Come scrivere una Privacy Policy (le maiuscole son prassi ma non so perché) del sito web?
Bene: ci sono ben poche certezze nella vita ma una di queste è che la maggior parte delle Privacy Policy che troviamo nei siti web sono concepite in modo così profondamente errato da meritare di essere elevate ad esempio negativo. E dal momento che a scrivere così male delle informative bisogna proprio mettercisi d’impegno, rendiamo loro il giusto onore. Ed estraiamo alcune cose da non fare assolutamente per essere in grado di rendere le informazioni agli interessati in quel modo chiaro, semplice, accessibile richiesto dal GDPR.
La Privacy Policy o informativa privacy è quella roba lì che ci chiede il GDPR per dire come trattiamo i dati personali. Sì, una di quelle scritte che spesso si aprono con una formuletta del tipo “La tua privacy ci sta a cuore”. Spesso erroneamente ci si illude che questo sia l’unico adempimento richiesto dalla norma. Spoiler: anche se si ha un sito web, un blog, o una piccola attività (molto comune l’esempio del pizzicarolo), occorre avere un registro dei trattamenti, valutare la sicurezza dei dati, saper gestire i data breach ed essere in grado di rispondere alle richieste degli interessati.
E se i parrucconi impomatati ci terrebbero ora a suggerirmi una piroetta retorica parlando di legal design, o dark pattern, badiamo più alla concretezza e un po’ meno ai sogni di tramezzini e aperitivi dei convegni. E ricordiamoci che è tutta una questione trasparenza informativa: facile a dirsi, non troppo difficile a farsi. Insomma: si deve scrivere in modo chiaro e comprensibile. E bisogna tenere conto che il destinatario della nostra comunicazione è l’utente del sito e dei servizi che vengono offerti e che non è tenuto ad avere un PhD in data protection per comprendere quali dati personali sono raccolti, che tipo di operazioni vengono svolte e in che modo le andiamo a svolgere. Roger?
Come scrivere (veramente) male una Privacy Policy
Ed ecco la Hall of Shame con gli spunti peggiori offerti dalle informative più vergognose che fino ad oggi ho potuto trovare navigando nel web. Tranquilli: la lista si aggiornerà, that’s not all folks!
Non dire quali dati sono trattati. Insomma: rendiamo più esoterico che mai il trattamento quasi a renderlo paragonabile con quel “movimento magico da kether a malkuth” che cantava il Duca Bianco.
Inserire tutte le basi giuridiche. Ma proprio tutte, copiando l’art. 6 GDPR. Senza far capire a quali finalità si riferiscono. Nel mucchio quella giusta ci starà, facciamo gamification con l’interessato e lasciamo che sia lui a scoprire quale.
Utilizzare formule vaghe. Che siano quelle per definire la conservazione dei dati, i destinatari o peggio ancora le finalità. Fare un esercizio di parafrasi che non è in grado di aggiungere nessuna – ma proprio nessuna! – informazione utile per gli interessati è uno sforzo notevole. Roba da studiati.
Chiedere il consenso. Nel dubbio: chiederlo sempre. Ancor meglio: chiamarlo autorizzazione, illudendosi di avere una sorte di indulgenza plenaria per qualsiasi tipo di operazione che si va a svolgere sui dati. Insomma: dopotutto ce l’ha detto l’interessato, che colpa possiamo avere noi?
E allora come si fa?
Opzione 1: il fai-da-te o bricolage della privacy. Si prendono gli articoli 13 e 14 GDPR, si leggono bene e si scopre che già contengono le istruzioni per l’uso per la compilazione della nostra informativa o privacy policy. Se c’è qualche dubbio sulle definizioni si legge l’articolo 4 GDPR. E i considerando. Ecco che si può fare una Privacy Policy fatta in casa. Mi raccomando: leggerla, semplificarla e non avere mai timore di utilizzare un linguaggio semplice o ricorrere ad una tabella o un elenco in cui vengono elencate le attività svolte e tutte le informazioni relative a ciascuna di esse.
Opzione 2: ci si rivolge ad un professionista. Il quale spesso saprà sorprendere alla pari di un novello Amleto della data protection nel confrontarsi con un Orazio titolare del trattamento. Ma anziché dire “Ci sono più cose in cielo e in terra, Orazio, di quante ne sogni la tua filosofia“, farà scoprire ed indicherà una serie di adempimenti ulteriori rispetto alla sola scrittura di una privacy policy. Suggerimento: chiedetegli sempre perchè si debba fare qualcosa, indicando il riferimento normativo e in questo modo capirete se è un bravo consulente. Challenge me.
Suggerimento: per rendere la Privacy Policy disponibile da ogni pagina del sito web (che male non fa…) si può inserire il link nell’header o nel footer. Teniamo a mente che un valido criterio di riferimento è renderla raggiungibile entro 2 clic.
