È il documento con cui un’officina informa clienti e fornitori, in modo chiaro e conforme al GDPR, su quali dati personali raccoglie e perché, come li usa, con chi li condivide e per quanto tempo li conserva. Di norma riguarda dati di contatto, targa e caratteristiche del veicolo, storico degli interventi, pagamenti ed eventuale videosorveglianza. Serve a rendere trasparente il trattamento per finalità come preventivi, riparazioni, garanzie e richiami, fatturazione, adempimenti legali e, se previsto, comunicazioni promozionali. Indica le basi giuridiche (esecuzione del contratto, obbligo di legge, legittimo interesse, consenso), le misure di sicurezza e l’eventuale trasferimento dei dati fuori dall’UE. Spiega chi è il titolare, i suoi contatti e come esercitare i diritti dell’interessato, inclusi accesso, rettifica, cancellazione, opposizione, portabilità e reclamo all’autorità. In sintesi tutela le persone e l’officina, evitando usi impropri dei dati e dimostrando conformità normativa.
Come scrivere Informativa privacy officina
Un’informativa privacy per un’officina deve innanzitutto indicare con precisione chi è il titolare del trattamento, con denominazione sociale, indirizzo, partita IVA e i recapiti per contattarlo, compresa un’e-mail dedicata alle richieste privacy. Se è stato nominato un responsabile della protezione dei dati, vanno forniti i suoi contatti. È utile spiegare dove l’informativa è reperibile, per esempio sul banco accettazione, allegata ai preventivi e sul sito web, e in quali momenti viene resa al cliente.
Deve descrivere quali dati personali vengono trattati in relazione ai servizi tipici dell’officina. Oltre ai dati identificativi e di contatto del cliente o del conducente, occorre citare i dati del veicolo come targa, VIN, chilometraggio, cronologia interventi, codici guasto e informazioni diagnostiche, eventuali fotografie dei danni e dei pezzi sostituiti, dati per pagamenti e fatturazione, recapiti per le comunicazioni sullo stato della riparazione, preferenze e cronologia appuntamenti. Se l’officina offre vetture sostitutive, vanno indicati anche i dati della patente, eventuale copia del documento e i dati necessari alla gestione del deposito cauzionale o della franchigia assicurativa. Se nei locali è presente videosorveglianza, occorre segnalare la raccolta di immagini. Se vengono utilizzati canali digitali come sito, app, WhatsApp o altri sistemi di messaggistica, è necessario chiarire quali dati si raccolgono tramite questi strumenti, compresi dati tecnici di navigazione e cookie, rinviando alla cookie policy quando appropriato. Qualora i dati non provengano dall’interessato, ad esempio da compagnie assicurative, costruttori, concessionarie, flotte o società di leasing, è necessario indicare la fonte, le categorie dei dati ricevuti e in quali circostanze avviene tale acquisizione.
L’informativa deve spiegare in modo specifico per quali finalità vengono trattati i dati e su quali basi giuridiche. Le finalità tipiche sono la gestione delle richieste di preventivo e appuntamento, l’erogazione del servizio di diagnosi, manutenzione e riparazione, la gestione di garanzie e campagne di richiamo, l’approvvigionamento di ricambi, l’emissione di documenti fiscali e la contabilità, le comunicazioni operative e l’assistenza al cliente, la gestione di sinistri e rapporti con assicurazioni, la sicurezza dei locali e dei beni, la tutela in sede giudiziale o stragiudiziale. Per queste attività la base giuridica è normalmente l’esecuzione di un contratto o di misure precontrattuali, oppure l’adempimento di obblighi di legge in ambito fiscale, contabile e di sicurezza. Alcuni trattamenti possono fondarsi sul legittimo interesse, ad esempio la prevenzione delle frodi, la videosorveglianza con tempi di conservazione limitati e l’invio di promemoria di manutenzione ai clienti già serviti, fermo restando il diritto di opposizione. Per finalità non strettamente necessarie, come l’invio di comunicazioni promozionali, newsletter o sondaggi di soddisfazione, è opportuno acquisire il consenso, salvo i casi consentiti di “soft spam” via e-mail verso clienti già acquisiti in relazione a servizi analoghi, sempre con possibilità di opt-out. Se si intendono utilizzare cookie di profilazione o strumenti analitici non anonimizzati, è richiesto il consenso attraverso un meccanismo conforme. Se si effettuano processi automatizzati che producono effetti giuridici o incidono significativamente sulla persona, compresa la profilazione, è necessario descriverne la logica, le conseguenze e i diritti dell’interessato, anche se nella pratica di un’officina ciò è poco frequente.
È obbligatorio indicare a chi vengono comunicati i dati, nominando categorie di destinatari come personale interno autorizzato, consulenti contabili e fiscali, fornitori di IT, hosting e cloud, gestori di software di officina e CRM, provider di pagamento, corrieri, produttori e distributori di ricambi, costruttori e concessionarie per garanzie e campagne di richiamo, compagnie di assicurazione e periti per la gestione sinistri, società che forniscono vetture sostitutive o servizi di assistenza stradale, studi legali e autorità competenti su richiesta. Bisogna chiarire se alcuni soggetti agiscono come responsabili del trattamento in base a contratto e se altri sono titolari autonomi. Se vi sono rapporti di contitolarità, ad esempio con una casa madre o una rete autorizzata, va messa a disposizione l’essenza dell’accordo di riparto delle responsabilità. Se i dati vengono trasferiti al di fuori dello Spazio Economico Europeo, l’informativa deve specificare i paesi destinatari, il motivo del trasferimento e le garanzie adottate come decisioni di adeguatezza, clausole contrattuali standard o altri strumenti previsti dalla normativa, indicando come ottenere copia di tali garanzie.
Occorre dettagliare i tempi di conservazione per ciascuna categoria o finalità, o i criteri utilizzati per determinarli. Indicazioni tipiche sono la conservazione dei documenti amministrativo-contabili per i termini di legge, la conservazione della storia degli interventi sul veicolo per il tempo necessario alla gestione del rapporto, delle garanzie e di eventuali contestazioni, la conservazione delle immagini di videosorveglianza per un periodo limitato normalmente compreso tra 24 e 72 ore salvo esigenze di ulteriore conservazione in caso di incidenti o illeciti, e la conservazione dei dati per finalità di marketing fino alla revoca del consenso o all’opposizione o comunque per un periodo massimo specificato di inattività. È utile spiegare i criteri che legano la durata alla vita utile del veicolo, alle prescrizioni di legge e ai termini di garanzia o responsabilità.
L’informativa deve illustrare i diritti dell’interessato, cioè accesso, rettifica, cancellazione, limitazione, portabilità dei dati trattati con strumenti automatizzati su base contrattuale o di consenso, opposizione ai trattamenti basati su legittimo interesse, in particolare al marketing diretto, e revoca del consenso senza pregiudicare la liceità del trattamento svolto prima della revoca. Devono essere spiegate le modalità pratiche per esercitare tali diritti, i tempi di riscontro e la possibilità di presentare un reclamo all’Autorità Garante per la protezione dei dati personali, con i relativi recapiti e sito web. È opportuno specificare quali dati sono necessari per erogare i servizi e quali sono facoltativi, e quali conseguenze comporta l’eventuale mancato conferimento, per esempio l’impossibilità di eseguire la riparazione o di fornire la vettura sostitutiva. Se l’officina interagisce con minori, circostanza in genere rara, vanno chiarite le condizioni di liceità applicabili.
Devono essere descritte in modo sintetico ma chiaro le misure di sicurezza tecniche e organizzative adottate per proteggere i dati, come controlli sugli accessi, procedure di autorizzazione del personale, cifratura e pseudonimizzazione ove adeguato, sistemi di backup e continuità operativa, policy per la conservazione e distruzione sicura dei documenti, protezioni fisiche nei locali e istruzioni per l’uso sicuro degli strumenti di diagnosi e delle piattaforme cloud che contengono dati dei clienti. Se si utilizzano piattaforme di terzi per comunicare con i clienti, è utile precisare che i dati scambiati sono soggetti anche all’informativa dei rispettivi fornitori e invitare l’utente a consultarla.
Qualora vi sia videosorveglianza, l’informativa generale dovrebbe essere coordinata con un’informativa specifica per la videosorveglianza, con cartelli visibili prima dell’area ripresa, indicazione del titolare, delle finalità di sicurezza, dei tempi di conservazione e dei diritti, oltre alle informazioni su come ottenere l’informativa estesa. Se il sito dell’officina utilizza cookie o altre tecnologie di tracciamento, occorre prevedere una cookie policy separata ma coerente con l’informativa generale, spiegare la tipologia di cookie, le finalità, i terzi coinvolti e i meccanismi per gestire il consenso e le preferenze.
Infine, l’informativa deve indicare la data di aggiornamento e il modo in cui verranno comunicate eventuali modifiche sostanziali, specificando che la versione più recente è sempre disponibile presso l’officina e online. Una formulazione chiara, concreta e legata ai processi reali dell’officina rende l’informativa non solo conforme alle norme, ma anche utile per i clienti, che possono comprendere come e perché i loro dati vengono trattati.
Esempio Informativa privacy officina
Ai sensi del Regolamento (UE) 2016/679 (“GDPR”) e della normativa nazionale vigente, la presente informativa descrive le modalità con cui trattiamo i dati personali di clienti, potenziali clienti, fornitori e visitatori delle nostre sedi e dei nostri canali digitali.
Titolare del trattamento e contatti
– Titolare: _______________
– Sede legale: _______________
– Sedi operative/officina: _______________
– P. IVA/C.F.: _______________
– Rappresentante legale: _______________
– E-mail di contatto: _______________
– PEC: _______________
– Telefono: _______________
– Referente privacy/DPO (se nominato): _______________ – E-mail: _______________
Tipologie di dati trattati
– Dati anagrafici e di contatto: nome, cognome, indirizzo, telefono, e-mail, documento di identità (se necessario), ecc.
– Dati veicolo: targa, telaio, marca/modello, anno, chilometraggio, storico interventi, codici diagnostici, immagini del veicolo per documentazione tecnica.
– Dati amministrativo-contabili: estremi di pagamento, IBAN, P. IVA/C.F., dati di fatturazione.
– Dati assicurativi e di pratiche correlate: compagnia, numero polizza, numero sinistro, perizie, deleghe.
– Dati di navigazione e log (se utilizzi i nostri canali online): indirizzi IP, identificativi dispositivo, cookie tecnici e, previo consenso, cookie di profilazione/marketing.
– Videosorveglianza (se presente in sede): immagini registrate.
– Candidature e selezione (se invii un CV): dati contenuti nel curriculum.
– Dati particolari: trattati solo se strettamente necessari e con adeguata base giuridica/consenso (es. certificazioni per pratiche specifiche). In via ordinaria non richiediamo né trattiamo categorie particolari di dati.
Finalità e basi giuridiche del trattamento
– Preventivi, prenotazioni, presa in carico e esecuzione degli interventi di manutenzione e riparazione, gestione garanzie e richiami: esecuzione di misure precontrattuali o del contratto (art. 6.1.b GDPR).
– Adempimenti amministrativi, contabili, fiscali e normativi (es. fatturazione, revisione periodica, pratiche PRA, sicurezza sul lavoro): obbligo di legge (art. 6.1.c GDPR).
– Gestione pratiche assicurative, sinistri, perizie e rapporti con case automobilistiche/mandanti: esecuzione del contratto e obbligo di legge (art. 6.1.b/c GDPR).
– Assistenza clienti e comunicazioni di servizio su interventi, scadenze e richiami: esecuzione del contratto/legittimo interesse (art. 6.1.b/f GDPR).
– Tutela in giudizio e prevenzione abusi/frodi: legittimo interesse (art. 6.1.f GDPR).
– Videosorveglianza per sicurezza di persone e beni: legittimo interesse (art. 6.1.f GDPR) nel rispetto delle Linee guida applicabili.
– Marketing diretto (invio di offerte, promozioni, aggiornamenti) via e-mail/SMS/telefono: consenso (art. 6.1.a GDPR). Per clienti già acquisiti è possibile il c.d. soft spam su prodotti/servizi analoghi, ferma restando la possibilità di opposizione in ogni momento (art. 6.1.f GDPR e art. 130, co. 4 Codice Privacy).
– Profilazione leggera per personalizzare offerte sulla base dello storico interventi: consenso (art. 6.1.a GDPR).
– Navigazione sito e cookie: legittimo interesse per cookie tecnici/di sicurezza; consenso per cookie non tecnici (art. 6.1.a/f GDPR).
– Selezione del personale: misure precontrattuali (art. 6.1.b GDPR).
Modalità del trattamento e misure di sicurezza
– Trattamento su supporti cartacei e informatici, con logica strettamente correlata alle finalità indicate e con misure tecniche e organizzative adeguate a garantire riservatezza, integrità e disponibilità dei dati.
– Accesso consentito solo a personale autorizzato e formato.
– Non effettuiamo decisioni unicamente automatizzate che producano effetti giuridici sull’interessato; eventuale profilazione a fini marketing avviene solo previo consenso e con impatto limitato.
Periodo di conservazione
– Dati contrattuali e di intervento: per la durata del rapporto e, dopo la cessazione, per 10 anni ai fini civilistici/fiscali, salvo ulteriori termini di prescrizione.
– Storico interventi e garanzie/richiami: per la durata della garanzia e per _______________ anni successivi, o per il tempo richiesto da costruttori/mandanti e normativa di settore.
– Preventivi non accettati/prenotazioni non andate a buon fine: _______________ mesi.
– Assistenza clienti e comunicazioni di servizio: _______________ mesi dalla chiusura pratica.
– Dati per pratiche assicurative/sinistri/contenziosi: per tutta la durata della pratica e fino a esaurimento dei termini di prescrizione/decadenza applicabili.
– Dati amministrativo-contabili/fiscali: 10 anni.
– Marketing: fino a revoca del consenso e comunque per un massimo di _______________ mesi; profilazione per un massimo di _______________ mesi.
– Videosorveglianza: _______________ ore, salvo festività o esigenze di ulteriore conservazione in caso di illeciti/indagini.
– Candidature/CV: _______________ mesi, salvo consenso alla conservazione più estesa.
– Cookie: secondo le durate indicate nel banner/informativa cookie.
Conferimento dei dati
– Il conferimento dei dati contrattuali, tecnici del veicolo e amministrativi è necessario per fornire i servizi richiesti e per gli obblighi di legge; il mancato conferimento può impedire l’erogazione del servizio.
– Il conferimento per finalità di marketing e profilazione è facoltativo; il mancato conferimento non pregiudica gli altri servizi.
Destinatari o categorie di destinatari
– Personale interno e collaboratori autorizzati.
– Fornitori di servizi nominati responsabili del trattamento: gestionali di officina/CRM, provider IT e cloud, manutenzione software/hardware, servizi di archiviazione, consulenti contabili/fiscali/legali, call center, servizi di pagamento, società di recupero crediti, servizi di e-mail/SMS marketing: _______________.
– Partner tecnici e operativi: ricambisti, gommisti, carro attrezzi e logistica, centri prova/revisione, laboratori esterni, periti, case automobilistiche/mandanti, reti di assistenza: _______________.
– Compagnie assicurative e intermediari: _______________.
– Istituti di credito e fornitori di pagamento: _______________.
– Pubbliche autorità e organismi di vigilanza, ove richiesto dalla legge o su ordine dell’Autorità.
– I dati non sono oggetto di diffusione al pubblico.
Trasferimenti verso Paesi extra UE/SEE
– Alcuni fornitori potrebbero trattare dati al di fuori dello Spazio Economico Europeo. In tali casi, il trasferimento avviene verso Paesi con decisione di adeguatezza della Commissione europea o sulla base di Clausole Contrattuali Standard e misure supplementari idonee.
– Elenco fornitori e Paesi interessati: _______________. Copia delle garanzie è disponibile su richiesta all’indirizzo _______________.
Provenienza dei dati
– I dati sono raccolti presso l’interessato o possono provenire da terzi autorizzati (es. compagnie assicurative, case automobilistiche/mandanti, flotte/noleggio, intermediari), nel rispetto delle basi giuridiche indicate.
Diritti dell’interessato
– Accesso, rettifica, aggiornamento, integrazione, cancellazione, limitazione, portabilità, opposizione al trattamento, opposizione al marketing (anche soft spam), revoca del consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca.
– Per esercitare i diritti: inviare richiesta a _______________ o PEC _______________. Potremmo richiedere informazioni necessarie a verificare l’identità.
Reclamo all’Autorità di controllo
– È sempre possibile proporre reclamo al Garante per la protezione dei dati personali: www.garanteprivacy.it – Piazza Venezia 11, 00187 Roma – PEC: protocollo@pec.gpdp.it – Centralino: (+39) 06.696771.
Videosorveglianza (se presente)
– Finalità: tutela del patrimonio aziendale, sicurezza di persone e beni, prevenzione di atti illeciti.
– Base giuridica: legittimo interesse del Titolare, bilanciato con i diritti e le libertà degli interessati.
– Aree riprese: _______________. Segnaletica informativa esposta prima dell’area videosorvegliata.
– Conservazione: _______________ ore, estendibile in caso di eventi illeciti o su richiesta dell’Autorità.
– Accesso alle immagini: personale autorizzato e fornitori incaricati; comunicazione alle Autorità competenti in caso di necessità.
Comunicazioni commerciali e preferenze
– È possibile revocare in qualsiasi momento il consenso o opporsi alle comunicazioni marketing utilizzando il link di disiscrizione presente nei messaggi o scrivendo a _______________. L’opposizione produce effetto immediato.
Minori
– I servizi non sono destinati a minori di anni _______________. Non raccogliamo consapevolmente dati di minori; ove necessario, operiamo nel rispetto delle norme sul consenso dei minori.
Aggiornamenti dell’informativa
– Potremo aggiornare la presente informativa per adeguarla a modifiche normative o organizzative. L’ultima versione è sempre disponibile presso i nostri locali e su _______________.
– Data di aggiornamento: _______________
– Versione: _______________