Un’informativa privacy per una concessionaria auto è un testo chiaro e sintetico che spiega quali dati personali vengono raccolti dai clienti e per quali finalità vengono trattati, per esempio vendita, finanziamento, test drive, assistenza post-vendita, adempimenti fiscali e attività di marketing. Descrive la base giuridica del trattamento (consenso, esecuzione del contratto, obblighi legali o legittimo interesse), i possibili destinatari dei dati (case automobilistiche, istituti di credito, assicurazioni, autorità), i tempi di conservazione, le misure di sicurezza adottate e le modalità per esercitare i diritti dell’interessato (accesso, rettifica, cancellazione, opposizione, portabilità), oltre ai contatti del responsabile del trattamento o del DPO. Lo scopo è assicurare trasparenza e conformità alle norme sulla protezione dei dati (GDPR), tutelare i diritti dei clienti e ridurre il rischio legale per la concessionaria, favorendo al contempo la fiducia nel rapporto commerciale.
Come scrivere Informativa privacy per concessionaria auto
L’informativa privacy di una concessionaria auto deve spiegare in modo chiaro e comprensibile chi è il titolare del trattamento, fornendo il nome o la ragione sociale, l’indirizzo completo, i riferimenti per contatto ordinario (telefono, email) e, se presente, la PEC o i dati del responsabile della protezione dei dati (Data Protection Officer), indicando anche eventuale rappresentante nell’Unione europea qualora il titolare sia stabilito fuori UE. Deve richiamare il quadro normativo applicabile, in primis il Regolamento (UE) 2016/679 (GDPR) e la normativa nazionale di recepimento, così da contestualizzare i diritti e gli obblighi. Occorre descrivere con precisione le finalità del trattamento: attività connesse alla vendita e all’assistenza (gestione preventivi, contratti di vendita e noleggio, immatricolazioni e pratiche amministrative), erogazione di servizi post-vendita e garanzie, gestione delle officine e interventi di riparazione, pratiche assicurative e sinistri, pratiche di finanziamento e istruttoria creditizia, gestione di prove su strada e documentazione per il rilascio del veicolo, gestione di programmi di fidelizzazione, comunicazioni commerciali e promozionali e attività di customer care. Devono essere indicate separatamente le finalità che richiedono il consenso esplicito (per esempio marketing via email/SMS o profilazione commerciale) rispetto a quelle fondate su obblighi contrattuali, obblighi di legge o interessi legittimi del titolare.
L’informativa deve dettagliare le categorie di dati raccolti: dati identificativi e anagrafici (nome, cognome, data di nascita, codice fiscale, partita IVA), contatti (indirizzo, email, telefono), dati documentali (carta d’identità, patente di guida), informazioni economico-finanziarie necessarie per il finanziamento (codifiche bancarie, informazioni su reddito e affidabilità), dati relativi al veicolo (numero di telaio/VIN, targa, chilometraggio, dati tecnici), dati relativi alla salute solo se indispensabili per l’adattamento del veicolo o per motivi di sicurezza durante una prova (e in tal caso trattati con ulteriori garanzie e spesso previo consenso), immagini e registrazioni audio/video provenienti da sistemi di videosorveglianza o da foto scattate per documentare danni o stato del veicolo, e dati di telematica/connected car se il veicolo è dotato di sistemi di rilevamento remoto. Deve essere specificato se e quando vengono trattate “categorie particolari” di dati personali e sulla base di quale titolo giuridico e misure di tutela.
L’informativa va a indicare i destinatari o le categorie di destinatari delle informazioni, comprese le società del gruppo, consulenti esterni, istituti di credito, compagnie assicurative, autorità pubbliche, centri di revisione e carrozzerie partner, fornitori di servizi IT e piattaforme cloud che operano come responsabili esterni del trattamento, nonché eventuali servizi di telematica o marketplace. Se sono previste comunicazioni o trasferimenti di dati verso paesi terzi rispetto all’Unione europea, l’informativa deve spiegare la destinazione, gli eventuali livelli di protezione (decisione di adeguatezza, clausole contrattuali standard, binding corporate rules, misure di sicurezza supplementari) e la possibilità di ottenere copia di tali garanzie.
Relativamente al periodo di conservazione, l’informativa deve chiarire i criteri usati per determinare la durata del trattamento, distinguendo i tempi strettamente necessari per l’esecuzione del contratto, i termini imposti da obblighi legali (per esempio documentazione contabile e fiscale per il periodo previsto dalla normativa nazionale, generalmente 10 anni), i termini legati a garanzie commerciali o prescrizioni legali, e i termini per finalità di marketing e profilazione basate sul consenso. Qualora si applichino periodi differenti a seconda della finalità, l’informativa deve fornirne esempi o l’indicazione dei criteri che determinano la durata.
Devono essere elencati i diritti riconosciuti dall’interessato e la modalità con cui possono essere esercitati: diritto di accesso, rettifica, cancellazione, limitazione del trattamento, opposizione, portabilità dei dati e revoca del consenso, con l’indicazione delle modalità pratiche per inviare le richieste (indirizzo email, PEC, posta raccomandata, modulo online) e i tempi di risposta previsti dal GDPR (di norma un mese, prorogabile in casi complessi). L’informativa deve inoltre informare del diritto di proporre reclamo all’autorità di controllo competente (in Italia il Garante per la protezione dei dati personali) e fornire i relativi riferimenti per l’eventuale denuncia.
È essenziale che l’informativa dichiari il fondamento giuridico di ciascun trattamento: l’esecuzione di un contratto o misure precontrattuali, il rispetto di obblighi legali, il consenso dell’interessato, il perseguimento del legittimo interesse del titolare (specificando in cosa consiste tale interesse e come è stato bilanciato con i diritti dell’interessato), o la tutela di interessi vitali. Per le operazioni di marketing diretto via mezzi elettronici va chiarito quando è richiesto il consenso e come l’interessato può rifiutare o revocare tale consenso in modo semplice e gratuito. Se sono effettuate profilazioni o decisioni automatizzate che producono effetti giuridici o comunque incidono significativamente sull’interessato, l’informativa deve descrivere la logica sottostante, la portata e le possibili conseguenze e ricordare il diritto di opporsi a tali trattamenti.
La sicurezza dei dati deve essere descritta in termini generali: misure tecniche e organizzative adottate per proteggere i dati (limitazioni di accesso, cifratura, backup, controlli di accesso fisici e logici, formazione del personale), precisando che i dettagli tecnici non verranno resi pubblici per non compromettere la sicurezza. L’informativa deve anche menzionare l’eventuale ruolo di responsabili esterni del trattamento e la disponibilità, su richiesta, delle categorie di responsabili e dei sub-responsabili, nonché l’esistenza di contratti o clausole che assicurano la conformità al GDPR.
Deve essere spiegato cosa accade se l’interessato non fornisce alcuni dati: quali trattamenti sono necessari per concludere il contratto o adempiere a obblighi di legge e quali informazioni sono invece facoltative, con l’indicazione delle conseguenze pratiche (per esempio impossibilità a fornire il servizio richiesto, rifiuto della pratica di finanziamento o mancata immatricolazione del veicolo). Quando sono presenti sistemi di videosorveglianza o registrazione audio, l’informativa deve richiamare le condizioni di uso, la finalità di sicurezza, la collocazione della segnaletica e i termini di conservazione delle immagini.
Infine, l’informativa deve essere redatta in linguaggio semplice e facilmente accessibile, messa a disposizione al momento della raccolta dei dati (per esempio al contatto commerciale, sul sito web o in sede) e, se necessario, integrata con informative specifiche per canali diversi (sito web, app, sistemi telematici del veicolo). È buona prassi includere riferimenti pratici per esercitare i diritti (esempi di procedura, modulo di richiesta) e aggiornare l’informativa ogni volta che cambiano finalità, categorie di dati trattati, o destinatari, mantenendo una traccia delle versioni e della data di aggiornamento.
Esempio Informativa privacy per concessionaria auto
Titolare del trattamento
Il Titolare del trattamento dei dati personali è _______________. Sede legale: _______________. PEC: _______________. Email: _______________. Tel: _______________.
Persona o ufficio responsabile per l’esercizio dei diritti (DPO o referente privacy)
Responsabile della protezione dei dati (DPO) o referente privacy: _______________. Contatti: email _______________, tel _______________.
Finalità del trattamento e basi giuridiche
I dati personali raccolti saranno trattati per le seguenti finalità:
– Gestione delle richieste di informazioni e preventivi, attività commerciali e conclusione del contratto di compravendita di veicoli; base giuridica: esecuzione del contratto e misure precontrattuali.
– Esecuzione di pratiche di finanziamento, leasing, assicurazione e pratiche amministrative correlate; base giuridica: esecuzione del contratto e obblighi legali.
– Gestione delle attività di assistenza post-vendita, riparazioni, richiamo prodotti e garanzia; base giuridica: esecuzione del contratto e obblighi legali.
– Organizzazione di prove su strada (test drive) e gestione della sicurezza durante le stesse; base giuridica: esecuzione del contratto e interesse legittimo alla sicurezza.
– Adempimenti contabili, amministrativi e fiscali e conservazione dei documenti ai fini legali e fiscali; base giuridica: obbligo legale.
– Prevenzione e investigazione di frodi, abusi e attività illecite; base giuridica: interesse legittimo e adempimenti di legge.
– Marketing diretto (newsletter, promozioni, offerte commerciali) e profilazione a fini promozionali solo previo consenso espresso ove richiesto dalla normativa; base giuridica: consenso dell’interessato o, per comunicazioni non basate su consenso, interesse legittimo (ove applicabile) previa informativa e possibilità di opposizione.
– Gestione di immagini e videosorveglianza per finalità di sicurezza; base giuridica: interesse legittimo alla tutela dei beni e delle persone e/o adempimenti di legge.
Categorie di dati trattati
– Dati identificativi e di contatto (nome, cognome, indirizzo, email, telefono).
– Dati necessari per la gestione del contratto (codice fiscale, partita IVA, recapiti, dati veicolo).
– Dati fiscali e contabili (IBAN, dati per fatturazione, documenti fiscali).
– Dati relativi a pratiche di credito e assicurazione (informazioni finanziarie e creditizie).
– Dati raccolti durante test drive e prove su strada (patente di guida, eventuali dichiarazioni di responsabilità).
– Dati biometrici o immagini/registrazioni di video (sistemi di videosorveglianza); dati fotografici forniti volontariamente.
– Dati rilevati tramite cookie o strumenti analoghi secondo la cookie policy disponibile al link: _______________.
Modalità del trattamento
I trattamenti sono effettuati con strumenti cartacei, informatici e telematici, con logiche strettamente correlate alle finalità indicate e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati. Sono adottate misure tecniche e organizzative adeguate per proteggere i dati personali in conformità al GDPR.
Comunicazione e categorie di destinatari
I dati potranno essere comunicati a:
– Società del gruppo e concessionarie collegate per finalità operative;
– Fornitori di servizi esterni che agiscono in qualità di responsabili del trattamento (es. consulenti, studi legali, società di factoring, banche, assicurazioni, società di trasporto e logistica, officine autorizzate, società informatiche, provider cloud);
– Autorità competenti e soggetti pubblici nei casi previsti dalla legge (es. attività ispettive, obblighi fiscali).
Per l’elenco completo dei responsabili nominati si può richiedere informazioni al Titolare ai contatti sopra indicati.
Trasferimenti di dati verso paesi terzi
I dati potranno essere trasferiti verso Paesi terzi al di fuori dell’UE/SEE solo nei casi previsti e sulla base di adeguate garanzie (decisione di adeguatezza, clausole contrattuali standard, norme vincolanti d’impresa), o quando richiesto da obblighi legali. Specifiche informazioni sulle eventuali garanzie sono disponibili su richiesta al recapito del Titolare: _______________.
Periodo di conservazione
I dati saranno conservati per il tempo strettamente necessario al perseguimento delle finalità per cui sono trattati e conformemente agli obblighi di legge. Indicativamente:
– Dati contabili e fiscali: __ anni (ai fini fiscali e civilistici).
– Documentazione contrattuale di vendita: __ anni.
– Dati relativi a garanzia e assistenza: __ anni.
– Dati per finalità di marketing previo consenso: fino a revoca del consenso (o per il periodo indicato al momento della raccolta) e comunque non oltre __ anni salvo obblighi diversi.
– Registrazioni di videosorveglianza: conservazione per __ giorni, salvo conservazione più lunga se necessario per accertamenti o obblighi di legge.
Per periodi diversi si farà riferimento alle specifiche normative o agli eventuali obblighi contrattuali.
Diritti dell’interessato
L’interessato ha i diritti previsti dagli articoli 15-22 del GDPR, tra cui:
– diritto di accesso ai propri dati personali;
– diritto di rettifica e integrazione;
– diritto alla cancellazione dei dati (“diritto all’oblio”), nei casi previsti;
– diritto alla limitazione del trattamento;
– diritto alla portabilità dei dati, nei casi previsti;
– diritto di opposizione al trattamento per motivi legittimi e al trattamento per finalità di marketing;
– diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;
– diritto di proporre reclamo all’Autorità di controllo (Garante per la protezione dei dati personali).
Modalità per esercitare i diritti
Per esercitare i diritti, l’interessato può inviare richiesta scritta al Titolare ai seguenti recapiti: email _______________, PEC _______________, indirizzo postale _______________. Eventuali moduli o procedure specifiche saranno forniti dal Titolare su richiesta.
Profilazione e decisioni automatizzate
Eventuali trattamenti che comportano profilazione o decisioni automatizzate saranno effettuati solo con il consenso espresso dell’interessato o nei limiti consentiti dalla legge. In caso di utilizzo di processi decisionali automatizzati l’interessato sarà informato delle logiche, dell’importanza e delle conseguenze previste.
Sicurezza dei dati
Il Titolare adotta misure tecniche e organizzative adeguate per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, oltre a procedure per la gestione degli incidenti di sicurezza.
Obbligo di conferire i dati
Il conferimento dei dati per le finalità contrattuali e previste per legge è necessario; il mancato conferimento può rendere impossibile la conclusione o l’esecuzione del contratto o l’erogazione del servizio richiesto. Il conferimento dei dati per finalità di marketing e profilazione è facoltativo; il rifiuto non comporta conseguenze contrattuali.
Videoregistrazioni e segnaletica
L’eventuale ripresa mediante impianti di videosorveglianza è segnalata con apposita cartellonistica informativa ai sensi di legge indicante il Titolare e le finalità. Informazioni dettagliate relative agli impianti sono disponibili su richiesta.
Modifiche dell’informativa
Il Titolare si riserva il diritto di aggiornare la presente informativa. Eventuali modifiche saranno comunicate mediante pubblicazione sul sito web o con altri idonei mezzi. Data di entrata in vigore: _______________.
Contatti per ulteriori informazioni
Per informazioni sulla protezione dei dati personali e per esercitare i diritti, contattare: Titolare _______________, email _______________, PEC _______________, indirizzo postale _______________, telefono _______________.
Autorità di controllo
Per informazioni o per presentare reclamo: Garante per la protezione dei dati personali, www.garanteprivacy.it, PEC: _______________ (se applicabile).