Privacy Policy sito web per il settore della cosmesi: come adeguarla per non incorrere in sanzioni

Pubblicare la Privacy Policy del proprio sito web è fondamentale per adempiere alle normative correnti. Le informative da pubblicare sul sito, però, costituiscono soltanto la punta dell’iceberg di tutto un lavoro più ampio e complesso che ogni azienda dovrebbe effettuare per non incorrere in sanzioni pecuniarie. Come è necessario agire per adeguare la propria Privacy Policy? Cosa prevede il GDPR Regolamento 2016/679?

Privacy Policy del sito web: perché è importante affidarsi a professionisti

Il GDPR Regolamento 2016/679 prevede un'analisi e quindi l’adeguamento dell'intera organizzazione aziendale nel suo complesso. In sostanza, la Privacy Policy del sito web della tua Azienda dev’essere adeguatamente studiata e redatta da professionisti, affinché rispetti il Regolamento Ue.

Oggi sono disponibili servizi online, che offrono pacchetti con costi molto competitivi rispetto a quelli di una consulenza personalizzata da parte di un professionista e che promettono di risolvere in modo rapido e senza pensieri il tema del rispetto normativo. In realtà questi sono dei tools, quindi degli strumenti, che dovrebbero essere utilizzati da un professionista in grado di sapere in che modo impiegarli e a quale scopo.

Spesso si è convinti che basti acquistare i servizi di privacy policy per mettersi al riparo da sanzioni e affinché il proprio sito web sia a norma; questi sono però solo strumenti, che devono essere maneggiati da figure esperte, che sappiano in che modo devono essere configurati e utilizzati. I tools, infatti, non effettuano una gestione automatica di eventuali cambi normativi, che possono coinvolgere i Paesi extra-europei; inoltre, essere sempre aggiornati da un consulente sui cambiamenti di normativa in atto permette di dormire sonni tranquilli e non incorrere in sanzioni pecuniarie.

I tools, se non impostati da un Legale secondo l'effettiva organizzazione dell'Azienda e se non gestiti da un punto di vista tecnico da una Web Agency, si risolvono in un mero adempimento di facciata. Nel caso in cui non dovessero insorgere dei problemi, infatti, il rischio di sanzioni resterebbe solo potenziale.

Devi sapere che il sito web della tua Azienda potrebbe essere passibile di verifica da parte del Garante Privacy, accertamento magari sollecitato da una segnalazione di terzi, come ad esempio un consumatore o un competitor. Devi inoltre considerare che il Garante utilizza proprio i siti web delle aziende, e in particolare le piattaforme e-commerce, per verificare il comportamento delle aziende stesse rispetto alla gestione dei dati personali.

Questo significa che i siti web e gli e-commerce rappresentano la vetrina da cui il Garante, in caso rilevi anomalie, potrebbe far scattare delle verifiche in Azienda. Il principale criterio utilizzato dal Garante per i propri interventi è l'urgenza, e le priorità sono in larga parte dettate dalle dimensioni del soggetto da verificare.

Questo non significa che si possa trascurare l’aspetto della Privacy Policy del sito web; considerando inoltre la pesantezza delle sanzioni, che possono raggiungere il 4% del fatturato, è consigliabile gestire con cautela tutti questi aspetti. Considera che, tra gennaio 2020 e gennaio 2021, le multe sono aumentate di circa il 40%, arrivando a totalizzare 158,5 milioni di euro, e che le Autorità di Protezione dei dati hanno registrato 121.165 notifiche di violazione.

Privacy Policy e sanzioni: quali aspetti considerare per non rischiare

Sono svariati i fattori che regolamentano la protezione dei dati personali all’interno dei paesi dell’UE. Per evitare di incorrere in sanzioni, ti invitiamo a considerare i principali criteri utilizzati per valutare una violazione del GDPR e per stabilire l’importo pecuniario di una possibile multa.

1. Gravità, natura e durata della violazione Questo criterio prende in esame il numero di persone colpite, i danni subiti dalle stesse e quanto tempo si è reso necessario per risolvere la violazione.

2. Intenzione di utilizzare i dati per una finalità diversa da quella espressa La violazione dei dati personali degli utenti è stata intenzionale o è il risultato di una negligenza?

3. Mitigazione L’Azienda che ha violato i dati personali dei visitatori del proprio sito web ha tentato di alleviare il danno subito dalle persone colpite dalla violazione?

4. Misure precauzionali L’Azienda ha messo in atto misure di sicurezza organizzative e tecniche preventive, politiche sulla privacy o protezione dei dati personali per essere conforme al Regolamento GDPR?

5. Pregressi e storico L’Azienda ha uno storico di non conformità pregressa? Ha già violato in precedenza il GDPR? Se sì, qual è stata la gravità e la frequenza delle violazioni?

6. Collaborazione e cooperazione A seguito della scoperta di una violazione dei dati personali dei visitatori del sito web, l’Azienda ha cercato di porre rimedio e di cooperare?

7. Tipologia di dati Quali dati personali sono stati coinvolti dalla violazione? Sono informazioni ritenute sensibili? Se sì, qual è il livello di sensibilità?

8. Notifica L’Azienda ha segnalato pro-attivamente la violazione all’Autorità di vigilanza oppure c’è stato un ritardo?

9. Certificazione Bisogna valutare se l’Azienda abbia seguito i codici di condotta approvati o se sia stata precedentemente certificata.

10. Fattori aggravanti e fattori attenuanti

Questo criterio riguarda qualsiasi altra questione derivante dalle circostanze del caso, come ad esempio i benefici finanziari ottenuti o le perdite evitate come risultato della violazione.

Avrai compreso l’importanza di non sottovalutare la Privacy Policy del sito web della tua Azienda. Non è infatti sufficiente che siti e piattaforme e-commerce acquistino servizi economici pensando di soddisfare i dettami normativi del GDPR; è necessario comprendere che quelli messi a disposizione dal mercato sono dei semplici tools che possono essere presi in considerazione se gestiti da Professioni del Diritto e impostati da tecnici.