Privacy Policy Obbligatoria: Quando Serve e Come Redigerla nel 2026
La privacy policy è obbligatoria per tutti i siti web che raccolgono dati personali. Guida agli obblighi ex Art. 13-14 GDPR, contenuto minimo obbligatorio, errori da evitare e sanzioni del Garante.
Ordine degli Avvocati di Sciacca n. 747 · Avvocato e Full-Stack Developer · Diritto IT & Privacy
La privacy policy è obbligatoria per il tuo sito web?
Sì. Qualsiasi sito web che raccoglie dati personali degli utenti — anche solo tramite form di contatto, newsletter, cookie di analisi o registrazione — è tenuto a fornire un'informativa privacy conforme all'Art. 13 del GDPR (Reg. UE 2016/679). L'obbligo si applica indipendentemente dalle dimensioni dell'attività e dalla natura del sito. L'assenza o l'inadeguatezza dell'informativa espone il titolare a sanzioni del Garante Privacy fino a 20 milioni di euro o al 4% del fatturato mondiale annuo.
La privacy policy (o informativa privacy) è il documento con cui il titolare del trattamento informa gli interessati su come vengono raccolti e utilizzati i loro dati personali. Il suo contenuto minimo è definito dagli articoli 13 e 14 del Regolamento (UE) 2016/679 (GDPR) e non è derogabile contrattualmente.
Fonti primarie: Reg. UE 2016/679 (GDPR) — EUR-Lex · Garante Privacy — Informativa (Art. 13-14 GDPR) · Linee Guida EDPB 3/2019 sulla trasparenza
Quando è obbligatoria la privacy policy per un sito web?
La privacy policy è obbligatoria ogni volta che un sito web raccoglie, conserva o tratta dati personali di utenti europei. Rientrano in questo obbligo:
- Form di contatto che raccolgono nome, email o numero di telefono
- Newsletter e iscrizioni: raccolta dell'indirizzo email
- Registrazione e account utente: anagrafica, credenziali, cronologia acquisti
- Cookie non tecnici: cookie di analisi (Google Analytics, Hotjar), cookie pubblicitari o di profilazione
- E-commerce: dati di fatturazione, spedizione, modalità di pagamento
- Chat e widget di assistenza: dati inseriti dall'utente nelle chat
- Sistemi di prenotazione o preventivo: dati forniti nel processo di configurazione
Nota redazionale: Un sito che utilizza esclusivamente cookie tecnici strettamente necessari al funzionamento (sessione, autenticazione, carrello) e non raccoglie alcun dato in modo attivo non ha l'obbligo di privacy policy ai fini del GDPR, ma rimane soggetto all'informativa cookie ex D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018. Nella pratica, la quasi totalità dei siti attivi utilizza almeno un servizio che implica il trattamento di dati personali.
Qual è la differenza tra Art. 13 e Art. 14 GDPR?
Il GDPR prevede due tipi di informativa a seconda della modalità di raccolta dei dati:
| Riferimento | Quando si applica | Modalità di comunicazione |
|---|---|---|
| Art. 13 GDPR | Dati raccolti direttamente dall'interessato (form, registrazione, checkout) | Al momento della raccolta, prima che l'utente fornisca i dati |
| Art. 14 GDPR | Dati ottenuti da fonti terze (liste acquistate, dati ceduti da partner, scraping) | Entro un termine ragionevole, non oltre un mese dalla raccolta |
Nella consulenza quotidiana rilevo che molti siti applicano solo l'Art. 13 e trascurano l'Art. 14 per i dati ottenuti da terzi, esponendosi a reclami degli interessati che non hanno mai ricevuto l'informativa.
Quali informazioni deve contenere obbligatoriamente la privacy policy?
Il contenuto minimo dell'informativa è tassativamente indicato dagli articoli 13 e 14 GDPR. L'elenco seguente rispecchia i requisiti normativi: l'omissione anche di un solo elemento costituisce violazione dell'Art. 83.5 GDPR.
Identità del titolare del trattamento
Il documento deve indicare in modo chiaro:
- Ragione sociale o nome del titolare (es. Studio Legale Ingoglia, P.IVA)
- Indirizzo fisico della sede operativa o legale
- Contatto diretto per l'esercizio dei diritti (email dedicata o modulo)
Non è sufficiente indicare solo il nome del sito web o un indirizzo email generico.
Finalità e basi giuridiche
Per ogni categoria di trattamento occorre indicare:
- La finalità specifica (es. "invio newsletter informativa", "erogazione del servizio", "analisi statistica")
- La base giuridica tra quelle tassativamente previste dall'Art. 6 GDPR:
- Consenso (Art. 6.1.a): l'interessato ha espresso consenso specifico
- Esecuzione contratto (Art. 6.1.b): il trattamento è necessario per il contratto
- Obbligo legale (Art. 6.1.c): il titolare è tenuto per legge
- Interessi vitali (Art. 6.1.d): protezione della vita
- Compito di interesse pubblico (Art. 6.1.e): attività di interesse pubblico
- Legittimo interesse (Art. 6.1.f): interesse prevalente del titolare o di un terzo
Errore frequente: indicare genericamente "interessi legittimi" senza descrivere il bilanciamento tra l'interesse perseguito e i diritti dell'interessato. Le Linee Guida EDPB 06/2020 impongono una valutazione esplicita (Legitimate Interest Assessment — LIA) quando si invoca l'Art. 6.1.f.
Conservazione dei dati
L'informativa deve indicare i tempi di conservazione per ogni finalità, oppure i criteri utilizzati per determinarli. Non è accettabile la formula generica "per il tempo necessario": occorre specificare per esempio:
- Dati fiscali e contrattuali: 10 anni (Art. 2220 Codice Civile)
- Dati di marketing: 24 mesi dall'ultimo consenso (orientamento Garante)
- Log di accesso e dati tecnici: 6-12 mesi (orientamento Garante su sicurezza)
- Dati di candidature di lavoro: 12 mesi salvo consenso diverso
Trasferimenti extra-UE
Se il sito utilizza servizi con server al di fuori dell'UE (es. Google, Meta, HubSpot, AWS), l'informativa deve indicare:
- I paesi destinatari o le categorie di trasferimento
- Le garanzie adottate: Clausole Contrattuali Standard (SCCs, Dec. 2021/914/UE), Binding Corporate Rules, o adeguatezza riconosciuta (es. USA tramite EU-US Data Privacy Framework dal luglio 2023)
Diritti dell'interessato
L'informativa deve elencare tutti i diritti previsti dagli articoli 15-22 GDPR:
| Diritto | Articolo | Contenuto |
|---|---|---|
| Accesso | Art. 15 | Sapere se i propri dati sono trattati e ottenerne copia |
| Rettifica | Art. 16 | Correggere dati inesatti o incompleti |
| Cancellazione | Art. 17 | Ottenere la cancellazione in determinate circostanze |
| Limitazione | Art. 18 | Limitare il trattamento in casi specifici |
| Portabilità | Art. 20 | Ricevere i dati in formato strutturato e trasferirli |
| Opposizione | Art. 21 | Opporsi al trattamento per legittimo interesse o marketing |
| Revoca consenso | Art. 7.3 | Revocare il consenso senza pregiudicare il precedente |
| Reclamo al Garante | Art. 77 | Proporre reclamo all'Autorità di controllo |
Come deve essere redatta la privacy policy per essere davvero comprensibile?
Il GDPR (Art. 12) impone che le informazioni siano fornite in forma "concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro". Questo requisito è spesso sottovalutato.
Il Garante Privacy italiano ha sanzionato informative eccessive, incomprensibili o redatte esclusivamente in inglese per un pubblico italiano. Il documento non è un adempimento burocratico: è la misura principale di trasparenza verso l'utente.
Criteri pratici di redazione:
- Utilizzare linguaggio diretto, evitando tecnicismi legali non spiegati
- Strutturare il documento con titoli e paragrafi per finalità di trattamento
- Evitare le formule generiche ("potremmo trattare i vostri dati per altri scopi compatibili")
- Fornire link diretti alle informative di ogni servizio terzo integrato (Google, Meta, ecc.)
- Includere un contatto dedicato per l'esercizio dei diritti
Dove deve essere posizionata la privacy policy sul sito?
La privacy policy deve essere:
- Accessibile da ogni pagina del sito, tipicamente nel footer
- Presente prima della raccolta dati: il link deve essere visibile nel form di contatto, nel checkout, nel modulo di iscrizione
- Facilmente reperibile: non nascosta in sotto-menu o accessibile solo dopo la registrazione
Il Garante Privacy ha sanzionato casi in cui l'informativa era presente ma raggiungibile solo attraverso percorsi di navigazione non intuitivi.
Quali sono le sanzioni per assenza o inadeguatezza della privacy policy?
Le violazioni degli obblighi di informativa (artt. 13-14 GDPR) sono sanzionabili ai sensi dell'Art. 83.5 GDPR:
| Tipo di violazione | Sanzione massima |
|---|---|
| Mancanza totale dell'informativa | Fino a 20 milioni di euro o 4% fatturato mondiale |
| Informativa incompleta o incomprensibile | Fino a 20 milioni di euro o 4% fatturato mondiale |
| Assenza di informazioni su trasferimenti extra-UE | Fino a 20 milioni di euro o 4% fatturato mondiale |
Il Garante Privacy italiano applica il principio di proporzionalità: le sanzioni per PMI e professionisti sono parametrate alle dimensioni dell'attività, ma restano significative. La Relazione Annuale 2024 del Garante evidenzia che le violazioni relative all'informativa agli interessati costituiscono una delle categorie più contestate nelle attività ispettive.
Attenzione: Le sanzioni amministrative si aggiungono al rischio di reclami da parte degli interessati (Art. 77 GDPR) e di azioni legali per danni (Art. 82 GDPR). In caso di data breach, la mancanza di una corretta informativa aggrava la valutazione complessiva della conformità del titolare.
La privacy policy generica scaricata online va bene?
No. L'uso di template generici è una pratica diffusa ma rischiosa. L'Art. 13 GDPR richiede che l'informativa descriva i trattamenti effettivamente svolti da quel titolare, con le basi giuridiche specifiche, i tempi di conservazione reali e i terzi destinatari effettivamente coinvolti.
Un template generico:
- Non elenca i reali fornitori di servizi integrati (es. il sistema di prenotazione specifico, il CRM utilizzato)
- Contiene basi giuridiche errate o inadeguate rispetto ai trattamenti reali
- Ha tempi di conservazione inventati o assenti
- Non riflette eventuali trattamenti particolari (dati biometrici, dati sulla salute, minori)
Nella mia esperienza professionale, le ispezioni del Garante iniziano spesso proprio dall'esame dell'informativa: una privacy policy incoerente con i trattamenti reali è un indicatore di non conformità sistemica che spinge l'Autorità ad approfondire l'intera governance dei dati.
Privacy policy e cookie policy: sono lo stesso documento?
No. Sebbene spesso pubblicate insieme, si tratta di due documenti distinti con fonti normative diverse:
| Documento | Base normativa | Contenuto |
|---|---|---|
| Privacy Policy | Artt. 13-14 GDPR | Informativa su tutti i trattamenti di dati personali del sito |
| Cookie Policy | D.Lgs. 196/2003 + Linee Guida Garante 10/06/2021 | Descrizione dei cookie installati, categorie, durata, gestione del consenso |
Possono essere redatti come documento unico, a condizione che la sezione dedicata ai cookie sia chiaramente distinta e comprensibile in modo autonomo. Il Garante Privacy consente questa impostazione purché non comprometta la leggibilità di nessuno dei due documenti.
Domande Frequenti (FAQ)
La privacy policy è obbligatoria anche per un sito vetrina senza form di contatto? Se il sito non raccoglie alcun dato personale in modo attivo e utilizza solo cookie tecnici strettamente necessari (senza analytics, advertising o widget terzi), non sussiste l'obbligo di informativa ex Art. 13 GDPR. Tuttavia, la presenza di anche un solo cookie di analisi (es. Google Analytics) o di un widget terzo (es. chat, social plugin) reintroduce l'obbligo. Nella pratica, la quasi totalità dei siti attivi rientra nell'ambito applicativo.
La privacy policy va aggiornata quando cambiano i trattamenti? Sì. Il titolare è tenuto ad aggiornare l'informativa ogni volta che introduce nuovi trattamenti, cambia i fornitori di servizi, modifica le basi giuridiche o cambia i tempi di conservazione. L'Art. 12 GDPR impone che l'informativa sia sempre aggiornata e accurata. L'aggiornamento deve essere notificato agli interessati se i nuovi trattamenti li riguardano in modo significativo.
Un sito gestito da un libero professionista è tenuto alla privacy policy? Sì. Il GDPR non opera distinzioni basate sulla forma giuridica del titolare. Un professionista che raccoglie dati tramite il proprio sito (form di contatto, email di newsletter, agenda prenotazioni) è titolare del trattamento e soggetto agli stessi obblighi di un'azienda strutturata, con le riduzioni proporzionali previste per i soggetti che non trattano dati su larga scala.
Quanto può costare la redazione di una privacy policy professionale? Il costo dipende dalla complessità dei trattamenti. Un'informativa per un sito vetrina semplice ha una struttura ben definita; una privacy policy per un e-commerce con marketing automation, più fornitori terzi e trasferimenti extra-UE richiede un'analisi approfondita dei trattamenti, la mappatura dei fornitori e la verifica delle basi giuridiche. Non esistono tariffe standard pubblicate: i compensi seguono le linee guida del DM 147/2022 parametrate alla complessità.
La privacy policy redatta in modo non conforme può esporre a responsabilità verso i clienti? Sì. Oltre alle sanzioni amministrative del Garante, l'Art. 82 GDPR prevede il diritto al risarcimento del danno per chiunque abbia subito un pregiudizio materiale o immateriale a causa di una violazione. Un'informativa incompleta che ha impedito all'utente di comprendere come venivano usati i propri dati può fondare una richiesta risarcitoria.
Quando serve una consulenza personalizzata
Le informazioni contenute in questo articolo hanno carattere informativo generale e non costituiscono consulenza legale. La redazione di una privacy policy conforme richiede l'analisi specifica dei trattamenti effettivamente svolti, la verifica delle basi giuridiche applicabili, la mappatura dei fornitori terzi e la valutazione di eventuali trattamenti particolari. Si consiglia di rivolgersi a un professionista per la redazione o revisione del documento.
Disclaimer: Questo articolo ha finalità informative e non costituisce parere legale né consulenza professionale. Il contenuto rispecchia il quadro normativo vigente alla data di pubblicazione. Per valutare la conformità della propria situazione specifica al GDPR, è necessaria una consulenza individuale.
Autore
Avvocato iscritto all'Ordine di Sciacca (n. 747), specializzato in diritto delle tecnologie e privacy. Prima dell'attività forense ha sviluppato applicazioni web e architetture cloud, competenza che porta nell'analisi tecnico-giuridica di prodotti digitali, SaaS e sistemi AI. Assiste aziende e startup nell'adeguamento a GDPR, AI Act, NIS2 e DORA.
Profilo completo e competenze tecniche →