Ico privacy notice guidance: come scrivere un avviso GDPR
- 15 ore fa
- Tempo di lettura: 8 min
Ogni azienda che raccoglie dati personali ha un obbligo preciso: informare gli interessati su come quei dati vengono utilizzati. L'informativa privacy non è un documento da copiare e incollare da un template generico. Richiede attenzione, precisione e conoscenza delle regole. La ico privacy notice guidance rappresenta uno dei riferimenti più completi e strutturati per capire cosa inserire in un'informativa e come redigerla in modo conforme al UK GDPR, con principi largamente applicabili anche al Regolamento europeo.
Nello Studio Legale Coviello affianchiamo imprese e professionisti nella protezione dei dati personali, integrando la consulenza privacy con la nostra esperienza nella tutela della proprietà intellettuale. Sappiamo bene che un'informativa scritta male non è solo un rischio sanzionatorio: è un danno reputazionale che può compromettere la fiducia di clienti e partner commerciali, soprattutto per chi opera su mercati internazionali.
In questa guida analizziamo nel dettaglio le indicazioni dell'ICO, le traduciamo in istruzioni operative e le mettiamo a confronto con i requisiti del GDPR europeo. Troverai indicazioni concrete su quali informazioni includere, come strutturare il documento, quali errori evitare e come adattare l'informativa al tuo specifico contesto aziendale. L'obiettivo è fornirti uno strumento pratico, non un elenco teorico di norme, per redigere un'informativa privacy realmente conforme e utile.
Cosa richiede l'ICO per l'informativa privacy
L'Information Commissioner's Office ha pubblicato linee guida dettagliate su cosa deve contenere un'informativa privacy per essere considerata conforme al UK GDPR. La ico privacy notice guidance identifica un set preciso di informazioni che il titolare del trattamento deve comunicare agli interessati al momento della raccolta dei dati. Non si tratta di indicazioni facoltative: sono requisiti vincolanti, la cui omissione espone l'organizzazione a sanzioni e, soprattutto, a una violazione del principio di trasparenza.
Seguire queste indicazioni significa anche rispettare il principio di liceità, correttezza e trasparenza sancito dall'articolo 5 del Regolamento UE 2016/679. Le due normative sono allineate su questo punto: sia il UK GDPR che il Regolamento europeo impongono che gli interessati ricevano informazioni chiare, complete e comprensibili prima o durante la raccolta dei loro dati personali.
Un'informativa incompleta non diventa conforme aggiungendo clausole generiche: ogni trattamento deve essere descritto in modo specifico e autonomo.
Le informazioni obbligatorie secondo l'ICO
L'ICO distingue le informazioni che devi sempre fornire da quelle aggiuntive, necessarie solo in determinate circostanze. Il nucleo essenziale comprende l'identità e i recapiti del titolare del trattamento, le finalità e le basi giuridiche di ogni trattamento, e la durata di conservazione dei dati. A questo si aggiungono i diritti degli interessati e il diritto di presentare reclamo all'autorità di controllo competente.
Ecco un riepilogo delle informazioni obbligatorie in tutti i casi:
Elemento | Descrizione |
|---|---|
Identità del titolare | Nome, ragione sociale e recapiti del responsabile del trattamento |
Finalità del trattamento | Perché vengono raccolti i dati |
Base giuridica | Consenso, contratto, interesse legittimo, obbligo legale, ecc. |
Destinatari | Chi riceve o può accedere ai dati |
Trasferimenti internazionali | Se i dati vengono trasferiti fuori dal UK o dall'UE |
Periodo di conservazione | Per quanto tempo vengono conservati i dati |
Diritti degli interessati | Accesso, rettifica, cancellazione, portabilità, opposizione |
Reclamo all'autorità | Diritto di rivolgersi all'ICO o al Garante competente |
Quando fornire l'informativa
Il momento in cui consegni l'informativa è determinante quanto il suo contenuto. Se raccogli dati direttamente dall'interessato, devi fornire l'informativa al momento della raccolta, o comunque prima che avvenga. Se invece i dati provengono da fonti terze, hai al massimo un mese di tempo per informare l'interessato, salvo che comunicare queste informazioni risulti impossibile o richieda uno sforzo sproporzionato.
Rispettare questi tempi non è solo un adempimento formale. Dimostra che la tua organizzazione tratta i dati con attenzione e rispetto verso le persone, un elemento che rafforza la fiducia di clienti e partner e riduce concretamente il rischio di contestazioni future.
Passo 1. Mappa i trattamenti e le basi giuridiche
Prima di scrivere una sola parola dell'informativa, devi avere una mappa completa dei trattamenti che la tua organizzazione effettua. La ico privacy notice guidance è chiara su questo punto: non puoi descrivere correttamente finalità e basi giuridiche se prima non hai identificato ogni singolo flusso di dati. Questo lavoro preparatorio è il fondamento di un'informativa solida e verificabile da parte dell'autorità di controllo.
Come individuare ogni trattamento
Parti da ogni punto di contatto in cui raccogli dati: moduli di contatto, iscrizioni a newsletter, acquisti online, contratti con fornitori, candidature di lavoro. Per ciascuno, documenta cosa raccogli, perché lo raccogli, chi ci accede e dove finiscono i dati.
Un registro dei trattamenti aggiornato ti permette di costruire un'informativa coerente e di dimostrare la conformità in caso di ispezione da parte del Garante.
Costruisci una tabella di mappatura interna con: categoria di dati, finalità del trattamento, sistemi usati per la conservazione e destinatari interni o esterni. Questo strumento non ti serve solo per l'informativa: è la base del registro delle attività di trattamento obbligatorio ai sensi dell'articolo 30 del GDPR.
Abbina la base giuridica corretta
Ogni trattamento deve avere una sola base giuridica, identificata prima che l'attività inizi. L'ICO individua sei basi possibili: consenso, esecuzione di un contratto, obbligo legale, interesse vitale, compito di interesse pubblico e interesse legittimo. Scegliere la base sbagliata non si corregge aggiungendo un consenso retroattivo: il trattamento diventa illecito dalla sua origine.
Ecco le basi giuridiche più comuni per un'impresa:
Base giuridica | Esempio tipico |
|---|---|
Consenso | Newsletter marketing |
Esecuzione contratto | Gestione ordini clienti |
Obbligo legale | Conservazione fatture |
Interesse legittimo | Sicurezza dei sistemi informatici |
Passo 2. Scrivi l'informativa in modo trasparente
Avere tutti i trattamenti mappati e le basi giuridiche identificate non basta: devi trasformare queste informazioni in un testo comprensibile per chiunque, non solo per un giurista. La ico privacy notice guidance sottolinea che la trasparenza non è una questione di lunghezza del documento, ma di chiarezza del linguaggio. Un'informativa piena di riferimenti normativi e termini tecnici non comunica davvero: crea confusione e mina la fiducia degli interessati fin dal primo contatto.
La semplicità del linguaggio non riduce la validità giuridica del documento: al contrario, un testo chiaro dimostra che il titolare ha compreso davvero i propri obblighi.
Usa un linguaggio semplice e diretto
Il primo errore che molte aziende commettono è copiare formulazioni legali complesse da altri documenti. Invece, scrivi frasi brevi, usa verbi attivi e spiega ogni concetto con parole concrete. Evita espressioni come "in ottemperanza alle disposizioni vigenti": sostituiscile con spiegazioni dirette come "conserviamo i tuoi dati per tre anni perché la legge lo richiede".
Segui queste regole pratiche per ogni paragrafo dell'informativa:
Usa il soggetto esplicito ("Raccogliamo", "Condividiamo i dati con")
Evita le costruzioni passive e le doppie negazioni
Definisci i termini tecnici la prima volta che li usi
Scrivi frasi di massimo 20-25 parole dove possibile
Struttura il testo in sezioni riconoscibili
Un'informativa lunga e indivisa è difficile da leggere e da verificare. Suddividi il documento in sezioni con titoli chiari, così l'interessato trova rapidamente le informazioni che cerca. Una struttura logica standard include: finalità, basi giuridiche, destinatari, trasferimenti, conservazione, diritti e contatti.
Ecco un modello di struttura base che puoi adattare:
Sezione | Contenuto |
|---|---|
Chi siamo | Identità e recapiti del titolare |
Perché raccogliamo i tuoi dati | Finalità e basi giuridiche |
Con chi li condividiamo | Destinatari interni ed esterni |
Per quanto tempo li conserviamo | Periodo di retention |
I tuoi diritti | Accesso, rettifica, cancellazione, portabilità |
Come contattarci | Email, indirizzo, DPO se presente |
Passo 3. Adatta testi e canali di raccolta dati
Un'informativa privacy non funziona come documento unico per tutti i contesti. La ico privacy notice guidance indica che il formato e il contenuto del testo devono adattarsi al canale attraverso cui raccogli i dati. Un modulo sul sito web, un contratto cartaceo con un cliente e un'app mobile richiedono approcci diversi, non solo nella lunghezza del documento, ma nella modalità di presentazione e nel livello di dettaglio visibile all'interessato.
Adattare l'informativa al canale non significa ridurre le informazioni obbligatorie: significa presentarle nel modo più accessibile per quel contesto specifico.
Personalizza l'informativa per ogni canale
Ogni punto di raccolta ha caratteristiche proprie che condizionano come l'utente legge e interagisce con il testo. Per un modulo di contatto web, usa un formato stratificato (layered notice): una versione breve con le informazioni essenziali visibile direttamente sotto il campo di invio, e un link alla versione completa. Per un contratto cartaceo, includi l'informativa come allegato firmato dal cliente, così hai prova documentata della consegna.
Ecco come adattare il formato ai principali canali:
Canale | Formato consigliato | Elemento chiave |
|---|---|---|
Sito web / form online | Layered notice con link completo | Visibile prima del tasto "invia" |
App mobile | Pop-up iniziale + sezione impostazioni | Accessibile in qualsiasi momento |
Contratto cartaceo | Allegato firmato | Prova dell'avvenuta consegna |
Email marketing | Footer con link all'informativa | Link funzionante e aggiornato |
Verifica la coerenza tra canali
Quando usi più canali di raccolta, rischi di avere versioni dell'informativa che si contraddicono tra loro. Ogni modifica apportata a un trattamento deve essere aggiornata in tutti i punti di contatto dove quella finalità viene comunicata. Controlla che il linguaggio usato nei testi brevi corrisponda esattamente a quello dell'informativa completa. Un'incoerenza tra il form di iscrizione e il documento principale crea confusione nell'interessato e può sollevare contestazioni durante un'ispezione da parte dell'autorità di controllo.
Checklist finale e errori da evitare
Arrivato a questo punto, hai tutti gli elementi per costruire un'informativa solida. Prima di pubblicarla, però, è utile fare un controllo sistematico con una checklist operativa. La ico privacy notice guidance ti offre un quadro di riferimento preciso, ma è facile perdere di vista qualche dettaglio durante la redazione. Usare una lista di controllo strutturata riduce il rischio di omissioni e ti permette di verificare ogni sezione in modo rapido e affidabile.
Checklist operativa per l'informativa
Usa questa checklist prima di ogni pubblicazione o aggiornamento del documento. Ogni punto corrisponde a un requisito concreto che l'autorità di controllo può verificare durante un'ispezione.
Identità e recapiti del titolare del trattamento presenti
Finalità di ogni trattamento descritte in modo specifico
Base giuridica indicata per ciascuna finalità
Destinatari dei dati elencati (anche per categorie)
Trasferimenti internazionali segnalati con le garanzie adottate
Periodo di conservazione specificato per ogni categoria di dati
Diritti degli interessati descritti con le modalità di esercizio
Recapito per inviare richieste (email o modulo dedicato)
Diritto di reclamo all'autorità di controllo indicato
Linguaggio semplice, frasi brevi, nessun termine tecnico non spiegato
Informativa accessibile su tutti i canali di raccolta attivi
Errori frequenti da non commettere
Il primo errore che devi evitare è usare una base giuridica generica come il consenso per tutti i trattamenti, anche quelli che troverebbero fondamento nell'esecuzione di un contratto o in un obbligo legale. Questo non semplifica il documento: lo rende giuridicamente vulnerabile e confonde l'interessato sui propri diritti reali.
Non aggiornare l'informativa dopo aver introdotto un nuovo trattamento è una delle violazioni più comuni rilevate dalle autorità di controllo.
Un secondo errore frequente è dimenticare di sincronizzare tutte le versioni dell'informativa, soprattutto quando gestisci più canali di raccolta. Se modifichi una finalità nel contratto cartaceo ma non nel form online, crei un'incoerenza documentale che può sollevare contestazioni formali durante qualsiasi verifica esterna.
Prima di pubblicare: ultimi controlli
Hai completato la redazione dell'informativa, mappato i trattamenti e adattato il testo a ogni canale. Prima di pubblicare, rileggi il documento come se fossi un interessato che lo vede per la prima volta: le informazioni essenziali sono facili da trovare? Ogni finalità ha una base giuridica chiaramente indicata? Se la risposta è sì, il documento rispetta i principi della ico privacy notice guidance e delle norme europee.
Ricorda che un'informativa non è un documento statico. Ogni volta che introduci un nuovo trattamento, cambi fornitore o aggiorni i tempi di conservazione, devi aggiornare l'informativa e tutte le versioni attive sui canali di raccolta. Impostati un promemoria periodico, almeno ogni sei mesi, per verificare che il documento rispecchi la realtà operativa della tua organizzazione.
Se vuoi un supporto esperto nella redazione o nella revisione della tua informativa privacy, contatta lo Studio Legale Coviello per una consulenza personalizzata.
Commenti