È un testo breve e chiaro che informa chi compila un questionario su come verranno raccolti, usati e protetti i suoi dati personali; serve a garantire trasparenza e a rispettare gli obblighi di legge (come il GDPR), permettendo al soggetto di conoscere il titolare del trattamento, le finalità, la base giuridica, i tempi di conservazione, eventuali comunicazioni a terzi e i diritti esercitabili (accesso, rettifica, cancellazione, opposizione, ecc.). L’informativa aiuta anche a raccogliere un consenso valido quando necessario, a spiegare le conseguenze del mancato conferimento dei dati e a ridurre rischi operativi e legali fornendo indicazioni sulle misure di sicurezza e sui recapiti per chiedere chiarimenti o reclami.
Come scrivere Informativa privacy per questionario
Una informativa privacy per un questionario deve spiegare in modo chiaro e comprensibile chi è il titolare del trattamento, con nome o denominazione sociale, indirizzo e recapiti (incluso l’indirizzo email di contatto) e, se presente, i riferimenti del responsabile della protezione dei dati (DPO). Occorre indicare le finalità specifiche per cui i dati sono raccolti tramite il questionario (per esempio analisi di mercato, ricerca, erogazione di servizi, reclutamento, miglioramento del prodotto) e la base giuridica di ciascuna finalità: se il trattamento si fonda sul consenso dell’interessato, su un obbligo contrattuale o legale, sull’esecuzione di un contratto, o su un interesse legittimo del titolare; quando si invoca l’interesse legittimo bisogna spiegare quale interesse e come viene bilanciato rispetto ai diritti degli interessati. Va chiarito se la compilazione è facoltativa o obbligatoria e quali sono le conseguenze, pratiche o contrattuali, di un eventuale rifiuto a fornire i dati richiesti.
Deve essere descritta la tipologia di dati raccolti attraverso il questionario: dati identificativi (nome, contatti), dati sensibili o giudiziari se presenti (opinioni politiche, dati sulla salute, orientamento sessuale, appartenenza sindacale), dati pseudonimizzati o anonimi e dati derivati, specificando se e in quali casi sono richiesti dati particolari che richiedono trattamenti più cauti e un’esplicita base giuridica aggiuntiva (per le cosiddette categorie particolari di dati). Se i dati non sono raccolti direttamente dall’interessato, l’informativa deve indicare la fonte da cui provengono e, se del caso, il motivo del loro utilizzo.
Occorre indicare i destinatari o le categorie di destinatari dei dati: personale interno con ruolo di trattamento, eventuali responsabili esterni nominati (fornitori di servizi di hosting, piattaforme per survey, società di analisi, spedizioni, conservazione, consulenti), nonché l’eventuale comunicazione a soggetti terzi obbligata per legge. Se i dati sono trasferiti al di fuori dell’Unione europea, l’informativa deve precisare i paesi coinvolti e le garanzie adottate (decisione di adeguatezza della Commissione, clausole contrattuali standard, norme vincolanti d’impresa o altre misure). Vanno segnalati eventuali trasferimenti verso paesi con livelli di protezione diversi e le misure adottate per tutelare i diritti degli interessati.
La durata di conservazione o i criteri utilizzati per determinare tale periodo devono essere esplicitati: il tempo necessario a conseguire le finalità indicate, i termini previsti da obblighi legali o regolamentari, e le eventuali durate differenziate per dati personali diretti, dati pseudonimizzati e dati anonimizzati o aggregati, con indicazione delle regole applicate in caso di conservazione per finalità di ricerca o statistica. È utile spiegare che il consenso può essere revocato in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca, ma che la revoca può limitare la possibilità di usufruire di alcuni servizi.
Devono essere illustrate le misure tecniche e organizzative adottate per la sicurezza dei dati: esempi generali come controllo degli accessi, cifratura dei dati in transito e a riposo, log delle attività, pseudonimizzazione, procedure di backup e processo in caso di violazione dei dati personali (data breach) con indicazione dei tempi e dei modi di comunicazione agli interessati ove previsto. L’informativa dovrebbe altresì chiarire se i dati saranno oggetto di profilazione o di decisioni automatizzate che producono effetti giuridici significativi o che incidono in modo analogo sulla persona; in tal caso occorre descrivere la logica utilizzata, la portata e le conseguenze previste di tali trattamenti, oltre ai diritti specifici dell’interessato rispetto a tali processi.
Devono essere indicate le modalità per esercitare i diritti riconosciuti dalla normativa sulla protezione dei dati: diritto di accesso, rettifica, cancellazione, limitazione del trattamento, opposizione, portabilità dei dati e, se applicabile, diritto di proporre reclamo all’autorità di controllo. L’informativa deve fornire istruzioni pratiche su come esercitare tali diritti (contatti, eventuali modulistiche, tempi di risposta previsti) e precisare che in caso di reclamo l’interessato può rivolgersi all’autorità garante competente, indicando il riferimento nazionale. Se sono previste condizioni particolari per l’esercizio da parte di minori (età minima per il consenso, obbligo di consenso del genitore/tutore), queste devono essere chiaramente specificate.
Infine, è buona prassi rendere l’informativa facilmente accessibile e comprensibile, redatta in linguaggio semplice e non tecnico, includendo, se il questionario è online, informazioni sul trattamento dei cookie e degli strumenti di tracciamento eventualmente usati per rilevare la compilazione e su eventuali terze parti coinvolte (per esempio strumenti di analytics o servizi di invio email). L’informativa dovrebbe precisare se i dati saranno utilizzati anche in forma aggregata o anonimizzata per pubblicazioni, report o studi, e se gli interessati possono ottenere copia dei dati forniti. Per conformità concreta al contesto specifico e alle normative vigenti si raccomanda di adeguare i contenuti con l’aiuto di un consulente legale o del DPO, in modo da includere formulari e clausole adattati alla tipologia del questionario, alla presenza di categorie speciali di dati e alle tecnologie impiegate.
Esempio Informativa privacy per questionario
Titolare del trattamento
Il titolare del trattamento dei dati personali raccolti tramite il questionario è _______________. Sede legale: _______________. Email: _______________. Telefono: _______________.
Responsabile della protezione dei dati (DPO)
Qualora nominato, il Responsabile della protezione dei dati è: _______________. Contatti DPO: email _______________, telefono _______________.
Finalità del trattamento e base giuridica
I dati personali raccolti saranno trattati per le seguenti finalità: _______________ (es. gestione del questionario, analisi statistica, contatto per approfondimenti, ricerca). La base giuridica del trattamento è: _______________ (es. consenso dell’interessato ex art. 6(1)(a) GDPR; esecuzione di obblighi contrattuali o precontrattuali; legittimo interesse del titolare ex art. 6(1)(f) GDPR). Per eventuali trattamenti di categorie particolari di dati (dati “sensibili”), la base giuridica è: _______________ (es. consenso esplicito ex art. 9 GDPR o altra previsione normativa).
Tipologie di dati trattati
I dati trattati possono comprendere: dati identificativi (nome, cognome) _______________, dati di contatto (email, numero di telefono) _______________, risposte al questionario e relative informazioni fornite _______________, dati tecnici e di navigazione (indirizzo IP, dati di log) _______________, altre categorie: _______________. Se vengono raccolti dati sensibili: _______________ (specificare tipologia).
Modalità del trattamento
I trattamenti saranno effettuati con strumenti manuali, informatici e telematici, adottando misure volte a garantire sicurezza, integrità e riservatezza dei dati. Alcune operazioni potranno essere automatizzate; eventuale profilazione/decisione automatizzata: _______________ (specificare se presente).
Conferimento dei dati e conseguenze del rifiuto
Il conferimento dei dati per le finalità indicate è: obbligatorio _______________ / facoltativo _______________. Il mancato conferimento dei dati comporta le seguenti conseguenze: _______________ (es. impossibilità a partecipare al questionario o a fornire servizi richiesti).
Periodo di conservazione
I dati personali saranno conservati per il tempo necessario al conseguimento delle finalità per cui sono trattati e comunque non oltre: _______________ (indicare termini specifici o criteri di retention). Successivamente i dati saranno anonimizzati o cancellati.
Comunicazione e trasferimento dei dati
I dati potranno essere comunicati a categorie di soggetti quali: personale interno appositamente autorizzato _______________, responsabili esterni del trattamento (fornitori e partner) _______________, autorità pubbliche se richiesto per legge _______________. I dati non saranno oggetto di diffusione pubblica senza consenso, salvo diversa indicazione _______________. Se previsto il trasferimento verso paesi terzi/organizzazioni internazionali: paesi/organizzazioni: _______________; adeguate garanzie applicate: _______________ (es. clausole contrattuali standard, decisione di adeguatezza).
Diritti dell’interessato
L’interessato ha, nei limiti e secondo le modalità previste dal GDPR, il diritto di:
– ottenere conferma dell’esistenza di trattamenti che lo riguardano e accesso ai dati personali (art. 15);
– chiedere la rettifica (art. 16) o la cancellazione dei dati (art. 17);
– chiedere la limitazione del trattamento (art. 18);
– opporsi al trattamento per motivi legittimi (art. 21);
– chiedere la portabilità dei dati (art. 20);
– proporre reclamo all’Autorità di controllo competente (Autorità Garante per la protezione dei dati personali): _______________ (contatti dell’Autorità o link), e/o esercitare altri rimedi amministrativi e giudiziari. Per esercitare i diritti, contattare il titolare all’indirizzo email/telefono: _______________. Se nominato, contattare il DPO: _______________.
Misure di sicurezza
Il titolare adotta misure tecniche e organizzative adeguate per proteggere i dati personali da perdita, uso improprio, accesso non autorizzato, divulgazione, alterazione o distruzione. Le misure specifiche sono: _______________ (es. cifratura, controlli di accesso, backup).
Profilazione e processi automatizzati
Se il trattamento comprende attività di profilazione o decisioni automatizzate che producono effetti giuridici o significativi sull’interessato, tali attività saranno descritte e la base giuridica è: _______________. L’interessato ha diritto di ottenere intervento umano, esprimere la propria posizione e contestare la decisione.
Aggiornamento dell’informativa
La presente informativa può essere soggetta ad aggiornamenti. Eventuali modifiche saranno comunicate tramite: _______________ (es. pubblicazione sul sito web, invio email). Data dell’ultima versione: _______________.
Ulteriori informazioni e contatti
Per ulteriori informazioni sul trattamento dei dati personali o per esercitare i diritti, contattare: Titolare: _______________, email: _______________, telefono: _______________. Autorità di controllo competente: _______________ (contatti).