iubenda ha sviluppato un sistema che ti consente di applicare diritti diversi ai differenti gruppi di utenti di cui raccogli ed elabori dati personali in qualità di “titolare” (il termine che nel GDPR definisce qualunque soggetto decida sulle finalità e sugli strumenti di trattamento).
In particolare:
💡 Se ti rivolgi a utenti americani, potresti rientrare nell’ambito di applicazione del California Consumer Privacy Act (CCPA). Scopri di più sul CCPA nella nostra guida completa.
Puoi attivare l’opzione “Standard legislativi specifici” per:
Puoi trovare lo switch qui:
Una volta che hai deciso quali diritti offrire a chi, puoi continuare.
In questo caso dovrai applicare uno standard di protezione elevato per tutti i tuoi utenti poiché tutte le attività di trattamento dei dati che esegui sono soggette al GDPR. Questo si estende anche a tutti i tuoi utenti che non sono localizzati nel territorio UE.
In questo caso puoi scegliere di applicare standard di protezione più elevati per tutti i tuoi utenti, oppure garantire particolari diritti solo nel caso in cui il trattamento dati sia soggetto al GDPR. Ricorda che devi applicare degli standard di protezione più elevati quando il trattamento:
Se sei un titolare con sede negli USA, puoi scegliere di garantire diritti di base ai tuoi utenti, come richiesto dalla legge statunitense. Tuttavia, sei tenuto ad applicare standard di protezione più elevati se parte delle attività di elaborazione dei dati consiste nell’offerta di beni o servizi a pagamento e non a utenti localizzati nel territorio UE, oppure nel monitoraggio di comportamenti degli utenti che avvengono sempre nel territorio UE.
L’applicazione di standard di protezione più elevati comporta ulteriori implicazioni, descritte a seguire.
Se raccogli dati personali all’interno dell’UE, sei libero di trasferirli in altri Paesi dell’UE o dello SEE (Spazio Economico Europeo). Tuttavia, se prevedi di trasferire questi dati in altri Paesi, come ad esempio la Svizzera o gli Stati Uniti, è necessario indicare una valida base giuridica che consenta tale trasferimento.
I servizi che potresti integrare nella tua privacy policy sono:
Quando lavori con partner o utilizzi servizi localizzati fuori dall’UE/SEE (ad esempio, Google Analytics), stai trasferendo dati personali fuori dall’UE. Le clausole disponibili nel nostro generatore si basano sulla sede del servizio.
Quando inserisci un servizio personalizzato che non è presente nel nostro generatore, ricordati di indicare qual è la base giuridica per il trasferimento.
Se sei un titolare localizzato fuori dall’UE, trasferisci dati personali degli utenti europei al di fuori dell’UE ogniqualvolta raccogli dati di questi utenti. Assicurati di farlo in virtù di una valida base giuridica per il trasferimento.
Il GDPR prevede una serie di basi giuridiche valide per trasferire dati al di fuori dell’UE. Le più rilevanti sono:
Ogni volta che la Commissione europea ritiene che un paese fuori dall’UE garantisce standard di protezione dei dati paragonabili a quelli dell’UE, emette una decisione di adeguatezza. Se si prevede di trasferire dati in tale paese è sufficiente comunicarlo agli utenti tramite la propria privacy policy.
Ad oggi sono state adottate decisioni di adeguatezza per Andorra, Argentina, Canada (organizzazioni commerciali), Isole Faroe, Guernsey, Israele, Isola di Man, Jersey, Nuova Zelanda, Svizzera, Uruguay e Giappone.
Servizio per aggiungere in questo caso: “Trasferimento di Dati verso paesi che garantiscono standard europei“.
Se il Paese in cui prevedi di esportare i dati non sembra garantire un livello adeguato di protezione, puoi assicurarti che l’importatore di dati (ovvero la società o la persona a cui stai esportando i dati) rispetti regole più rigide. A tal fine, siglerai con lui un contratto che include clausole standard redatte dalla Commissione europea. Nella maggior parte dei casi, utilizzerai le clausole contrattuali standard per i controller con sede in UE che esportano dati a processor con sede altrove.
Anche qui: puoi trasferire dati personali se hai un contratto del genere, ma devi menzionarlo nella tua privacy policy.
Servizio da aggiungere in questo caso: “Trasferimento verso paesi terzi sulla base di clausole contrattuali tipo“.
Infine, se nessuna delle opzioni di cui sopra sembra praticabile, è necessario raccogliere il consenso degli utenti per trasferire i propri dati al di fuori dell’UE. Questo è lo scenario più complicato, perché devi assicurarti che il loro consenso sia – tra altre cose – “informato”. Sai davvero cosa succederà ai dati degli utenti una volta esportati al di fuori dell’UE? Puoi dire che tipo di misure di sicurezza vengono fornite dalla legislazione locale o adottate su iniziativa dell’importatore di dati per garantire la protezione dei dati personali?
Se sei in grado di fornire tali informazioni, puoi chiedere ai tuoi utenti di consentire il trasferimento dei dati personali, ma se non sei in grado di fornirli, fai attenzione: qualsiasi consenso raccolto non sarà considerato “informato” e quindi nullo.
Servizio da aggiungere in questo caso: “Trasferimento verso paesi terzi basato sul consenso“.
Il GDPR menziona un paio di altre opzioni meno rilevanti per trasferire dati al di fuori dell’UE. Se stai basando il tuo trasferimento su una di queste opzioni, dovresti scegliere il servizio “Altra base giuridica per il trasferimento di Dati verso paesi terzi” e specificare eventuali dettagli pertinenti aggiungendo un servizio personalizzato.
Se trasferisci dati personali dalla Svizzera a un altro Paese, devi farlo in base a una delle basi giuridiche riconosciute dalla legislazione svizzera.
Se hai bisogno di maggiori informazioni sulle norme di protezione dei dati a livello federale in Svizzera puoi visitare questa pagina.
Per “profilazione” si intende qualsiasi forma di trattamento automatizzato di dati personali effettuato per valutare particolari aspetti della personalità di una persona fisica, in particolare per analizzarne o prevederne gli effetti sul lavoro, la situazione economica, lo stato di salute, le preferenze, gli interessi, l’affidabilità, il comportamento, l’ubicazione o i movimenti effettuati.
Se profili i tuoi utenti, devi informarli. È pertanto necessario che tu scelga l’apposita clausola disponibile nel Generatore di Privacy Policy.
Il servizio che potresti integrare nella tua privacy policy è:
Se vendi prodotti e tieni traccia delle scelte degli utenti per scopi di marketing, dividendoli in categorie rappresentative, ad esempio per età, sesso, origine geografica etc., li stai profilando.
I processi decisionali automatizzati sono dei processi che consentono di prendere decisioni che possono produrre sugli utenti significativi effetti legali (o simili) in modo completamente automatizzato, senza l’intervento umano. Questi processi possono anche basarsi sulla profilazione (vedi sopra).
Nel caso tu stia implementando dei processi decisionali automatizzati, è necessario informare gli utenti. Per farlo, devi scegliere la relativa clausola disponibile nel Generatore di Privacy Policy. Gli utenti, inoltre, godono di uno specifico diritto di opposizione ai processi decisionali automatizzati, che è specificato in una sezione dedicata della privacy policy generata.
I servizi che potresti integrare nella tua privacy policy sono:
Sei una banca. Per valutare se gli utenti abbiano diritto a ricevere un prestito, chiedi loro di inserire i propri dati personali in un modulo. Grazie ad un algoritmo, tali dati vengono valutati in modo completamente automatico e viene presa una decisione.
Se non raccogli direttamente i dati personali dei tuoi utenti, ma li ottieni da terze parti, è necessario informare gli utenti interessati in merito a tali terzi, oltre che soddisfare tutti gli altri obblighi di informazione. Di conseguenza, è necessario che tu scelga l’apposita clausola disponibile nel Generatore di Privacy Policy.
L’informazione relativa all’acquisizione dei dati da terze parti deve essere comunicata entro un mese dal momento in cui sono stati raccolti i dati. In particolare:
Il servizio che potresti integrare nella tua privacy policy è:
Sei un head hunter e hai trovato un profilo interessante su LinkedIn. Non appena hai contattato il candidato in questione o hai trasferito i suoi dati al potenziale datore di lavoro, e in ogni caso entro un mese da quando hai raccolto i suoi dati personali, devi fornire al candidato tutte le informazioni obbligatorie, compresa l’indicazione di LinkedIn come fonte dei suoi dati.
Se sei un titolare del trattamento dei dati con sede al di fuori del territorio UE, devi nominare come Rappresentante nell’UE una persona fisica o giuridica con sede in uno dei Paesi dell’UE in cui si trovano i tuoi utenti. La nomina deve essere effettuata per iscritto e il rappresentante designato deve essere menzionato nella tua privacy policy.
Di conseguenza, è necessario inserire i dati del rappresentante (nome e recapito) nel campo in cui si trovano i dati della tua società.
In determinate condizioni, è necessario nominare una persona fisica o giuridica quale Responsabile della Protezione dei Dati (Data Protection Officer – DPO) e menzionarla nella privacy policy.
In particolare, è necessario nominare un DPO quando:
Se una delle condizioni di cui sopra è applicabile, è necessario inserire i contatti del DPO nella sezione contenente le informazioni sulla tua società.
Infine, tieni conto che il GDPR consente agli Stati Membri dell’UE di prevedere ulteriori condizioni in base alle quali la nomina del DPO è obbligatoria. Pertanto, verifica se la tua società è soggetta a disposizioni nazionali di uno Stato Membro dell’UE in aggiunta a quelle generali del GDPR, e se tali disposizioni richiedono la nomina di un DPO.