È un testo sintetico e trasparente che accompagna un modulo di raccolta dati per spiegare chi è il titolare del trattamento, quali dati vengono raccolti, per quali finalità e su quale base giuridica vengono trattati. Serve a informare gli interessati dei loro diritti (accesso, rettifica, cancellazione, limitazione, opposizione), dei tempi di conservazione, dei destinatari o eventuali trasferimenti e delle misure di sicurezza adottate, permettendo scelte consapevoli e il consenso quando richiesto. L’informativa garantisce la conformità alle norme sulla protezione dei dati personali, riduce i rischi legali per il responsabile del trattamento e rafforza la fiducia di chi fornisce le informazioni.
Come scrivere Informativa privacy per modello raccolta dati
L’informativa privacy destinata a un modello di raccolta dati deve spiegare in modo chiaro e comprensibile chi è il titolare del trattamento fornendo il nome o ragione sociale, l’indirizzo fisico, un recapito telefonico e un indirizzo e‑mail utili per ogni contatto; se è stato nominato un responsabile della protezione dei dati (DPO), bisogna indicarne i riferimenti. Deve specificare le finalità del trattamento per cui i dati sono raccolti e descrivere le operazioni previste (raccolta, registrazione, conservazione, consultazione, elaborazione, profilazione, comunicazione, ecc.), oltre al presupposto giuridico che legittima ciascuna finalità (ad esempio consenso, esecuzione di un contratto, obbligo legale, interesse legittimo) e, quando il presupposto è l’interesse legittimo, una sintetica motivazione del bilanciamento effettuato che giustifichi tale interesse rispetto ai diritti dell’interessato. Occorre indicare le categorie di dati personali raccolte, distinguendo i dati comuni (nome, contatti, identificativi) dalle eventuali categorie particolari di dati (sensibili o giudiziari) e chiarire se sono previste raccolte di dati relativi a minori, con l’indicazione delle modalità per acquisire il consenso del titolare della responsabilità genitoriale quando necessario. va precisato se i dati saranno oggetto di processi decisionali automatizzati o profilazione, fornendo una descrizione della logica applicata, della portata e delle conseguenze previste per l’interessato, nonché le modalità per esercitare il diritto di non essere sottoposto a tali decisioni automatiche quando previsto.
L’informativa deve indicare i destinatari o le categorie di destinatari dei dati, comprese eventuali società controllate o collegate, fornitori esterni o consulenti incaricati come responsabili del trattamento, nonché la possibilità che i dati siano comunicati a soggetti pubblici per obblighi di legge. Nel caso di trasferimenti verso paesi terzi al di fuori dell’Unione Europea, l’informativa dovrà chiarire se il trasferimento avviene sulla base di una decisione di adeguatezza, di clausole contrattuali standard, di norme vincolanti d’impresa o di altre garanzie, e fornire informazioni sintetiche sulle misure di sicurezza adottate per proteggere i dati durante il trasferimento. Deve essere fornita una indicazione della durata di conservazione dei dati o, se ciò non è possibile, i criteri utilizzati per determinarla, specificando che i dati saranno conservati solo per il tempo necessario al conseguimento delle finalità dichiarate e nel rispetto di eventuali obblighi di legge che impongano periodi minimi di conservazione.
L’informativa deve infine spiegare in modo concreto i diritti riconosciuti all’interessato dal Regolamento UE 2016/679 e dalla normativa nazionale (diritto di accesso, rettifica, cancellazione, limitazione del trattamento, portabilità dei dati, opposizione al trattamento e revoca del consenso senza effetti sulla liceità del trattamento basata sul consenso prima della revoca), le modalità pratiche per esercitarli (indirizzi, modalità di invio della richiesta, eventuale modulistica), i termini entro i quali il titolare risponde e la possibilità, se del caso, di chiedere l’intervento del Garante per la protezione dei dati o di proporre ricorso giurisdizionale. L’informativa dovrebbe inoltre chiarire le conseguenze pratiche per l’interessato qualora non fornisca i dati richiesti (ad esempio l’impossibilità di eseguire un contratto o di fornire determinati servizi), descrivere in termini generali le misure tecniche e organizzative adottate per la sicurezza e la minimizzazione dei dati (pseudonimizzazione, cifratura, controlli di accesso, procedure di backup e gestione delle violazioni) e indicare dove e come l’informativa è resa disponibile, la data di entrata in vigore e la procedura per eventuali aggiornamenti successivi.
Esempio Informativa privacy per modello raccolta dati
Titolare del trattamento
Il titolare del trattamento è _______________ con sede legale in _______________, partita IVA/CF _______________. Recapiti per l’esercizio dei diritti e per comunicazioni relative al trattamento: indirizzo email _______________, numero di telefono _______________, indirizzo postale _______________.
Responsabile della protezione dei dati (DPO)
Responsabile della protezione dei dati (se nominato): _______________. Contatti DPO: email _______________, telefono _______________. In assenza di nomina, rivolgersi al titolare ai recapiti sopra indicati.
Finalità del trattamento e basi giuridiche
I dati personali sono trattati per le seguenti finalità:
– Adempimento di obblighi contrattuali e precontrattuali connessi alla raccolta dati: finalità _______________; base giuridica _______________.
– Gestione delle richieste di informazioni e assistenza: finalità _______________; base giuridica _______________.
– Adempimento di obblighi legali e fiscali: finalità _______________; base giuridica _______________.
– Attività di marketing diretto/promozionale (se previsto): finalità _______________; base giuridica _______________ (es. consenso dell’interessato o interesse legittimo).
– Analisi statistica e miglioramento del servizio: finalità _______________; base giuridica _______________.
– Altre finalità specifiche collegate al modello di raccolta dati: finalità _______________; base giuridica _______________.
Categorie di dati personali trattati
Sono trattati, a seconda della finalità e dell’ambito di raccolta:
– Dati identificativi (nome, cognome, data di nascita): _______________.
– Dati di contatto (indirizzo, email, telefono): _______________.
– Dati fiscali e amministrativi (codice fiscale, partita IVA, dati bancari): _______________.
– Dati relativi al rapporto contrattuale (ordini, comunicazioni, storico): _______________.
– Dati tecnici e di utilizzo (IP, dati di navigazione, cookie): _______________.
– Dati particolari o sensibili (se previsti): _______________. Il trattamento di tali dati avverrà solo previo esplicito consenso o nei casi previsti dalla normativa.
Modalità del trattamento
I dati personali sono trattati con strumenti manuali, informatici e telematici, con logiche strettamente correlate alle finalità indicate e, comunque, in modo da garantire sicurezza e riservatezza. Le operazioni possono comprendere raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, estrazione, selezione, comunicazione, cancellazione e distruzione: specificare strumenti e procedure _______________.
Periodo di conservazione
I dati saranno conservati per il tempo necessario al perseguimento delle finalità indicate e, in particolare:
– Per finalità contrattuali: _______________.
– Per obblighi legali/fiscali: _______________.
– Per finalità di marketing (se applicabile): _______________ (fino a revoca del consenso/opt-out).
– Per finalità statistiche/analitiche: _______________.
Criteri per determinare i periodi di conservazione aggiuntivi: _______________.
Comunicazione dei dati e categorie di destinatari
I dati personali possono essere comunicati, nei limiti necessari e per le finalità indicate, a:
– Soggetti appartenenti alla struttura del titolare delegati al trattamento: _______________.
– Responsabili esterni (es. fornitori di servizi IT, consulenti, fornitori di servizi di pagamento, spedizionieri): _______________.
– Autorità pubbliche in adempimento di obblighi di legge: _______________.
– Altri destinatari specifici: _______________.
I dati non saranno oggetto di diffusione a terzi, salvo quanto previsto dalla normativa o espresso consenso.
Trasferimenti di dati verso Paesi terzi
Nel caso di trasferimento di dati verso Paesi al di fuori dell’Unione Europea, il titolare adotterà idonee garanzie (es. decisione di adeguatezza, clausole contrattuali standard, misure di sicurezza supplementari). Paesi terzi coinvolti: _______________. Misure adottate: _______________.
Diritti dell’interessato
L’interessato ha il diritto di chiedere al titolare:
– Accesso ai propri dati personali: diritto di ottenere conferma dell’esistenza di un trattamento e copia dei dati.
– Rettifica di dati inesatti o integrazione di dati incompleti.
– Cancellazione dei dati (“diritto all’oblio”), nei casi previsti dalla normativa.
– Limitazione del trattamento nei casi previsti.
– Portabilità dei dati, nei casi applicabili.
– Opposizione al trattamento per motivi legittimi o, se applicabile, al trattamento per finalità di marketing diretto.
– Revoca del consenso prestato, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca.
– Proposta di reclamo all’Autorità di controllo: Garante per la protezione dei dati personali (www.garanteprivacy.it).
Modalità per esercitare i diritti: inviare richiesta a _______________ (email/indirizzo/PEC), specificando il diritto da esercitare e i relativi dettagli. Tempi di risposta previsti: _______________.
Conseguenze del mancato conferimento dei dati
Il conferimento dei dati necessari per l’esecuzione del contratto o per adempiere obblighi di legge è obbligatorio. Il mancato conferimento comporta l’impossibilità di procedere con: _______________. Per i dati il cui conferimento si basa sul consenso, il loro mancato conferimento comporta l’impossibilità di fruire delle finalità indicate (es. ricezione comunicazioni promozionali).
Profilazione e decisioni automatizzate
Descrizione di eventuali processi di profilazione o decisioni automatizzate: _______________. Finalità, logiche utilizzate, parametri e conseguenze previste per l’interessato: _______________. Misure adottate per tutelare i diritti e libertà dell’interessato: _______________.
Misure di sicurezza
Il titolare adotta misure tecniche e organizzative adeguate per proteggere i dati personali da accessi non autorizzati, perdita, alterazione o divulgazione non autorizzata. Principali misure: controllo accessi, cifratura, backup, procedure di gestione degli accessi e formazione del personale. Dettagli tecnici e organizzativi: _______________.
Aggiornamento dell’informativa
La presente informativa può essere soggetta ad aggiornamenti. Data dell’ultima revisione: _______________. Eventuali modifiche saranno comunicate tramite _______________ (sito, email, avviso).
Contatti per informazioni e reclami
Per esercitare i diritti o per informazioni relative al trattamento: contattare il titolare ai recapiti indicati sopra o il DPO (se nominato) ai recapiti: _______________. Per reclami è possibile rivolgersi all’Autorità Garante per la protezione dei dati personali: _______________.
Informazioni aggiuntive specifiche per il modello di raccolta dati
Eventuali ulteriori informazioni specifiche relative al contesto della raccolta (es. raccolta tramite moduli online, acquisizione tramite terze parti, consenso per attività particolari): _______________.