Informativa privacy: cosa deve contenere e quando è obbligatoria

Cos'è l'informativa privacy, chi deve fornirla e quando, cosa deve contenere (art. 13 GDPR), come si scrive in modo chiaro, le differenze con privacy policy e consenso, quando non è necessaria e le sanzioni per chi la omette.
In breve — L’informativa privacy è il documento con cui il titolare del trattamento spiega alle persone, prima di raccogliere i loro dati, che cosa intende farne: chi è, perché li raccoglie, su quale base, per quanto tempo li conserva e quali diritti hanno gli interessati (artt. 13-14 del GDPR). Va fornita al momento della raccolta (o entro un mese, se i dati arrivano da terzi), con un linguaggio semplice e chiaro. Non richiede firma né consenso: è un obbligo di trasparenza che vale per chiunque tratti dati personali — l’azienda, il professionista, il Comune. Ometterla, o usarne una copiata e generica, espone alle sanzioni più alte del GDPR: fino a 20 milioni di euro o al 4% del fatturato.
1. Che cos’è l’informativa privacy
L’informativa privacy è il documento con cui il titolare del trattamento spiega alle persone che cosa farà dei loro dati personali, prima di raccoglierli. Infatti, secondo il GDPR, chi sta per lasciare i propri dati — a un sito, a un’azienda, a uno sportello comunale — ha diritto di sapere in anticipo chi li tratterà, per quale scopo, per quanto tempo e con quali diritti.
La norma · Art. 13 GDPR
In caso di raccolta presso l'interessato di dati che lo riguardano, il titolare del trattamento fornisce all'interessato, nel momento in cui i dati personali sono ottenuti, le informazioni sul trattamento: identità e contatti del titolare (e del DPO), finalità e base giuridica, destinatari, periodo di conservazione, diritti dell'interessato e diritto di reclamo al Garante.
Un’informativa scritta bene, del resto, non è solo un adempimento: è il modo più diretto con cui un’organizzazione mostra di trattare i dati con serietà. Sul piano giuridico, un trattamento avviato senza informativa è un trattamento non trasparente, e quindi illegittimo — a prescindere dalla bontà delle finalità; ed è il primo documento che il Garante verifica in un controllo.
2. Chi deve fornirla (e chi la redige)
L’obbligo grava sul titolare del trattamento: chiunque raccolga e usi dati personali per una propria finalità. Non riguarda quindi solo le grandi aziende, ma tutti i soggetti che, nell’esercizio della propria attività professionale, commerciale o istituzionale, raccolgono dati personali: l’impresa con un sito web, il professionista che riceve i clienti, il negozio con la carta fedeltà, l’associazione con i suoi iscritti, il Comune per i propri servizi.
Quanto alla redazione: la scrive il titolare, di regola con il supporto di un consulente che conosca i trattamenti concreti dell’organizzazione. Il punto importante è che l’informativa deve rispecchiare la realtà: descrivere i trattamenti che avvengono davvero, non quelli di un modello standard. Un’informativa che promette ciò che l’organizzazione non fa — o tace ciò che fa — è essa stessa una violazione.
3. Quando va consegnata
Individuato chi deve fornirla, la domanda successiva è quando. Il GDPR non lascia margini di improvvisazione: il momento della consegna è fissato dalla norma, e dipende da dove arrivano i dati. La distinzione è netta:
- quando i dati vengono raccolti direttamente dall’interessato — ad esempio attraverso il modulo compilato, l’iscrizione al sito, il contratto firmato — l’informativa va fornita nel momento stesso della raccolta, prima che i dati vengano conferiti (art. 13);
- quando i dati vengono raccolti non direttamente dall’interessato — ad esempio attraverso liste di terzi, banche dati o altri titolari — l’informativa va fornita entro un termine ragionevole, e al massimo entro un mese dall’ottenimento; oppure al primo contatto con l’interessato, o prima di comunicare i dati ad altri, se questi momenti arrivano prima (art. 14).
La regola pratica è semplice: prima si informa, poi si raccolgono i dati. Un’informativa consegnata dopo — quando i dati sono già stati acquisiti e magari utilizzati — non sana nulla: la trasparenza, per il GDPR, deve venire prima dell’uso, non rincorrerlo.
4. Quando è obbligatoria — e quando non è necessaria
La risposta breve: l’informativa è obbligatoria ogni volta che si trattano dati personali. Non esiste un trattamento “troppo piccolo”: anche il modulo di contatto di un sito o l’elenco clienti di una bottega la richiedono.
Ci sono però eccezioni precise. La prima sta a monte: il GDPR non si applica affatto ai trattamenti effettuati da una persona fisica per finalità esclusivamente personali o domestiche (art. 2, par. 2, lett. c) — la rubrica dei contatti, le foto di famiglia, la lista degli invitati: lì l’informativa non serve perché non serve il GDPR.
La seconda è l’ipotesi in cui l’interessato dispone già delle informazioni (art. 13, par. 4): se il cliente ha ricevuto l’informativa alla prima raccolta, non occorre ripetergliela a ogni nuovo modulo, salvo che il trattamento cambi. Per i dati ottenuti da terzi (art. 14, par. 5) si aggiungono i casi in cui informare risulti impossibile o sproporzionato, o l’ottenimento sia previsto dalla legge.
Sono eccezioni da maneggiare con prudenza: chi le invoca deve poterlo dimostrare — e nel dubbio, fornire l’informativa resta la scelta più sicura.
5. Cosa deve contenere
Il contenuto non è libero: l’art. 13 elenca le informazioni che non possono mancare, e si tratta di contenuti essenziali — non di suggerimenti. Il Garante ha sanzionato ripetutamente informative carenti anche di un solo elemento: una voce omessa, o scritta in modo vago, basta a rendere l’intero documento inidoneo.
La checklist dell'informativa · art. 13 GDPR
l'identità e i contatti del titolare (e del rappresentante, se nominato);
i contatti del DPO, dove esiste;
le finalità del trattamento e la relativa base giuridica (compreso il legittimo interesse, se è quello il fondamento);
i destinatari o le categorie di destinatari dei dati;
l'eventuale trasferimento verso Paesi extra-UE e le garanzie adottate;
il periodo di conservazione dei dati, o i criteri per determinarlo;
i diritti dell'interessato: accesso, rettifica, cancellazione, limitazione, portabilità, opposizione;
il diritto di revocare il consenso in ogni momento, quando il trattamento vi si fonda;
il diritto di reclamo al Garante;
se il conferimento dei dati è un obbligo o una facoltà, e le conseguenze del rifiuto;
l'esistenza di processi decisionali automatizzati, compresa la profilazione, con la logica utilizzata.
Due elementi meritano una sottolineatura, perché sono i più spesso omessi — e i più sanzionati. Il primo sono i tempi di conservazione: il Garante ha sanzionato aziende che si limitavano a scrivere che i dati sarebbero stati conservati “per il tempo strettamente necessario”, ritenendo la formula indeterminata e quindi non trasparente — servono termini precisi, o almeno criteri oggettivi e verificabili. Il secondo è la base giuridica per ciascuna finalità: un’informativa che elenca dieci finalità appoggiate genericamente “al consenso e al legittimo interesse” non supera un controllo.
6. Come si scrive: chiara, semplice, a misura di lettore
È la domanda più cercata in assoluto, e la risposta sta nell’art. 12: l’informativa va resa in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Il destinatario non è un giurista: è il cliente, l’utente, il cittadino.
In pratica questo significa: frasi brevi, niente rinvii normativi a raffica, una struttura che segua le domande naturali del lettore (chi siete? cosa fate dei miei dati? per quanto? quali diritti ho?). Per i trattamenti complessi funziona l’approccio a livelli, lo stesso che il GDPR suggerisce per la videosorveglianza: un primo livello sintetico con le informazioni essenziali e un secondo livello completo, raggiungibile con un link o un QR code.
E un’avvertenza: l’informativa va tenuta aggiornata. Ogni nuovo trattamento — un CRM, una newsletter, un fornitore cloud — deve trovare posto nel documento; un’informativa ferma a cinque anni fa descrive un’organizzazione che non esiste più.
7. Informativa, privacy policy e consenso: le differenze
Tre termini che si confondono di continuo, e che conviene mettere in fila.
L’informativa e la privacy policy sono, in sostanza, la stessa cosa: la privacy policy è semplicemente l’informativa del sito web — il documento pubblicato online che descrive i trattamenti effettuati attraverso il sito (moduli, cookie, analytics, newsletter). Cambia il contesto, non la natura: valgono le stesse regole dell’art. 13.
Il consenso è invece tutt’altra cosa: non è un documento ma una base giuridica — una delle sei previste dall’art. 6 — che serve solo quando il trattamento si fonda su di essa. L’informativa va data sempre, il consenso va chiesto solo quando serve: per la newsletter promozionale sì, per emettere una fattura no (lì la base è il contratto o l’obbligo di legge). Confondere i due piani porta all’errore classico: chiedere consensi inutili e, insieme, informare male.
8. I casi tipici
Un’organizzazione non ha una informativa: ne ha tante quante sono le categorie di persone di cui tratta i dati, e il loro numero cresce con la complessità dei trattamenti. Una piccola impresa può cavarsela con tre o quattro documenti; una struttura articolata ne gestisce molti di più.
Nella nostra esperienza, le informative che ricorrono più di frequente sono queste:
- clienti — l’informativa “contrattuale”, spesso allegata a preventivi e contratti;
- fornitori — per i dati dei referenti e dei professionisti con cui si lavora;
- dipendenti — sul trattamento dei dati del personale, incluse le regole sugli strumenti di controllo e sulle telecamere;
- sito web ed e-commerce — la privacy policy, che copre moduli di contatto, account, acquisti e newsletter;
- videosorveglianza — il sistema a due livelli, cartello più informativa completa, trattato nella guida ai cartelli;
- geolocalizzazione (GPS) — per i veicoli e i dispositivi aziendali tracciati;
- cookie — la cookie policy, che accompagna la privacy policy del sito.
A queste si aggiungono informative più complesse e specifiche, che variano con l’attività: i pazienti di una struttura sanitaria, gli utenti dei servizi comunali, i partecipanti a un concorso, i candidati che inviano il curriculum. È qui che il “modello universale” mostra tutti i suoi limiti — e che l’analisi dei trattamenti concreti fa la differenza.
9. Gli errori che costano
Gli errori ricorrenti sono sempre gli stessi. L’informativa copiata da un altro sito, che descrive trattamenti altrui (e magari cita il titolare sbagliato). Quella generica, che non indica tempi di conservazione né basi giuridiche per finalità. Quella nascosta, raggiungibile solo cercandola con ostinazione. Quella mai aggiornata, ferma alla versione scaricata nel 2018. E quella semplicemente assente.
Il conto può essere salato: la violazione degli obblighi di trasparenza (artt. 12-14) rientra nella fascia più alta delle sanzioni GDPR — fino a 20 milioni di euro o al 4% del fatturato mondiale annuo. E il Garante la contesta con regolarità: dalla mancata informativa ai dipendenti sull’uso della posta aziendale (80.000 euro a una società) ai cartelli mancanti nella videosorveglianza comunale, i provvedimenti che partono da un difetto di informativa sono tra i più frequenti.
10. Il modello di informativa privacy
Molti cercano un modello di informativa privacy pronto all’uso — ed è comprensibile: partire da un foglio bianco è difficile. La verità, però, va detta: un modello generico, riempito senza analizzare i trattamenti reali, produce esattamente le informative copiate e generiche di cui sopra.
Un modello serio funziona in un altro modo: offre la struttura corretta — le sezioni obbligatorie dell’art. 13, nell’ordine giusto e in linguaggio chiaro — e dei segnaposto che obbligano a ragionare sul proprio caso: quali dati, quali finalità, quale base per ciascuna, quali tempi. Stiamo predisponendo un modello di questo tipo, in formato editabile, che sarà presto disponibile per il download in questa pagina: un punto di partenza corretto, da adattare al tuo trattamento — e se serve, lo adattiamo insieme.
11. Come ti assiste lo Studio Legale Calzoni
L’informativa è il documento privacy più visibile di un’organizzazione: la leggono i clienti, i dipendenti, i cittadini — e il Garante. Scriverla bene significa conoscere i trattamenti reali, scegliere le basi giuridiche corrette e tradurre il tutto in un testo che una persona normale possa capire.
Lo Studio Legale Calzoni offre consulenza privacy e GDPR a imprese ed enti pubblici: redigiamo informative su misura — per siti, clienti, dipendenti, videosorveglianza e servizi della PA — e revisioniamo quelle esistenti, verificando che descrivano davvero i trattamenti in essere e che reggano un controllo. Un’informativa corretta costa una frazione di una sanzione.
Domande frequenti
Cos’è l’informativa privacy? È il documento con cui il titolare spiega alle persone, prima di raccogliere i loro dati, chi è, perché li raccoglie, su quale base giuridica, per quanto li conserva, a chi li comunica e quali diritti hanno gli interessati (artt. 13-14 GDPR).
Quando è obbligatoria l’informativa privacy? Sempre, quando si trattano dati personali: va fornita al momento della raccolta (art. 13) o entro un mese se i dati arrivano da terzi (art. 14). Non è necessaria solo nei casi eccezionali previsti dal GDPR, ad esempio quando l’interessato dispone già delle informazioni.
Cosa deve contenere l’informativa privacy? Titolare e contatti, DPO se presente, finalità e basi giuridiche, destinatari, eventuali trasferimenti extra-UE, tempi di conservazione, diritti dell’interessato, revoca del consenso, reclamo al Garante, natura obbligatoria o facoltativa del conferimento, eventuali decisioni automatizzate.
L’informativa privacy va firmata? No: non è un contratto, è una comunicazione. La firma non è richiesta dal GDPR; al titolare serve semmai la prova di averla resa disponibile (pubblicazione, consegna documentata, presa visione).
Che differenza c’è tra informativa e privacy policy? Nessuna, nella sostanza: la privacy policy è l’informativa del sito web, pubblicata online per descrivere i trattamenti effettuati tramite il sito. Valgono le stesse regole dell’art. 13.
Che differenza c’è tra informativa e consenso? L’informativa è un obbligo di trasparenza e va data sempre; il consenso è una base giuridica e va chiesto solo quando il trattamento si fonda su di essa. Si può — e spesso si deve — informare senza chiedere alcun consenso.
Esiste un modello di informativa privacy? Non esiste un modello ufficiale. Un fac-simile serio offre la struttura corretta dell’art. 13 da adattare ai trattamenti reali: in questa pagina ne renderemo presto disponibile uno editabile. Un modello copiato senza adattamento, invece, è esso stesso una violazione.
Cosa si rischia senza informativa? La violazione degli obblighi di trasparenza rientra nella fascia più alta delle sanzioni GDPR: fino a 20 milioni di euro o al 4% del fatturato mondiale annuo. I provvedimenti del Garante fondati su informative assenti o inidonee sono tra i più frequenti.
I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il contributo di un avvocato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza, oppure fissare un appuntamento. Gli autori declinano ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle presenti informazioni.