicato un diritto esteso di recesso/rimborso. Qualora l’articolo acquistato dovesse rivelarsi difettoso, una garanzia implicita può essere infatti applicata in luogo di una garanzia scritta. Quanto alle garanzie scritte, devono almeno rispettare gli standard di correttezza del settore.
Sebbene i requisiti di informazione sul commercio elettronico rimangano ampiamente applicabili negli Stati Uniti su base locale, in molti casi è prassi comune includere tali informazioni nel documento di Termini e Condizioni; le informazioni sui resi e sui rimborsi sono spesso incluse anche in aree dedicate del sito/app facilmente accessibili dalla pagina di descrizione del prodotto/servizio.
Il diritto dei consumatori dell’UE si applica ai contratti o a altri rapporti giuridici tra consumatori (da un lato) e professionisti, imprese e società dall’altro (B2C). Non si applica ai rapporti B2B (esempio: un supermercato effettua un ordine al suo fornitore di frutta) o C2C (esempio: vendiamo la nostra bici su eBay).
Tra le altre cose, in base al diritto dei consumatori dell’UE, i consumatori hanno il diritto di recesso incondizionato (“periodo di riflessione”) di 14 giorni. Ciò significa che i consumatori possono annullare o recedere dal contratto a distanza (vendite effettuate online, per telefono, per corrispondenza) per qualsiasi o nessun motivo fino a un massimo di 14 giorni dalla ricezione del prodotto (qualora si tratti di merci). Vale la pena notare che 14 giorni è il minimo previsto dalla legge: alcuni paesi o alcuni fornitori possono prevedere un tempo più lungo.
Il diritto di recesso non si applica in tutte le situazioni. Tra le eccezioni più comuni ci sono:
I consumatori che risiedono nel territorio UE sono inoltre tutelati da una garanzia legale di 2 anni sui beni acquistati senza dover sostenere alcun costo aggiuntivo. Anche qui, vale la pena sottolineare che la garanzia di 2 anni è il minimo: in alcuni paesi la durata potrebbe essere superiore.
Queste regole si applicano solitamente a tutte le società che vendono a cittadini europei, ma possono variare per i venditori internazionali a seconda del caso specifico. Si noti però che in alcuni casi recenti i tribunali statunitensi hanno scelto di difendere il diritto applicabile per effetto della normativa europea.
Che differenza c’è tra la restituzione di un prodotto in caso di recesso e la restituzione in caso di garanzia?
| Diritto di recesso | Garanzia legale |
|---|---|
| Valido per 14 giorni dal ricevimento del prodotto o dalla firma del contratto | Valida per 24 mesi dal ricevimento del prodotto |
| Non è necessario avere alcun motivo per esercitare questo diritto – puoi semplicemente cambiare idea | Puoi restituire un prodotto in garanzia perché difettoso o comunque inadatto agli scopi per i quali è stato venduto e acquistato |
| Potresti dover sostenere i costi di restituzione del prodotto (ma deve essere specificato) | Potresti non dover sostenere alcun costo (è “colpa del venditore” se il prodotto è difettoso) |
| Si applica con alcune eccezioni (alcune delle quali sono menzionate sopra) | Si applica sempre ai prodotti, non si applica mai ai servizi |
La normativa europea impone inoltre che i venditori informino i consumatori in merito alla piattaforma ODR tramite un link diretto. L’ODR, o “risoluzione delle dispute online”, è uno strumento che consente ai consumatori europei di presentare facilmente reclami (per quanto riguarda le vendite online) nei confronti di imprese stabilite nel territorio UE. Ciò significa che i requisiti ODR possono essere applicati anche alle imprese statunitensi che hanno una presenza fisica nell’Unione Europea.
Nota: le imprese e i consumatori del Regno Unito non potranno più accedere alla piattaforma ODR in seguito alla Brexit.
Generalmente, siti web privati (o profili privati sui social network, blog, etc.) che hanno finalità puramente personali non sono soggetti a norme aggiuntive. Tuttavia, diversi atti comunitari e nazionali impongono agli operatori commerciali online di divulgare determinate informazioni.
Per essere considerato “commerciale”, non è necessario che tu “venda” qualcosa – un sito web personale può essere facilmente considerato commerciale se, per esempio, genera un notevole traffico e crea così entrate pubblicitarie rilevanti (è il caso degli “influencer”) – tuttavia, se “vendi” prodotti o servizi, aumentano gli obblighi di informare i tuoi utenti.
Se vendi direttamente ai consumatori (B2C), dovrai affrontare ulteriori obblighi che includono ma non si limitano a quelli sopra elencati, come collegarti alla piattaforma per la risoluzione delle dispute online dell’UE, elencare tempi di consegna precisi e fornire informazioni sui prezzi e sulle tasse applicabili, come indicato nella Direttiva 83/2011/UE.
Un indirizzo e-mail è considerato un dato personale. Pertanto, quando si tratta di indirizzi e-mail, si applica la legge sulla privacy. Come già accennato, la maggior parte delle normative richiede di informare gli utenti sui loro diritti, sulle attività di trattamento dei dati e sulle finalità.
Generalmente queste leggi si applicano a qualsiasi servizio rivolto ai residenti di un certo Paese: in pratica possono applicarsi alla tua attività indipendentemente dal fatto che la stessa si basi o meno nel Paese di riferimento. Si tratta di un aspetto ancora più importante se si utilizza un elenco di email acquistate in quanto, in tal caso, potrebbe non essere possibile conoscere il Paese di residenza dei destinatari. Per questo motivo, è sempre consigliabile affrontare le attività di trattamento dei dati nel rispetto delle più severe normative applicabili.
Ai sensi del CAN-SPAM Act, non è necessario raccogliere il consenso prima di aggiungere utenti statunitensi alla propria mailing list o di inviare loro messaggi commerciali; tuttavia, è obbligatorio fornire agli utenti un chiaro meccanismo per revocare il consenso a ricevere ulteriori comunicazioni.
Ai sensi del diritto comunitario (in particolare il GDPR) è obbligatorio ottenere il consenso informato dell’utente prima di sottoscriverlo al servizio. Secondo la normativa UE, l’acquisizione del consenso può essere intesa come un processo in due fasi che comprende informare l’utente e ottenere un consenso verificabile mediante un’azione positiva.
💡 Per ulteriori informazioni, consulta la Guida sull’email marketing e l’invio di newsletter.
Il Children’s Online Privacy Protection Act (COPPA) è una legge federale degli Stati Uniti che è stata introdotta per proteggere al meglio i dati personali e i diritti dei minori di 13 anni. Ai sensi del COPPA, gli operatori di siti web o servizi online che si rivolgono a utenti minori di 13 anni, o che sono effettivamente a conoscenza del fatto che stanno raccogliendo dati personali da parte di minori di 13 anni, devono informare i genitori e ottenere un loro consenso verificabile prima di raccogliere, utilizzare o diffondere tali dati personali, impegnandosi inoltre a proteggere le informazioni relative ai minori.
Un requisito centrale di questa legge è quello di predisporre una privacy policy conforme al COPPA. Per maggiori informazioni, consulta questo articolo dedicato al COPPA (in inglese).
Ai sensi del GDPR, il consenso è una delle basi giuridiche per il trattamento dei dati dei minori. Se si utilizza questa base giuridica per l’elaborazione dei dati di bambini sotto i 13 anni, è necessario ottenere un consenso verificabile da parte di un genitore o tutore a meno che il servizio offerto non sia un servizio di prevenzione o consulenza.
💡 Per ulteriori informazioni sui requisiti legali relativi ai minori leggi qui.
Sebbene non sempre richiesto dalla legge, un documento di Termini e Condizioni – noto anche come T&C, Termini di Servizio (ToS), Termini d’Uso, Termini di Utilizzo o accordo di licenza con l’utente finale (EULA) – è spesso necessario per motivi di praticità e sicurezza. Ti consente di regolare il rapporto contrattuale con i tuoi utenti ed è pertanto essenziale per definire le condizioni d’uso e per proteggersi da potenziali responsabilità.
Il documento di termini e condizioni è essenzialmente un accordo giuridicamente vincolante, e pertanto non solo è importante averne uno, ma è anche necessario assicurarsi che sia conforme ai requisiti di legge. In generale, è necessario applicare delle condizioni contrattuali standard.
Inoltre, ai sensi della maggior parte delle legislazioni, i contratti utilizzati dai commercianti devono essere equi. Ciò significa che il documento deve essere sempre aggiornato rispetto alle normative applicabili, preciso, visibile e comprensibile, in modo tale che gli utenti possano facilmente consultarlo e accettarlo.
L’azione di consenso deve essere eseguita in modo inequivocabile (ad esempio, facendo click su una checkbox con un collegamento visibile al documento prima di poter creare un account o utilizzare il servizio).
Mentre alcuni contenuti potrebbero variare in base alle specifiche caratteristiche della tua attività, i Termini e le Condizioni dovrebbero includere almeno quanto segue:
Anche le applicazioni e i servizi di terza parte devono rispettare la legge. Come ogni organizzazione, anche loro sono esposti al rischio di danni reputazionali e sanzioni in caso di mancato rispetto delle normative. Per questa ragione, è possibile che siano le stesse terze parti a imporre ai siti web e alle app che le utilizzano di rispettare determinati standard normativi.
In generale, è necessario che le organizzazioni che utilizzano i loro servizi predispongano una privacy policy conforme (e una cookie policy in caso di utilizzo di cookie) che riveli tutti i dettagli relativi alla relazione e ai servizi resi.
È possibile che siano le stesse terze parti a imporre ai siti web e alle app che le utilizzano di rispettare determinati standard normativi
Un esempio è Google. Per utilizzare determinati servizi e strumenti (come AdSense, Google Analytics, Google Play Store), Google impone al titolare del sito/app di disporre di una privacy policy completa e aggiornata. Segue un estratto delle condizioni di utilizzo di Google Analytics:
“L’Utente dovrà pubblicare norme sulla privacy che avvisino dell’utilizzo di cookie al fine di raccogliere dati”, e “L’Utente non potrà eludere le funzioni a tutela della privacy (ad es. la disattivazione) che sono parte del Servizio.”
Un altro esempio è quello di Amazon:
Abbiamo esteso l’obbligo di divulgare il nostro rapporto di affiliazione in tutti i casi in cui si fa uso dei contenuti degli Associati.
Di tanto in tanto i requisiti delle terze parti cambiano in risposta a normative nazionali o internazionali. Per evitare l’interruzione del servizio, è spesso necessario che le policy rispondano ai requisiti più recenti.
💡 Leggi di più sui requisiti di Google in questo articolo, qui invece trovi i requisiti di Amazon (in inglese).
Seguono alcune possibili conseguenze per il mancato adeguamento alle normative.
La non conformità con il CalOPPA o con il COPPA può portare i funzionari governativi a intentare causa o a chiedere un risarcimento civile ai danni della tua attività. In questo esempio, ai proprietari del sito web Imbee è stata comminata una multa di 130.000 dollari per aver permesso ai minori di 13 anni di registrarsi senza il consenso dei genitori. Sanzioni simili possono essere comminate in base a altre leggi statali e federali.
L’inosservanza dei requisiti del GDPR può comportare sanzioni fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo (a seconda di quale dei due valori sia il maggiore).
Esistono ulteriori provvedimenti sanzionatori che possono essere adottati nei confronti delle organizzazioni che violano le norme. Tali provvedimenti comprendono (ma non si limitano a) richiami ufficiali (per violazioni avvenute la prima volta) e verifiche periodiche sulla protezione dei dati. Il GDPR conferisce agli utenti il diritto esplicito di presentare un reclamo presso un’autorità di controllo qualora ritengano che il trattamento dei loro dati personali sia stato effettuato in violazione delle disposizioni del regolamento.
Ad esempio, se viene presentata una segnalazione all’autorità in merito a un’istanza di violazione della normativa, l’autorità può scegliere di effettuare una verifica dei processi di trattamento dei dati da parte dell’organizzazione. Qualora si accerti che alcune attività di trattamento siano state svolte in modo illecito, non solo viene comminata una sanzione pecuniaria, ma all’organizzazione può anche essere vietato di fare ulteriore uso dei dati oggetto del reclamo. Ciò significa che se l’uso improprio riguarda, ad esempio, la raccolta di un indirizzo email, l’organizzazione rischia di non poter utilizzare l’intero database di email in suo possesso.
L’inosservanza del diritto dei consumatori o della concorrenza (atti di concorrenza sleale) può anche comportare sanzioni pecuniarie da parte delle autorità competenti (per lo più nazionali).
È un principio generale del diritto civile: qualsiasi danno ingiusto provocato a qualcun altro – a maggior ragione se violando una legge – va risarcito. Sia il GDPR che il CalOPPA conferiscono ai singoli utenti il diritto di chiedere il risarcimento per danni derivanti da una violazione dei loro diritti. Lo stesso ragionamento si applica a qualsiasi altro atto o legge applicabile, come le disposizioni dell’UE in materia di tutela dei consumatori.
Ricorda che la responsabilità per danni si applica in tutti i rapporti: anche un partner commerciale può avere diritto a un risarcimento se hai violato una disposizione di legge. Ad esempio, la vendita di merci contraffatte attraverso una piattaforma partner come Amazon potrebbe portare l’azienda e gli acquirenti a intraprendere un’azione legale contro di te.
Alcuni servizi di terza parte possono rendere la conformità con normative specifiche una parte integrante dei loro termini di utilizzo; la violazione di tali termini può portare in questi casi alla cessazione del servizio o, potenzialmente, a divieti permanenti.
Ecco un esempio tratto dai Termini e Condizioni di Amazon Web Services per quanto riguarda il consenso:
Per qualsiasi Dato di Terza Parte fornito ad AWS, l’Utente dichiara e garantisce di aver ricevuto tutti i consensi necessari per (a) condividere tali Dati di Terza Parte con AWS e i suoi Affiliati e per (b) utilizzare tali Dati di Terza Parte per contattare i relativi soggetti al fine di commercializzare i nostri beni e servizi e il Programma.
Infine, ma forse l’aspetto più importante: in determinate condizioni potrebbero esserci anche delle conseguenze penali. Se, ad esempio, si violano intenzionalmente o si ignorano le disposizioni in materia di protezione dei dati a fini commerciali (ad esempio, si vendono i dati personali delle persone senza informarle) si possono avere gravi conseguenze. Tuttavia, il diritto penale è in gran parte una questione nazionale: condizioni e conseguenze vanno verificate caso per caso.
Noi di iubenda crediamo nell’importanza di un approccio onnicomprensivo alla compliance con la normativa sulla protezione dei dati personali. Monitoriamo le principali normative internazionali e sviluppiamo soluzioni che tengano conto delle disposizioni più severe, offrendo servizi completi e personalizzabili in base alle proprie esigenze. In questo modo, puoi adempiere agli obblighi di legge (indipendentemente dalla posizione dei tuoi utenti), ridurre il rischio di controversie e proteggere i tuoi clienti, consolidando fiducia e credibilità.
Monitoriamo le principali normative internazionali e sviluppiamo soluzioni che tengano conto delle disposizioni più severe, offrendo servizi completi e personalizzabili
Segue un elenco di quanto necessario per adeguarsi.
Come anticipato, gli utenti devono essere informati su come vengono utilizzati i loro dati personali. Per questo motivo, le privacy policy sono richieste per legge quasi ovunque nel mondo. Questo documento legale deve indicare il modo in cui il tuo sito web o la tua app raccoglie, elabora, memorizza, condivide e protegge i dati degli utenti, le finalità del trattamento e i diritti degli utenti a tale riguardo.
Il nostro Generatore di Privacy Policy è alla portata di tutti, disponibile in diverse lingue, progettato da un team di avvocati, personalizzabile e aggiornato automaticamente (in quanto è controllato a distanza dai nostri legali). Ti permette facilmente di creare una privacy policy stupenda, precisa e perfettamente integrata con il tuo sito web o con la tua app. Basta aggiungere con un semplice click una qualsiasi delle tante clausole pre-configurate disponibili o scrivere facilmente le proprie clausole personalizzate.
Hai inoltre la possibilità di includere una cookie policy (necessaria se il tuo sito web o la tua app utilizzano cookie). Le policy sono personalizzate in base alle tue esigenze e vengono gestite da remoto dal nostro team legale.
💡 Scopri di più su come generare una privacy policy.
Poiché l’uso dei cookie comporta sia l’elaborazione dei dati dell’utente che l’installazione di tecnologie di tracciamento, è un fattore di notevole importanza nell’ambito della protezione dei dati personali degli utenti. Per questo motivo, se operi nel territorio dell’Unione Europea o ti rivolgi a utenti europei, devi rispettare la Cookie Law.
Per adeguarsi con la Cookie Law, ci sono 4 aspetti fondamentali da considerare:
La nostra soluzione Privacy Controls and Cookie Solution è conforme alle disposizioni della legge europea sul trattamento mediante cookie. Consente di informare facilmente gli utenti e di ottenerne il consenso, compresa la possibilità di bloccare qualsiasi codice che installa cookie prima di aver raccolto il consenso dell’utente (così come richiesto in molti Paesi UE). È facile da usare, veloce e non richiede investimenti onerosi.
💡 Per ulteriori informazioni, consulta la guida introduttiva a Privacy Controls and Cookie Solution.
Il nostro Generatore di Termini e Condizioni ti permette di creare e gestire facilmente un documento di termini di servizio professionale, personalizzabile grazie ad oltre 100 clausole pre-configurate, disponibile in 10 lingue, redatto da un team legale internazionale e sempre aggiornato rispetto alle principali normative internazionali.
Si tratta di una soluzione potente, accurata e capace di gestire anche gli scenari più complessi.
Caratteristiche principali:
La nostra soluzione è ottimizzata per ogni genere di scenario: dagli e-commerce ai blog e le app, fino ai più complessi marketplace e SaaS.
Iniziare è molto facile: accedi alla tua dashboard, attiva i Termini e Condizioni (è richiesta una licenza Ultra) e inizia la generazione.
💡 Scopri le funzionalità del Generatore di Termini e Condizioni, o leggi la nostra guida alla creazione di un documento di termini d’uso.
Al fine di adeguarsi alle normative sulla privacy, in particolare al GDPR, le organizzazioni devono archiviare una prova del consenso così da poter dimostrare che il consenso è stato validamente raccolto. Tali prove devono includere:
La nostra Consent Solution semplifica questo processo permettendoti di registrare e di gestire facilmente le prove del consenso per ogni tuo utente. La Consent Solution ti aiuta a tracciare ogni aspetto del consenso (inclusi documenti o note legali e moduli di consenso presentati all’utente al momento della raccolta del consenso), nonché le preferenze espresse dall’utente.
Per utilizzarla, attiva semplicemente la Consent Solution ed ottieni la tua chiave API. Procedi quindi alla configurazione via HTTP API o tramite widget JS. Potrai subito recuperare i consensi salvati e tenerli aggiornati.
💡 Scopri le funzionalità della Consent Solution o leggi la guida introduttiva.
Adeguarsi al GDPR nella pratica rappresenta una vera e propria sfida. Ciò è particolarmente vero per la gestione della compliance privacy interna. Per essere conformi, è necessario tenere traccia e descrivere:
La nostra soluzione di Internal Privacy Management ti aiuta a registrare e gestire facilmente tutte le attività di elaborazione dei dati all’interno della tua organizzazione, così da soddisfare tutti i requisiti e da adempiere agli obblighi di legge.
L’Internal Privacy Management consente di creare un registro del trattamento:
Importante: anche se le tue attività di trattamento non rientrano nelle situazioni sopra elencate, i tuoi obblighi di informare gli utenti (articoli 13 e 14) ti impongono di tenere un registro di base contenente i dati da te raccolti, le finalità, tutte le parti coinvolte e il periodo di conservazione dei dati – questo è obbligatorio per tutti.
In più, anche se il GDPR è la ragione principale per cui impegnarsi nella gestione della propria compliance aziendale interna, il nostro strumento non è fatto solo per il GDPR. Può essere infatti utilizzato per la gestione della compliance interna in generale, anche da aziende extra UE che non lavorano con utenti o clienti europei.
💡 Scopri le funzionalità dell’Internal Privacy Management o leggi la nostra guida introduttiva.
Importante: di tanto in tanto i requisiti di legge cambiano o vengono aggiornati. È pertanto necessario assicurarsi che i propri documenti rispondano ai requisiti più recenti. Per questo motivo, iubenda utilizza una funzione di incorporazione e non il semplice copia e incolla. In questo modo, puoi essere certo che i tuoi documenti siano sempre aggiornati grazie alle revisioni continue effettuate da remoto dal nostro team legale.
