Informativa Privacy GDPR (Clienti e Sito Web)
Reg. UE 2016/679 artt. 12–14, 6, 15–22; D.Lgs. 196/2003 (Codice Privacy)
INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI
Ai sensi degli artt. 12, 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e del D.Lgs. 196/2003 (Codice Privacy, come modificato dal D.Lgs. 101/2018)
Data ultimo aggiornamento: [Data Aggiornamento Privacy]
1. TITOLARE DEL TRATTAMENTO
Il titolare del trattamento dei dati personali è [Denominazione Titolare Privacy], con sede legale in [Sede Titolare Privacy], Partita IVA / Codice Fiscale [Partita Iva Titolare Privacy].
Recapiti: Email privacy [Email Privacy Titolare] — PEC [Pec Titolare Privacy].
Responsabile della Protezione dei Dati (DPO): [Nome Dpo].
2. CATEGORIE DI DATI PERSONALI TRATTATI
[Denominazione Titolare Privacy] tratta le seguenti categorie di dati personali degli interessati: [Categorie Dati Trattati]. I dati vengono raccolti direttamente presso l'interessato (art. 13 GDPR) al momento della compilazione dei form di contatto, della registrazione all'area riservata, della conclusione di un contratto o della sottoscrizione della newsletter. I dati non vengono mai ceduti a terzi per finalità proprie di tali soggetti.
3. FINALITÀ DEL TRATTAMENTO E BASI GIURIDICHE
I dati personali vengono trattati per le seguenti finalità, ciascuna fondata sulla base giuridica indicata ai sensi dell'art. 6 del GDPR: [Finalita Principali].
Il conferimento dei dati per le finalità di esecuzione del contratto e di adempimento di obblighi legali è obbligatorio: il rifiuto impedisce la conclusione o l'esecuzione del contratto o l'adempimento degli obblighi di legge. Per le finalità di marketing e profilazione il conferimento è facoltativo: il rifiuto del consenso o la sua revoca non pregiudica l'esecuzione del contratto principale.
4. DESTINATARI E RESPONSABILI DEL TRATTAMENTO
I dati personali possono essere comunicati alle seguenti categorie di destinatari: [Categorie Destinatari]. Tutti i fornitori e partner che trattano dati per conto di [Denominazione Titolare Privacy] sono stati nominati responsabili del trattamento ai sensi dell'art. 28 del GDPR, con contratto scritto che ne definisce l'oggetto, la durata, le misure di sicurezza e le istruzioni del titolare.
Trasferimenti verso paesi extra-UE: [Trasferimento Extra Ue]. Garanzie adottate: [Garanzie Extra Ue]. L'elenco aggiornato dei paesi terzi verso cui vengono trasferiti dati e delle garanzie adottate è disponibile previa richiesta al titolare.
5. PERIODO DI CONSERVAZIONE DEI DATI
I dati personali vengono conservati per i seguenti periodi: [Periodo Conservazione]. Al termine del periodo di conservazione, i dati vengono cancellati in modo irreversibile o anonimizzati. Per gli adempimenti fiscali e contabili, i dati sono conservati per 10 anni ai sensi dell'art. 2220 c.c. e del D.P.R. 633/1972 (IVA). La conservazione oltre questi termini è possibile solo per adempiere a obblighi legali, accertare o difendere diritti in giudizio.
6. DIRITTI DELL'INTERESSATO
Ai sensi degli artt. 15–22 del GDPR, l'interessato ha il diritto di: accedere ai propri dati personali e ottenerne copia (art. 15); ottenere la rettifica dei dati inesatti o l'integrazione di quelli incompleti (art. 16); ottenere la cancellazione dei dati ('diritto all'oblio') nei casi previsti dall'art. 17; ottenere la limitazione del trattamento (art. 18); ricevere i propri dati in formato strutturato e portarli a un altro titolare (art. 20); opporsi al trattamento per finalità di marketing diretto (art. 21) o per altre finalità basate su legittimo interesse; non essere sottoposto a decisioni automatizzate con effetti significativi (art. 22).
Per esercitare i propri diritti: [Modalita Esercizio Directti]. L'interessato ha il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it — Piazza Venezia 11, 00187 Roma — fax +39 06 69677785 — [email protected]).
ADOZIONE
La presente Informativa Privacy è adottata da [Denominazione Titolare Privacy] ([Sede Titolare Privacy]) in data [Data Aggiornamento Privacy].
Firma del Titolare del Trattamento: _________________________
Titolare del Trattamento
________________
Signature
Che cos'è Informativa Privacy GDPR (Clienti e Sito Web)?
L'Informativa Privacy GDPR (Clienti e Sito Web) in Italia è l'atto disciplinato da Reg. UE 2016/679 artt. 12–14, 6, 15–22; D.Lgs. 196/2003 (Codice Privacy).
L'Informativa Privacy GDPR in Italia si distingue dall'informativa pre-GDPR per la maggiore analiticità richiesta: non è sufficiente indicare le finalità del trattamento in termini generali, ma è necessario specificare la base giuridica per ciascuna finalità tra le sei elencate nell'art. 6 GDPR (consenso, contratto, obbligo legale, legittimo interesse, interesse vitale, compito di interesse pubblico), i periodi di conservazione specifici per ciascuna categoria di dati o i criteri per determinarli, i diritti spettanti all'interessato (artt. 15–22 GDPR — accesso, rettifica, cancellazione, limitazione, portabilità, opposizione) e le modalità concrete di esercizio, l'identità e i recapiti del Data Protection Officer (DPO) se nominato ai sensi dell'art. 37 GDPR, le informazioni sui trasferimenti di dati verso paesi terzi con l'indicazione della garanzia adottata (Clausole Contrattuali Standard, Data Privacy Framework, Decisione di adeguatezza). Il Garante per la protezione dei dati personali, nell'ambito della propria attività di accertamento e ispezione, verifica puntualmente la presenza e la completezza dell'informativa privacy, con particolare attenzione alle basi giuridiche indicate, alla chiarezza del linguaggio, all'effettiva accessibilità del documento e alla corrispondenza tra quanto dichiarato nell'informativa e le attività di trattamento concretamente svolte dal titolare. L'AI Act (Regolamento UE 2024/1689), applicabile progressivamente dal 2025, introduce ulteriori obblighi di trasparenza per i sistemi di intelligenza artificiale ad alto rischio che trattano dati personali, e richiede aggiornamenti dell'informativa privacy per i titolari che li utilizzano.
Quando serve Informativa Privacy GDPR (Clienti e Sito Web)?
L'Informativa Privacy GDPR in Italia è obbligatoria per qualsiasi soggetto che tratti dati personali di persone fisiche nell'ambito di un'attività professionale o commerciale, indipendentemente dalle dimensioni dell'organizzazione. Non vi è alcuna soglia minima di fatturato, di numero di dipendenti o di volume di dati trattati che esima dall'obbligo: anche un libero professionista con partita IVA che raccoglie i dati dei propri clienti deve fornire l'informativa ex art. 13 Reg. UE 2016/679. Le situazioni più frequenti in cui è necessaria la redazione di un'informativa privacy aggiornata e conforme: apertura o restyling di un sito web con form di contatto, newsletter, sistema di prenotazione o acquisto online; avvio di attività di marketing diretto (email marketing, SMS, telefonate commerciali); instaurazione di rapporti contrattuali con clienti o fornitori; assunzione del primo dipendente; installazione di telecamere di videosorveglianza; utilizzo di sistemi di tracciamento comportamentale degli utenti (Google Analytics, CRM, sistemi di lead scoring); avvio di un'app mobile che raccoglie dati di geolocalizzazione, contatti o biometrici.
Un'informativa privacy aggiornata è necessaria anche dopo significative modifiche al trattamento: introduzione di nuove finalità di trattamento non previste nell'informativa originaria; aggiunta di nuovi destinatari ai quali vengono comunicati i dati; avvio di trasferimenti verso paesi terzi non coperti da decisione di adeguatezza della Commissione Europea (es. trasferimento di dati a un nuovo fornitore SaaS con server negli USA, India o Cina); utilizzo di nuovi strumenti software che trattano dati degli interessati (CRM, ERP, piattaforme cloud, strumenti di intelligenza artificiale che processano dati personali). L'aggiornamento dell'informativa deve essere comunicato agli interessati con un nuovo avviso diretto (email, SMS, notifica in-app) se i trattamenti aggiuntivi richiedono il consenso, o con una notifica sul sito in evidenza se si tratta di modifiche ai destinatari o ai periodi di conservazione basate su legittimo interesse o obbligo legale.
L'informativa privacy è necessaria anche in specifici contesti di settore: studi medici e cliniche che trattano dati di salute (categorie particolari ex art. 9 GDPR, che richiedono base giuridica specifica art. 9.2 lett. a o h); istituti di credito e intermediari finanziari sottoposti alla vigilanza della Banca d'Italia; piattaforme che trattano dati di minori (per gli under 14 in Italia è richiesto il consenso del genitore o tutore ex art. 8 GDPR e art. 2-quinquies D.Lgs. 196/2003); aziende che effettuano profilazione automatizzata o prendono decisioni automatizzate con effetti giuridici sugli interessati (art. 22 GDPR). Il Garante per la protezione dei dati personali pubblica sul sito garanteprivacy.it le FAQ e i provvedimenti su casi specifici che costituiscono guida operativa per la redazione dell'informativa nei diversi settori.
Cosa includere nel tuo Informativa Privacy GDPR (Clienti e Sito Web)
L'Informativa Privacy GDPR per clienti e sito web in Italia deve contenere le informazioni indicate negli artt. 13 e 14 del Reg. UE 2016/679, organizzate in sezioni chiare, accessibili e strutturate in modo da rispondere alle domande concrete che l'interessato si pone sul proprio trattamento. La prima sezione identifica il titolare del trattamento: denominazione sociale o nome del titolare, sede legale, partita IVA, indirizzo email privacy, indirizzo PEC, numero di telefono. La seconda sezione riporta i dati del Responsabile della Protezione dei Dati (DPO) se nominato: obbligatorio per enti pubblici, organismi di sorveglianza, e per tutti i soggetti che effettuano trattamenti su larga scala di categorie particolari di dati ai sensi dell'art. 37 GDPR.
La terza sezione — la più importante — descrive le finalità del trattamento e le relative basi giuridiche. Ogni finalità deve essere indicata separatamente con la corrispondente base giuridica dell'art. 6 GDPR (contratto, obbligo legale, consenso, legittimo interesse, interesse vitale, compito di interesse pubblico). La quarta sezione riguarda i dati trattati: categorie di dati personali (anagrafici, di contatto, di pagamento, di navigazione, di geolocalizzazione) e — se applicabili — categorie particolari ex art. 9 GDPR (salute, orientamento sessuale, opinioni politiche, dati biometrici) che richiedono consenso esplicito. La quinta sezione elenca i destinatari e i responsabili del trattamento: fornitori di servizi IT (hosting, email, CRM), istituti bancari, commercialisti, studi legali, e ogni altro soggetto esterno che tratti dati per conto del titolare — ciascuno deve aver ricevuto la nomina a Responsabile del Trattamento ex art. 28 GDPR. Forms-legal.com offre template separati per la nomina a responsabile del trattamento. La sesta sezione indica i periodi di conservazione per ciascuna categoria di dati. La settima sezione illustra i diritti degli interessati (artt. 15–22 GDPR) e le modalità di esercizio (indirizzo email o PEC dedicato, tempi di risposta di 30 giorni). La sezione finale riporta il diritto di proporre reclamo al Garante per la protezione dei dati personali (garanteprivacy.it) e le eventuali informazioni sui trasferimenti extra-UE.
Come compilare il tuo Informativa Privacy GDPR (Clienti e Sito Web)
Per compilare correttamente l'Informativa Privacy GDPR per clienti e sito web in Italia è necessario partire da una mappatura operativa dei trattamenti effettivamente svolti, non da un testo standard da adattare superficialmente. Prima di scrivere l'informativa, il titolare deve rispondere a queste domande fondamentali: Quali dati personali raccoglio? Da chi li raccoglio (direttamente dall'interessato o da terzi)? Per quale scopo specifico (finalità)? Con quale base giuridica tra le sei dell'art. 6 GDPR? Per quanto tempo li conservo (termine specifico per categoria)? A chi li comunico o trasmetto? Trasferisco dati fuori dall'UE e verso quale paese?
Nella sezione titolare del trattamento indicare tutti i dati identificativi richiesti dall'art. 13.1.a) GDPR: denominazione, sede, partita IVA, PEC, email privacy. Se è stato nominato un DPO, indicarne nome e contatti. Nella sezione finalità e basi giuridiche, per ciascuna attività di trattamento (es. 'gestione degli ordini online', 'invio newsletter', 'risposta alle richieste di contatto', 'fatturazione e adempimenti fiscali') indicare: finalità specifica, base giuridica tra le sei dell'art. 6 GDPR, dati trattati, periodo di conservazione. È consigliata la presentazione in forma tabellare. Nella sezione destinatari elencare per categoria (non necessariamente per nome) tutti i soggetti a cui vengono comunicati i dati: fornitori di servizi informatici (hosting, email marketing, CRM), istituti di credito, studi professionali, corrieri, agenzie di marketing. Per i fornitori che trattano dati come responsabili ex art. 28 GDPR, indicare che è stata stipulata apposita nomina. Per i trasferimenti extra-UE specificare il paese di destinazione e la garanzia adottata (Decisione di adeguatezza della Commissione Europea, Clausole Contrattuali Standard SCC, Data Privacy Framework). Concludere con i diritti degli interessati (artt. 15–22 GDPR), le modalità di esercizio (email [email protected] o PEC), i tempi di risposta (30 giorni, prorogabili di altri 60 in casi complessi), e il diritto di reclamo al Garante (garanteprivacy.it, Piazza Venezia 11, 00187 Roma).
Requisiti legali per Informativa Privacy GDPR (Clienti e Sito Web)
L'Informativa Privacy GDPR in Italia deve rispettare le disposizioni del Reg. UE 2016/679 e del D.Lgs. 196/2003. L'art. 12 GDPR stabilisce i requisiti formali dell'informativa: forma concisa, trasparente, intelligibile e facilmente accessibile; linguaggio chiaro e semplice, in particolare per informazioni destinate ai minori di 14 anni (art. 8 GDPR — in Italia la soglia è fissata a 14 anni dall'art. 2-quinquies D.Lgs. 196/2003). L'art. 13 disciplina l'informativa per dati raccolti direttamente presso l'interessato (sito web, moduli cartacei, contratti), mentre l'art. 14 si applica quando i dati sono raccolti presso terzi (liste acquistate, dati pubblici, partner commerciali, social network). L'informativa ex art. 14 deve essere fornita entro un termine ragionevole dalla raccolta, e comunque entro un mese; oppure prima della prima comunicazione all'interessato se i dati sono usati per contattarlo; oppure prima di comunicarli ad altri soggetti.
L'art. 83 par. 4 GDPR sanziona la violazione degli obblighi di informativa con sanzioni fino a € 10.000.000 o al 2% del fatturato mondiale annuo totale. L'art. 83 par. 5 GDPR prevede sanzioni fino a € 20.000.000 o al 4% del fatturato mondiale per le violazioni più gravi (mancanza di base giuridica, violazione dei principi fondamentali del GDPR). Il D.Lgs. 196/2003, come modificato dal D.Lgs. 101/2018, introduce disposizioni nazionali aggiuntive: in materia di trattamento dei dati dei dipendenti (art. 4 Statuto dei Lavoratori L. 300/1970 per il controllo a distanza e l'uso dei dispositivi informatici, che richiede accordo sindacale o autorizzazione dell'Ispettorato del Lavoro); di marketing telefonico e telematico (Registro Pubblico delle Opposizioni, Reg. DPR 178/2010 e D.Lgs. 196/2003 art. 130); di videosorveglianza (Provv. Garante 8/4/2010 e sue linee guida); di dati biometrici (accertamento del Garante caso per caso). Il Regolamento (UE) 2021/1119 (European Climate Law) e la Direttiva NIS2 (Direttiva (UE) 2022/2555), recepita in Italia con D.Lgs. 138/2024, impongono ulteriori requisiti di sicurezza e notifica alle aziende nei settori critici. Le linee guida dell'EDPB (European Data Protection Board), pur non avendo forza di legge propria, costituiscono interpretazione autorevole del GDPR che le autorità di controllo nazionali, incluso il Garante italiano, seguono nella propria attività sanzionatoria.
Errori comuni da evitare nel tuo Informativa Privacy GDPR (Clienti e Sito Web)
Tra gli errori più frequenti nella redazione dell'Informativa Privacy GDPR in Italia vi è il ricorso a template generici scaricati da internet senza personalizzazione: un'informativa che indica finalità, destinatari o periodi di conservazione non corrispondenti all'attività reale del titolare è considerata dal Garante equivalente a un'informativa assente. Un secondo errore comune è indicare il consenso come base giuridica di tutti i trattamenti: il consenso ex art. 6.1.a GDPR è inappropriato per i trattamenti necessari all'esecuzione di un contratto (es. elaborazione dell'ordine — base corretta: art. 6.1.b), agli adempimenti fiscali (es. fatturazione — base corretta: art. 6.1.c obbligo legale), o ai legittimi interessi del titolare (es. sicurezza informatica — base corretta: art. 6.1.f). L'uso improprio del consenso come base giuridica omnibus rende ogni trattamento vulnerabile alla revoca e espone il titolare a contestazioni da parte del Garante e degli interessati che revocano il consenso.
Altre insidie ricorrenti: omettere le informazioni sui trasferimenti extra-UE (l'uso di Google Analytics 4, AWS, Mailchimp, Salesforce, HubSpot, Slack, Microsoft 365 comporta trasferimenti verso gli USA che devono essere indicati con la garanzia adottata — Data Privacy Framework se il provider è certificato, SCC altrimenti); non aggiornare l'informativa dopo aver introdotto nuovi strumenti software o nuove finalità di trattamento; non indicare periodi di conservazione specifici per ciascuna categoria di dati o i criteri per determinarli (indicare 'per il tempo strettamente necessario' senza specificare la durata viola il principio di trasparenza dell'art. 5.1.a GDPR e il requisito dell'art. 13.2.a); non indicare il diritto di proporre reclamo al Garante per la protezione dei dati personali con i relativi recapiti (garanteprivacy.it, Piazza Venezia 11, 00187 Roma); fornire l'informativa solo in inglese su siti rivolti a utenti italiani (violazione dell'art. 12 GDPR che richiede linguaggio chiaro e comprensibile nella lingua dell'interessato). L'aggiornamento periodico dell'informativa privacy — almeno annuale o in occasione di ogni modifica significativa al trattamento — è una best practice formalmente riconosciuta dal Garante nelle proprie linee guida e nei provvedimenti sanzionatori, che considerano l'informativa aggiornata come prova concreta del rispetto del principio di trasparenza.
Cita questa pagina
Cita questo modello gratuito in un articolo, un programma di studio o una nota di ricerca:
Forms Legal. (2026). Informativa Privacy GDPR (Clienti e Sito Web) (Italia) [Legal document template]. Forms Legal. https://forms-legal.com/it/italy/business/policies/informativa-privacy-gdpr
"Informativa Privacy GDPR (Clienti e Sito Web) (Italia)." Forms Legal, 2026, https://forms-legal.com/it/italy/business/policies/informativa-privacy-gdpr.
@misc{formslegal-informativa-privacy-gdpr,
author = {{Forms Legal}},
title = {Informativa Privacy GDPR (Clienti e Sito Web) (Italia)},
year = {2026},
howpublished = {\url{https://forms-legal.com/it/italy/business/policies/informativa-privacy-gdpr}},
note = {Free legal document template}
}Domande frequenti
L'informativa privacy è obbligatoria per qualsiasi soggetto (persona fisica, azienda, ente pubblico o privato) che tratti dati personali di persone fisiche residenti nell'Unione Europea, ai sensi degli artt. 13 e 14 del Reg. UE 2016/679 (GDPR). L'obbligo scatta ogni volta che si raccolgono dati personali: compilazione di un modulo online, acquisto su e-commerce, sottoscrizione di una newsletter, apertura di un conto bancario, accesso a un'area riservata, candidatura a un'offerta di lavoro, partecipazione a un evento, richiesta di preventivo. L'informativa deve essere fornita prima o al momento della raccolta dei dati, non successivamente. Per i siti web deve essere pubblicata in una pagina dedicata (tipicamente 'Privacy Policy' o 'Informativa sulla Privacy'), linkata dal footer di ogni pagina, dai form di contatto e dal banner cookie. Per i contratti con clienti business va allegata al contratto o inviata via email prima dell'avvio del rapporto. Per i dipendenti va consegnata all'atto dell'assunzione. L'omissione dell'informativa privacy o la sua incompletezza può comportare sanzioni del Garante per la protezione dei dati personali fino a € 10.000.000 o al 2% del fatturato mondiale annuo ai sensi dell'art. 83, par. 4 del GDPR.
L'art. 6 del Reg. UE 2016/679 (GDPR) elenca le sei basi giuridiche che legittimano il trattamento dei dati personali. Il consenso (art. 6.1.a) è la base giuridica più nota ma non la più usata: è appropriata per newsletter, marketing, cookie di profilazione e trattamenti per cui l'interessato ha una reale libertà di scelta; il consenso deve essere libero, specifico, informato e inequivocabile, revocabile in qualsiasi momento senza pregiudizio. L'esecuzione di un contratto (art. 6.1.b) legittima tutti i trattamenti necessari per dare attuazione al contratto concluso con l'interessato: elaborazione dell'ordine, consegna, fatturazione, assistenza post-vendita; non richiede consenso separato. L'obbligo legale (art. 6.1.c) copre i trattamenti imposti da legge: tenuta delle scritture contabili, adempimenti fiscali verso l'Agenzia delle Entrate, comunicazioni agli enti previdenziali (INPS, INAIL). Il legittimo interesse (art. 6.1.f) è la base più flessibile ma richiede un bilanciamento degli interessi: può coprire marketing diretto verso clienti acquisiti, sicurezza informatica, prevenzione delle frodi, trasmissione infragruppo di dati; richiede una valutazione documentata (LIA — Legitimate Interest Assessment). Altre basi: interesse vitale (art. 6.1.d), compito di interesse pubblico (art. 6.1.e). L'informativa deve indicare per ciascuna finalità la base giuridica applicata, evitando il 'catch-all consenso' che illude l'interessato di poter revocare trattamenti fondati su altri presupposti.
Il principio di limitazione della conservazione (art. 5, par. 1, lett. e) del GDPR) impone che i dati personali siano conservati per un periodo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati. Non esiste un termine unico valido per tutti i dati: dipende dalla finalità e dagli obblighi legali applicabili. Per i dati contrattuali (fatture, contratti, ordini) la conservazione è imposta dalla legislazione fiscale e contabile italiana: 10 anni ai sensi dell'art. 2220 c.c. (libri contabili) e dell'art. 2946 c.c. (prescrizione ordinaria); le fatture devono essere conservate per 10 anni ai sensi del D.P.R. 633/1972 (IVA) e del D.P.R. 600/1973 (imposte sui redditi). Per i dati di marketing e newsletter la conservazione ragionevole è di 24 mesi dall'ultimo consenso o dall'ultima interazione, salvo revoca del consenso. Per i dati dei candidati (curricula) non assunti: 12 mesi dalla ricezione. Per i dati di navigazione e i log di accesso: 12 mesi per ragioni di sicurezza informatica (prassi confermata dal Garante). Per i dati video da telecamere di sorveglianza: 7 giorni salvo autorizzazione del Garante. L'informativa privacy deve indicare per ciascuna categoria di dati e finalità il periodo di conservazione o i criteri usati per determinarlo.
Gli artt. 15–22 del Reg. UE 2016/679 (GDPR) attribuiscono agli interessati (le persone fisiche i cui dati sono trattati) una serie di diritti che il titolare del trattamento deve garantire. Il diritto di accesso (art. 15) consente all'interessato di ottenere conferma che siano trattati dati che lo riguardano, una copia dei dati trattati e le informazioni sulle finalità, le categorie di dati, i destinatari, la durata della conservazione. Il diritto di rettifica (art. 16) permette la correzione dei dati inesatti o l'integrazione di quelli incompleti. Il diritto alla cancellazione ('diritto all'oblio', art. 17) consente di chiedere la cancellazione dei dati quando non sono più necessari alle finalità, quando il consenso è revocato, quando il trattamento è illecito, salvo esenzioni per archivi di interesse pubblico o accertamento di diritti in giudizio. Il diritto alla limitazione del trattamento (art. 18) blocca il trattamento mentre si verifica la qualità dei dati o si attende esito di un'opposizione. Il diritto alla portabilità (art. 20) consente di ricevere i dati in formato strutturato e leggibile da macchina per trasmetterli a un altro titolare, se il trattamento è basato su consenso o contratto. Il diritto di opposizione (art. 21) al trattamento per finalità di marketing diretto è assoluto; per altri trattamenti basati su legittimo interesse è relativo (il titolare può continuare dimostrando motivi legittimi imperanti). Il titolare deve rispondere entro 30 giorni dalla richiesta, prorogabili di altri 60 giorni per richieste complesse, comunicando la proroga all'interessato entro il primo mese.
Le sanzioni per violazioni dell'obbligo di fornire l'informativa privacy o per informative incomplete e fuorvianti sono graduate dal GDPR su due livelli. Per la violazione degli artt. 13 e 14 del GDPR (mancata o incompleta informativa) si applicano sanzioni fino a € 10.000.000 o al 2% del fatturato mondiale annuo totale dell'esercizio precedente, se superiore (art. 83, par. 4 GDPR). Per violazioni più gravi (es. trattamento senza base giuridica, trattamento di categorie particolari senza consenso esplicito, trasferimento verso paesi terzi senza garanzie) le sanzioni arrivano fino a € 20.000.000 o al 4% del fatturato mondiale annuo (art. 83, par. 5 GDPR). Il Garante per la protezione dei dati personali italiano ha irrogato sanzioni significative negli ultimi anni: tra le più note, Autogrill S.p.A. (euro 50.000 per marketing senza consenso valido, 2022), TIM S.p.A. (euro 27,8 milioni nel 2020, la più alta sanzione europea in quel periodo), Amazon (euro 746 milioni dal Garante lussemburghese per uso di dati pubblicitari senza base giuridica, 2021). Oltre alle sanzioni pecuniarie, il Garante può ordinare la sospensione del trattamento illecito, con impatto operativo grave per le aziende che dipendono dalla raccolta dati per la propria attività.
Questo modello è fornito esclusivamente a scopo informativo e non costituisce consulenza legale. Le leggi variano in base alla giurisdizione e cambiano nel tempo. Consulta un avvocato qualificato per una consulenza specifica per la tua situazione.Avviso legale completo
Hai trovato un errore? Faccelo sapereRelated Documents
You may also find these documents useful:
Cookie Policy
Documento informativo che descrive i cookie e i tracker utilizzati dal sito web, la loro classificazione per categoria e durata, le modalità di gestione del consenso e le opzioni di opt-out, in conformità al Provvedimento del Garante per la protezione dei dati personali del 10 giugno 2021 e al Reg. UE 2016/679 (GDPR).
Nomina a Responsabile del Trattamento (Art. 28 GDPR)
Contratto obbligatorio tra il titolare del trattamento e il fornitore di servizi (responsabile) che tratta dati personali per conto del titolare, ai sensi dell'art. 28 del Reg. UE 2016/679 (GDPR). Definisce oggetto, durata, natura, finalità, misure di sicurezza e obblighi del responsabile del trattamento.
Registro delle Attività di Trattamento
Documento interno obbligatorio ex art. 30 del Reg. UE 2016/679 (GDPR) che raccoglie tutte le attività di trattamento dei dati personali svolte dal titolare del trattamento (o dal responsabile), con descrizione delle finalità, delle categorie di dati, dei destinatari, delle misure di sicurezza e dei periodi di conservazione.
Condizioni Generali di Vendita Online (E-commerce)
Documento che regola i rapporti tra venditore e consumatore nelle vendite online, disciplinando ordini, prezzi, consegna, diritto di recesso di 14 giorni e garanzia legale di conformità ai sensi del D.Lgs. 206/2005 (Codice del Consumo) e del D.Lgs. 70/2003.