L’informativa privacy di un sito web è il documento con cui il titolare del trattamento adempie agli obblighi di trasparenza previsti dagli articoli 13 e 14 del GDPR (Regolamento UE 2016/679). L’art. 13 si applica quando i dati sono raccolti presso l’interessato (un modulo di contatto, una registrazione, un ordine); l’art. 14 quando i dati provengono da terzi (liste, banche dati, fonti pubbliche). In entrambi i casi l’informativa deve indicare, come minimo: l’identità e i contatti del titolare, i dati del responsabile della protezione dei dati (RPD/DPO) se nominato, le finalità e la base giuridica di ciascun trattamento, gli eventuali legittimi interessi perseguiti, i destinatari dei dati, gli eventuali trasferimenti verso Paesi terzi, il periodo di conservazione, i diritti dell’interessato (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione), il diritto di revocare il consenso e quello di proporre reclamo al Garante per la protezione dei dati personali. L’informativa deve essere resa prima o al momento della raccolta, in forma concisa, trasparente e facilmente accessibile, con un linguaggio semplice.
Un’informativa mancante, generica o nascosta è una delle carenze più banali e più sanzionate. Questa guida elenca i contenuti obbligatori, fornisce un fac-simile pronto da adattare, spiega il rapporto con cookie e consenso e segnala gli errori che il Garante contesta con maggiore frequenza.
Contenuti obbligatori: art. 13 e art. 14 a confronto
Gli obblighi informativi cambiano a seconda della fonte dei dati. La tabella riassume gli elementi richiesti.
| Elemento | Art. 13 (dati raccolti presso l’interessato) | Art. 14 (dati raccolti presso terzi) |
|---|---|---|
| Identità e contatti del titolare | Obbligatorio | Obbligatorio |
| Dati di contatto del RPD/DPO (se nominato) | Obbligatorio | Obbligatorio |
| Finalità e base giuridica | Obbligatorio | Obbligatorio |
| Legittimi interessi (se base giuridica) | Obbligatorio | Obbligatorio |
| Categorie di dati trattati | Non richiesto | Obbligatorio |
| Destinatari o categorie di destinatari | Obbligatorio | Obbligatorio |
| Trasferimenti verso Paesi terzi e garanzie | Obbligatorio | Obbligatorio |
| Periodo di conservazione | Obbligatorio | Obbligatorio |
| Diritti dell’interessato | Obbligatorio | Obbligatorio |
| Fonte dei dati | Non applicabile | Obbligatorio |
| Reclamo al Garante | Obbligatorio | Obbligatorio |
| Termine per fornire l’informativa | Al momento della raccolta | Entro un mese, o alla prima comunicazione |
La differenza chiave è che l’art. 14 impone di indicare la fonte da cui provengono i dati e le categorie trattate, e concede un termine per informare l’interessato (di regola entro un mese), perché il contatto non è diretto. In tutti gli altri elementi i due obblighi coincidono.
Il periodo di conservazione e le basi giuridiche
Due voci meritano attenzione perché sono le più trascurate. La prima è il periodo di conservazione: non basta scrivere «per il tempo necessario». Il Garante chiede indicazioni concrete, ancorate a criteri verificabili (durata del rapporto contrattuale, termini di prescrizione, obblighi fiscali decennali). Costruire una politica di conservazione dei dati con limiti chiari è il presupposto per poterla dichiarare nell’informativa.
La seconda è la base giuridica. Ogni finalità deve essere agganciata a una delle sei basi dell’art. 6: consenso, contratto, obbligo legale, interesse vitale, compito di interesse pubblico, legittimo interesse. È un errore ricorrente indicare il consenso come base per tutto: molti trattamenti si fondano sull’esecuzione del contratto o sul legittimo interesse, e usare il consenso in modo improprio espone il trattamento alla revoca. L’informativa deve rispecchiare le basi realmente mappate nel registro delle attività di trattamento: i due documenti devono essere coerenti, perché un’incoerenza tra registro e informativa è il primo indizio che il Garante cerca in sede ispettiva.
Fac-simile di informativa privacy per un sito web
Il modello che segue copre gli elementi minimi dell’art. 13. Va adattato ai trattamenti realmente svolti: non esiste un’informativa valida per tutti, e copiarla senza personalizzarla è essa stessa una violazione.
Informativa sul trattamento dei dati personali (artt. 13 e 14 del Regolamento UE 2016/679)
Titolare del trattamento. [Ragione sociale], con sede in [indirizzo], P. IVA [numero], e-mail [indirizzo], è il titolare del trattamento dei dati personali raccolti tramite questo sito.
Responsabile della protezione dei dati (RPD/DPO). [Se nominato: nome/e-mail del RPD. In caso contrario, omettere la voce.]
Finalità e basi giuridiche. Trattiamo i dati per: (a) rispondere alle richieste inviate tramite il modulo di contatto — base giuridica: esecuzione di misure precontrattuali e legittimo interesse; (b) gestire la registrazione e l’erogazione dei servizi — base giuridica: esecuzione del contratto; © inviare comunicazioni promozionali, previo consenso — base giuridica: consenso; (d) adempiere agli obblighi di legge, fiscali e contabili — base giuridica: obbligo legale.
Categorie di dati. Dati anagrafici e di contatto, dati di navigazione, dati forniti volontariamente dall’interessato.
Destinatari. I dati possono essere comunicati a fornitori che agiscono come responsabili del trattamento (hosting, e-mail, pagamenti), nominati ai sensi dell’art. 28, e alle autorità nei casi previsti dalla legge. I dati non sono oggetto di diffusione.
Trasferimenti extra-UE. [Indicare se e verso quali Paesi, con le garanzie adottate — es. clausole contrattuali tipo. In assenza di trasferimenti, dichiararlo.]
Periodo di conservazione. I dati sono conservati per la durata del rapporto e, successivamente, nei termini di prescrizione e per gli obblighi fiscali (di regola 10 anni). I dati raccolti su base di consenso sono conservati fino alla revoca.
Diritti dell’interessato. L’interessato può esercitare i diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione, e revocare il consenso in qualsiasi momento, scrivendo a [e-mail]. Ha inoltre diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it).
Ultimo aggiornamento: [data].
Il fac-simile è un punto di partenza, non un traguardo. Va integrato con la sezione cookie, con l’eventuale informativa ex art. 14 per i dati acquisiti da terzi e con le indicazioni sulle decisioni automatizzate se presenti.
Rapporto con cookie e consenso
L’informativa generale del sito e la cookie policy sono due documenti distinti ma collegati. I cookie tecnici non richiedono consenso; quelli di profilazione e i tracker di terzi sì, secondo le Linee guida del Garante dell’11 giugno 2021. Il banner dei cookie deve rinviare a una cookie policy dedicata e offrire una scelta reale tra accettare, rifiutare e personalizzare, senza pre-caricare cookie non tecnici. L’informativa privacy generale, invece, copre tutti i trattamenti del sito e va resa accessibile da ogni pagina, tipicamente con un link nel piè di pagina. Tenere separati i due documenti evita l’errore di far dipendere l’intero trattamento dal consenso ai cookie.
Errori più comuni
Il Garante e l’esperienza applicativa segnalano ricorrenti punti deboli. Il primo è l’informativa generica: un testo copiato da un altro sito, che descrive trattamenti inesistenti o omette quelli reali. Il secondo è la base giuridica assente o errata: finalità elencate senza indicare su quale base dell’art. 6 si fondano, o consenso invocato dove basterebbe il contratto. Il terzo è la conservazione indeterminata: la formula «per il tempo necessario» senza criteri verificabili. Il quarto è l’omessa indicazione del RPD quando la nomina è obbligatoria; verificare quando scatta l’obbligo di nomina del RPD/DPO è quindi un passaggio preliminare. Il quinto è la mancanza del riferimento ai diritti, in particolare al diritto di accesso e al reclamo al Garante.
Uno strumento come Legiscope riduce questi rischi generando l’informativa a partire dal registro dei trattamenti effettivamente mappati: le finalità, le basi giuridiche e i termini di conservazione dichiarati all’utente derivano dagli stessi dati usati per l’accountability, così l’informativa resta coerente con ciò che l’organizzazione fa davvero.
Domande frequenti
Qual è la differenza tra informativa ex art. 13 e ex art. 14?
L’art. 13 si applica quando i dati sono raccolti direttamente presso l’interessato, ad esempio con un modulo di contatto o una registrazione: l’informativa va resa al momento della raccolta. L’art. 14 si applica quando i dati provengono da terzi o da fonti pubbliche: in questo caso l’informativa deve indicare anche la fonte dei dati e le categorie trattate, e va fornita entro un termine ragionevole, di regola un mese, oppure alla prima comunicazione con l’interessato.
Posso copiare un’informativa da un altro sito?
No, ed è un errore che espone a sanzione. L’informativa deve descrivere i trattamenti realmente svolti dalla tua organizzazione: finalità, basi giuridiche, destinatari, conservazione e trasferimenti sono specifici. Un’informativa copiata descrive trattamenti che non esistono o ne omette di reali, tradendo proprio l’obbligo di trasparenza che dovrebbe assolvere. Il fac-simile va usato come struttura da adattare, non da riprodurre alla lettera.
Dove va collocata l’informativa privacy sul sito?
L’informativa deve essere facilmente accessibile da ogni pagina, tipicamente tramite un link permanente nel piè di pagina. Nei punti di raccolta (moduli di contatto, registrazione, checkout) va richiamata prima o al momento dell’invio dei dati, con un link diretto. La cookie policy resta un documento separato, collegato al banner. L’accessibilità è essa stessa un requisito dell’art. 12: un’informativa nascosta o difficile da trovare non soddisfa l’obbligo.
Conclusione
Il modello di informativa privacy per un sito web non è un documento da scaricare e incollare, ma la rappresentazione fedele dei trattamenti che l’organizzazione svolge davvero. Gli articoli 13 e 14 del GDPR fissano un elenco preciso di contenuti obbligatori — identità del titolare, RPD, finalità e basi giuridiche, destinatari, trasferimenti, conservazione, diritti e reclamo al Garante — e distinguono il caso dei dati raccolti presso l’interessato da quello dei dati acquisiti da terzi. Il fac-simile proposto copre gli elementi minimi, ma va personalizzato e mantenuto coerente con il registro dei trattamenti e con la cookie policy; per il rapporto di lavoro serve invece un’informativa privacy per i dipendenti dedicata. La regola pratica è netta: un’informativa vale quanto la sua aderenza alla realtà, e l’incoerenza tra ciò che si dichiara e ciò che si fa è la prima cosa che un’ispezione del Garante mette a fuoco.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial