Modello gratuito di Informativa sulla Privacy (GDPR)
Crea un'informativa sulla privacy completa e conforme al GDPR (Reg. UE 2016/679) e al D.Lgs. 196/2003 (Codice Privacy italiano). Il documento informa gli interessati su chi tratta i loro dati, perché, su quale base giuridica, per quanto tempo e quali diritti possono esercitare.
Meridian Technologies S.r.l.
P.IVA: IT09876543210
Via Roma 42, 20121 Milano (MI)
Email: privacy@meridiantech.it
PEC: meridiantech@pec.it
Dati anagrafici (nome, cognome, data di nascita), dati di contatto (email, telefono, indirizzo), dati di navigazione (indirizzo IP, cookie, pagine visitate), dati di acquisto (ordini, importi, metodi di pagamento)
I dati personali sono raccolti direttamente dall'interessato o, ove applicabile, da fonti di terzi (art. 14 GDPR). Non vengono trattate categorie particolari di dati (art. 9 GDPR) salvo espressa menzione nella presente informativa.
(1) Esecuzione del contratto di servizio e gestione del rapporto commerciale (2) Adempimenti fiscali, contabili e obblighi legali (3) Invio newsletter e comunicazioni commerciali (previo consenso) (4) Miglioramento dei servizi tramite analisi statistiche aggregate
I dati non saranno utilizzati per finalità ulteriori o incompatibili con quelle dichiarate senza preventiva comunicazione all'interessato.
(a) Art. 6.1.b GDPR — Esecuzione del contratto (finalità 1) (b) Art. 6.1.c GDPR — Obbligo legale (finalità 2) (c) Art. 6.1.a GDPR — Consenso dell'interessato (finalità 3) (d) Art. 6.1.f GDPR — Legittimo interesse del Titolare (finalità 4)
Nei casi in cui il trattamento si basa sul consenso (art. 6 comma 1 lett. a GDPR), l'interessato ha il diritto di revocare il proprio consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca.
Periodi specifici di conservazione:
Dati contrattuali e fiscali: 10 anni (art. 2220 c.c.) Dati di marketing: 24 mesi dall'ultimo consenso Dati di navigazione/cookie: 6 mesi Dati per assistenza clienti: 3 anni dalla chiusura del ticket
Decorso il periodo di conservazione, i dati saranno cancellati o resi anonimi in modo irreversibile, salvo l'obbligo di conservazione previsto da specifiche disposizioni di legge.
• Dipendenti e collaboratori del Titolare autorizzati al trattamento, nei limiti delle loro mansioni
• Fornitori di servizi tecnici e amministrativi (responsabili del trattamento ex art. 28 GDPR), vincolati da appositi accordi
• Autorità pubbliche e forze dell'ordine, nei casi previsti dalla legge
I dati non saranno diffusi pubblicamente né ceduti a terzi per finalità proprie di questi ultimi, salvo consenso specifico dell'interessato.
• Accesso (art. 15) — ottenere conferma dell'esistenza del trattamento e copia dei propri dati
• Rettifica (art. 16) — ottenere la correzione di dati inesatti o l'integrazione di dati incompleti
• Cancellazione (art. 17) — ottenere la cancellazione dei dati ("diritto all'oblio"), ove sussistano i presupposti
• Limitazione (art. 18) — ottenere la limitazione del trattamento in specifiche circostanze
• Portabilità (art. 20) — ricevere i propri dati in formato strutturato, leggibile da dispositivo automatico
• Opposizione (art. 21) — opporsi al trattamento per motivi connessi alla propria situazione particolare
Per esercitare i propri diritti, l'interessato può contattare il Titolare a: privacy@meridiantech.it oppure DPO: dpo@meridiantech.it
L'interessato ha altresì il diritto di proporre reclamo al Garante per la protezione dei dati personali (www.garanteprivacy.it), Piazza Venezia 11, 00187 Roma, ai sensi dell'art. 77 GDPR.
I dati possono essere trasferiti negli USA tramite Google Analytics 4 (decisione di adeguatezza e DPA) e Mailchimp/Intuit (clausole contrattuali tipo SCC approvate dalla Commissione Europea, Dec. 2021/914).
I trasferimenti verso paesi privi di una decisione di adeguatezza della Commissione Europea (art. 45 GDPR) vengono effettuati sulla base di Clausole Contrattuali Tipo (SCC) approvate dalla Commissione Europea (art. 46 comma 2 lett. c GDPR) o di altre garanzie appropriate. L'elenco aggiornato dei trasferimenti è disponibile su richiesta al Titolare.
Marco Ferretti, CIPP/E — dpo@meridiantech.it — Tel. +39 02 9876543
Il DPO può essere contattato per qualsiasi questione relativa al trattamento dei dati personali o all'esercizio dei diritti dell'interessato. La designazione del DPO non esime il Titolare dalle proprie responsabilità in materia di protezione dei dati.
Cloud hosting: Amazon Web Services EMEA SARL (Dublino, IE) Email marketing: Mailchimp / Intuit Inc. (USA — SCC) Pagamenti: Stripe Payments Europe Ltd. (Dublino, IE) Analisi web: Google LLC — Google Analytics 4 (USA — DPA) Commercialista: Studio Associato Rossi and Partners (Milano)
L'elenco completo e aggiornato dei responsabili del trattamento è disponibile su richiesta al Titolare. I responsabili del trattamento possono a loro volta avvalersi di sub-responsabili, previa autorizzazione scritta del Titolare e con le medesime garanzie.
Non vengono effettuate decisioni basate unicamente sul trattamento automatizzato, inclusa la profilazione, che producano effetti giuridici o incidano in modo analogo significativamente sugli interessati (art. 22 GDPR).
Ove venga effettuata profilazione automatizzata con effetti giuridici significativi, l'interessato ha il diritto di: (a) ottenere l'intervento umano; (b) esprimere la propria opinione; (c) contestare la decisione.
• Cifratura dei dati in transito e a riposo (ove appropriato)
• Controllo degli accessi e autenticazione a più fattori
• Backup periodici e procedure di ripristino (Business Continuity)
• Formazione periodica del personale autorizzato al trattamento
• Procedure per la gestione delle violazioni di dati personali (data breach) con notifica al Garante entro 72 ore (art. 33 GDPR) e, ove necessario, comunicazione all'interessato (art. 34 GDPR)
Riferimenti normativi: Reg. UE 2016/679 (GDPR) · D.Lgs. 196/2003 mod. D.Lgs. 101/2018 · Linee guida EDPB
Cos'è un'informativa sulla privacy?
L'informativa sulla privacy (detta anche privacy policy o informativa ex artt. 13-14 GDPR) è il documento con cui il titolare del trattamento informa le persone fisiche (interessati) su come vengono trattati i loro dati personali. Il GDPR (Regolamento UE 2016/679), applicabile in tutta l'UE dal 25 maggio 2018, impone al titolare l'obbligo di fornire queste informazioni in modo conciso, trasparente, intelligibile e facilmente accessibile, con un linguaggio chiaro e semplice, in particolare per qualsiasi informazione destinata specificamente ai minori.
Gli artt. 13 e 14 del GDPR elencano le informazioni obbligatorie che devono essere incluse nell'informativa: l'identità e i recapiti del titolare del trattamento (e dell'eventuale DPO), le finalità e le basi giuridiche del trattamento, i destinatari o le categorie di destinatari dei dati, l'eventuale trasferimento verso Paesi terzi, il periodo di conservazione, l'elenco dei diritti degli interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione) e il diritto di proporre reclamo all'Autorità di controllo (Garante Privacy in Italia). L'art. 13 si applica quando i dati sono raccolti direttamente dall'interessato; l'art. 14 quando sono acquisiti da fonti diverse.
In Italia, il GDPR si applica congiuntamente al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018, che ha adattato la normativa nazionale al GDPR. Il Garante Privacy italiano ha pubblicato numerosi provvedimenti e linee guida che integrano il GDPR per settori specifici (siti web, rapporti di lavoro, videosorveglianza, marketing). La violazione dell'obbligo informativo è sanzionabile con sanzioni amministrative fino a 10 milioni di euro o al 2% del fatturato mondiale annuo.
Cosa include questo modello
Il modello di informativa privacy di Doxuno include tutte le sezioni richieste dagli artt. 13-14 del GDPR, aggiornate alle più recenti indicazioni del Garante Privacy italiano.
Titolare del trattamento
Identità, sede e recapiti del titolare, con eventuale DPO
Dati raccolti
Categorie di dati personali trattati: anagrafici, di contatto, fiscali, comportamentali
Finalità e base giuridica
Per ogni finalità: scopo del trattamento e base giuridica (consenso, contratto, obbligo legale, interesse legittimo)
Destinatari dei dati
Categorie di soggetti a cui i dati sono comunicati o che vi hanno accesso
Trasferimenti extra-UE
Paesi terzi in cui i dati vengono trasferiti e garanzie adottate
Periodo di conservazione
Termini di retention per ciascuna finalità di trattamento
Diritti degli interessati
Accesso, rettifica, cancellazione, portabilità, opposizione e limitazione
Trattamento dati sensibili (Expert)
Trattamento di categorie particolari di dati (salute, origine etnica, convinzioni religiose)
Come creare l'informativa sulla privacy
Creare un'informativa privacy conforme al GDPR con Doxuno è guidato e completo. Il modello assicura che tutte le sezioni obbligatorie siano incluse.
- 1
Identifica il titolare del trattamento
Inserisci i dati del titolare: denominazione o nome/cognome, sede legale, P.IVA, email e numero di telefono del referente privacy. Se hai nominato un DPO (Data Protection Officer), indica i suoi recapiti.
- 2
Elenca i dati che raccogli
Identifica tutte le categorie di dati personali che tratti: dati anagrafici, email, dati di navigazione, dati di pagamento, CV, dati di salute (se applicabile). Sii specifico ma non eccessivamente dettagliato.
- 3
Definisci finalità e basi giuridiche
Per ogni finalità di trattamento specifica la base giuridica: consenso (art. 6, par. 1, lett. a) GDPR), esecuzione di un contratto (lett. b), obbligo legale (lett. c), interesse legittimo (lett. f). Non usare 'interesse legittimo' in modo generico.
- 4
Indica i destinatari dei dati
Elenca le categorie di soggetti a cui comunichi i dati: fornitori di servizi IT, consulenti, istituti finanziari, autorità pubbliche. Non è necessario indicare i nomi specifici, bastano le categorie.
- 5
Specifica i periodi di conservazione
Per ogni finalità, indica per quanto tempo conservi i dati: contratti (10 anni per prescrizione), dati fiscali (5 anni + eventuale anno in corso), marketing (fino alla revoca del consenso), dati di navigazione (tipicamente 13 mesi).
- 6
Pubblica e mantieni aggiornata
Genera il PDF e pubblica l'informativa sul sito con un link accessibile dal footer. Aggiorna l'informativa ogni volta che cambi una finalità, un fornitore o un trasferimento internazionale di dati.
Considerazioni legali
L'informativa privacy è un obbligo legale inderogabile ai sensi del GDPR. La sua assenza o incompletezza espone il titolare a sanzioni significative del Garante Privacy.
Questo modello ha scopo informativo e non sostituisce la consulenza di un esperto di protezione dei dati. Per trattamenti complessi o che riguardano categorie particolari di dati, raccomandiamo la consulenza di un DPO o di un consulente privacy.
Verificato da esperti legali
Obblighi informativi — artt. 13-14 GDPR
L'art. 13 GDPR si applica quando i dati personali sono raccolti direttamente dall'interessato (modulo di contatto, registrazione, ordine online). L'art. 14 GDPR si applica quando i dati sono acquisiti da fonti diverse dall'interessato (liste di marketing, dati pubblici). In entrambi i casi, le informazioni devono essere fornite in forma concisa, trasparente e facilmente accessibile, usando un linguaggio chiaro e semplice.
Basi giuridiche del trattamento — art. 6 GDPR
Il trattamento è lecito solo se si basa su una delle sei basi giuridiche dell'art. 6 GDPR: (a) consenso dell'interessato; (b) necessità contrattuale; (c) obbligo legale; (d) tutela di interessi vitali; (e) esecuzione di compito di interesse pubblico; (f) legittimo interesse del titolare. L'interesse legittimo (lett. f) richiede un bilanciamento con i diritti dell'interessato e non può essere usato per aggirare il consenso per trattamenti di profilazione o marketing.
Diritti degli interessati — artt. 15-22 GDPR
Il GDPR riconosce agli interessati i seguenti diritti: accesso (art. 15), rettifica (art. 16), cancellazione/diritto all'oblio (art. 17), limitazione del trattamento (art. 18), portabilità (art. 20, solo per trattamenti basati su consenso o contratto), opposizione (art. 21, per trattamenti basati su interesse legittimo). Il titolare deve rispondere alle richieste entro 30 giorni (prorogabili a 90 in casi complessi). Il rifiuto deve essere motivato.
Trasferimenti internazionali — artt. 44-49 GDPR
Il trasferimento di dati personali verso Paesi terzi fuori dall'UE/SEE è consentito solo in presenza di: (a) una decisione di adeguatezza della Commissione UE (es. USA con EU-US Data Privacy Framework); (b) garanzie appropriate come le Clausole Contrattuali Standard (SCC) approvate dalla Commissione; (c) norme vincolanti d'impresa (BCR) per i gruppi multinazionali. L'informativa deve indicare i Paesi terzi destinatari e le garanzie adottate.
Sanzioni — art. 83 GDPR
Il GDPR prevede sanzioni amministrative a due livelli: fino a 10 milioni di euro o al 2% del fatturato mondiale annuo per violazioni degli obblighi del titolare (inclusa l'informativa ex artt. 13-14), e fino a 20 milioni di euro o al 4% del fatturato mondiale annuo per violazioni dei principi fondamentali del trattamento. Il Garante Privacy italiano ha già irrogato sanzioni significative a imprese di varie dimensioni per informative incomplete o assenti.
Domande frequenti
Crea la tua informativa privacy GDPR adesso
Metti in regola la tua attività con un'informativa privacy completa conforme al GDPR e alle indicazioni del Garante Privacy italiano. Compila il modulo e scarica il PDF in pochi minuti.
Free · Instant PDF · No account required