Governance

Informativa privacy: cosa deve contenere e come scriverla

Scopri come redigere un’informativa privacy completa e conforme al regolamento europeo.

modello di informativa sulla privacy

17 Dicembre 2025

Indice dei contenuti

  • Che cos’è l’informativa privacy
  • Chi è il titolare del trattamento
  • Le finalità e le basi giuridiche del trattamento
  • Quali dati personali possono essere trattati
  • Destinatari e comunicazione dei dati
  • Periodo di conservazione dei dati personali
  • Diritti degli interessati
  • Come redigere un modello di informativa sulla privacy

Se gestisci un sito web, un e-commerce o semplicemente raccogli informazioni attraverso moduli di contatto, ti sei mai chiesto se la tua informativa privacy è davvero conforme al Regolamento europeo?

Molti imprenditori e professionisti sottovalutano questo documento, considerandolo un semplice obbligo burocratico. In realtà, l’informativa sulla privacy rappresenta una garanzia fondamentale per la tutela delle persone fisiche e per la trasparenza nel trattamento dei dati personali.

Una corretta informativa privacy non solo evita sanzioni, ma rafforza la fiducia degli utenti, chiarendo chi tratta i dati personali, per quali finalità del trattamento, con quali basi giuridiche e per quanto tempo tali dati vengono conservati.

In questo articolo vedremo nel dettaglio che cos’è, cosa deve contenere e come costruire un modello di informativa sulla privacy efficace e conforme alla normativa vigente.

Che cos’è l’informativa privacy

L’informativa privacy è un documento che ogni soggetto pubblico o privato deve fornire quando raccoglie o tratta dati personali di utenti, clienti o dipendenti. È prevista dal Regolamento europeo 2016/679 (GDPR), che ha introdotto nuove regole a tutela delle persone fisiche in materia di protezione dei dati.

Questo documento deve spiegare in modo chiaro e comprensibile come vengono raccolti, usati e conservati i dati personali da parte del titolare del trattamento. Non si tratta quindi di un testo formale o tecnico, ma di un’informazione che deve garantire facile accesso, trasparenza e comprensibilità anche a chi non è esperto di diritto.

L’obiettivo dell’informativa sulla privacy è consentire all’interessato di sapere cosa accade ai propri dati e di esercitare i diritti riconosciuti dal GDPR: accesso, rettifica, cancellazione, limitazione e opposizione al trattamento dei dati personali.

Chi è il titolare del trattamento

Il titolare del trattamento è la persona fisica o giuridica che decide come e perché vengono trattati i dati personali.

Esempio
Se gestisci un sito web, tu stesso sei il titolare del trattamento, poiché stabilisci quali dati raccogliere (nome, email, cookie tecnici o di profilazione) e per quali finalità del trattamento.

Nell’informativa privacy devono essere indicati chiaramente:

  • il nome o la ragione sociale del titolare;
  • i suoi dati di contatto (email, indirizzo, telefono);
  • eventualmente, il responsabile della protezione dei dati (DPO), se previsto dalla legge.

Il DPO non è obbligatorio per tutte le organizzazioni, ma deve essere nominato quando le attività principali comportano un monitoraggio sistematico e regolare su larga scala o il trattamento di categorie particolari di dati (ad esempio sanitari).

Le finalità e le basi giuridiche del trattamento

Ogni informativa deve specificare le finalità del trattamento, cioè gli scopi per cui vengono raccolti i dati. Ad esempio:

  • gestione degli ordini e delle spedizioni;
  • invio di newsletter informative;
  • analisi del traffico del sito web;
  • adempimenti legali o contrattuali.

Accanto alle finalità, il documento deve indicare la base giuridica del trattamento, cioè il motivo per cui il trattamento è legittimo secondo il GDPR. Le principali basi giuridiche sono:

  • consenso dell’interessato (ad esempio per ricevere comunicazioni promozionali);
  • adempimento di un contratto (gestione di un acquisto online);
  • obbligo legale (conservazione di documenti fiscali);
  • legittimo interesse del titolare (es. sicurezza informatica, prevenzione frodi).

Ogni modello di informativa sulla privacy deve specificare la base giuridica del trattamento per ciascuna finalità.

Quali dati personali possono essere trattati

I dati personali sono tutte le informazioni che identificano o rendono identificabile una persona fisica.

Possono essere dati comuni (nome, cognome, email), dati particolari (origine etnica, opinioni politiche, convinzioni religiose, dati genetici o biometrici) o dati relativi a minori.

Un’informativa sulla privacy deve spiegare con precisione quali dati vengono raccolti e per quale scopo. Ad esempio:

“Il nostro sito web raccoglie i seguenti dati: nome, cognome, indirizzo email, indirizzo IP, cookie tecnici e di analisi.”

È importante specificare se i dati sono raccolti direttamente dall’utente o tramite terze parti, come servizi di analisi, social network o piattaforme di pagamento.

comunicazione dei dati

Destinatari e comunicazione dei dati

Ogni informativa deve contenere un elenco o una descrizione delle categorie di destinatari a cui i dati possono essere comunicati.

Esempio
Fornitori di servizi informatici, società di hosting, consulenti fiscali, corrieri, o enti pubblici in caso di obblighi di legge.

La comunicazione dei dati deve essere sempre limitata al minimo necessario per le finalità dichiarate e deve avvenire solo verso soggetti autorizzati o che agiscono come responsabili del trattamento.

In caso di trasferimento verso terze parti situate fuori dallo Spazio Economico Europeo, l’informativa privacy deve spiegare quali garanzie vengono adottate (ad esempio, clausole contrattuali standard approvate dalla Commissione Europea).

Periodo di conservazione dei dati personali

Un punto fondamentale riguarda il periodo di protezione dei dati personali, cioè per quanto tempo i dati vengono conservati.

Il GDPR impone che i dati siano mantenuti solo per il tempo necessario a conseguire le finalità per cui sono stati raccolti.

Per esempio:

  • dati relativi alla fatturazione: 10 anni;
  • dati per l’iscrizione alla newsletter: fino a revoca del consenso;
  • dati per la sicurezza informatica: pochi mesi.

Il modello di informativa sulla privacy deve dunque precisare i tempi di conservazione o i criteri usati per determinarli.

Diritti degli interessati

Ogni informativa sulla privacy deve spiegare in modo chiaro quali diritti spettano all’interessato. Tra questi:

  • diritto di accesso ai propri dati;
  • diritto di rettifica o cancellazione;
  • diritto alla limitazione del trattamento;
  • diritto alla portabilità dei dati;
  • diritto di opposizione.

È inoltre necessario indicare come esercitare questi diritti, specificando l’indirizzo email o l’ufficio competente presso il titolare del trattamento.

Come redigere un modello di informativa sulla privacy

Un buon modello di informativa sulla privacy deve essere:

  • chiaro e conciso, scritto in linguaggio comprensibile;
  • facilmente accessibile, ad esempio con un link visibile nel footer del sito web;
  • completo, includendo tutte le informazioni previste dal GDPR;
  • aggiornato, in base a modifiche normative o tecniche.

Ecco una struttura base:

  • Identità del titolare del trattamento
  • Dati di contatto del responsabile della protezione dei dati (se presente)
  • Finalità e basi giuridiche del trattamento
  • Categorie di destinatari
  • Periodo di conservazione dei dati
  • Diritti dell’interessato
  • Modalità di esercizio dei diritti
  • Eventuale trasferimento a paesi terzi
  • Aggiornamenti dell’informativa

Domande e risposte

  1. Che cos’è l’informativa privacy?
    È il documento che informa l’utente su come vengono raccolti e trattati i suoi dati personali.
  2. Chi deve fornire l’informativa privacy?
    Ogni titolare del trattamento che raccoglie o tratta dati di persone fisiche.
  3. Quali elementi deve contenere un’informativa sulla privacy?
    Identità del titolare, finalità e basi giuridiche del trattamento, destinatari, periodo di conservazione e diritti dell’interessato.
  4. Cosa si intende per titolare del trattamento?
    È il soggetto che decide come e perché vengono trattati i dati personali.
  5. Chi è il responsabile della protezione dei dati (DPO)?
    È la figura che vigila sulla corretta applicazione del GDPR all’interno di un’organizzazione.
  6. Qual è la base giuridica più comune per trattare i dati personali?
    Il consenso, il contratto, l’obbligo legale o il legittimo interesse.
  7. I dati possono essere comunicati a terze parti?
    Sì, ma solo se necessario e nel rispetto delle garanzie previste dal Regolamento europeo.
  8. Per quanto tempo si possono conservare i dati personali?
    Solo per il tempo necessario alle finalità per cui sono stati raccolti.
  9. Dove va pubblicata l’informativa privacy di un sito web?
    Nel footer del sito o in una sezione facilmente accessibile da ogni pagina.
  10. Cosa succede se un’azienda non ha un’informativa privacy corretta?§
    Può incorrere in sanzioni elevate e perdere credibilità agli occhi dei clienti.
3
To top