La privacy policy non è un copia-incolla
Copiare la privacy policy di un competitor o usare un template generico scaricato online è una scorciatoia che crea problemi reali. Il Garante Privacy ha sanzionato aziende proprio perché la policy dichiarava trattamenti diversi da quelli effettivi, o mancava delle informazioni richieste dall'art. 13 GDPR. Una privacy policy deve descrivere esattamente come la tua startup tratta i dati — non come un'altra azienda ipotetica li tratta.
Struttura obbligatoria ai sensi dell'art. 13 GDPR
Titolare del trattamento
Indica la ragione sociale, sede legale, P.IVA e un indirizzo email di contatto della società. È il soggetto che prende le decisioni sui dati e risponde delle violazioni.
Finalità e basi giuridiche
Per ogni categoria di trattamento devi indicare la finalità (perché tratti i dati) e la base giuridica. Le basi giuridiche GDPR sono sei, ma le più usate dalle startup sono:
- Esecuzione del contratto: dati necessari per erogare il servizio (es. email per l'account)
- Consenso: newsletter, cookie di profilazione, comunicazioni marketing
- Legittimo interesse: sicurezza del servizio, prevenzione frodi, analytics di prima parte — ma deve essere bilanciato con i diritti dell'interessato
- Obbligo legale: dati fiscali, obblighi antiriciclaggio
Categorie di dati trattati
Elenca in modo specifico: dati anagrafici, dati di contatto, dati di pagamento, dati di navigazione (IP, cookie), dati di comportamento sul prodotto. Se tratti dati "particolari" (salute, origine etnica, ecc.) devi indicarlo esplicitamente con la base giuridica specifica.
- Identità e contatti del Titolare del trattamento
- Finalità e base giuridica per ogni categoria di trattamento
- Eventuali destinatari o categorie di destinatari (fornitori SaaS, partner)
- Trasferimenti extra-UE e garanzie adottate (SCC, adeguatezza)
- Periodo di conservazione per ogni categoria di dati
- Diritti degli interessati (accesso, rettifica, cancellazione, portabilità, opposizione)
- Diritto di proporre reclamo al Garante
- Se presente, contatti del DPO
Cookie di profilazione
Se usi cookie di terze parti per retargeting (Facebook Pixel, Google Ads, TikTok Pixel), devi indicarli esplicitamente nella privacy policy e nella cookie policy, con link alle informative dei rispettivi fornitori. La base giuridica è il consenso — non puoi usare il legittimo interesse per i cookie di profilazione.
Trattamento dei dati di minori
Se il tuo servizio può raggiungere minori di 14 anni (soglia italiana), hai obblighi aggiuntivi: verificare l'età e, per i minori sotto soglia, ottenere il consenso del genitore o tutore. Per servizi chiaramente destinati a adulti è sufficiente dichiararlo esplicitamente in policy e durante la registrazione.
Diritti degli interessati
La policy deve spiegare come esercitare i diritti GDPR: accesso (sapere quali dati hai su di me), rettifica, cancellazione ("diritto all'oblio"), limitazione del trattamento, portabilità, opposizione. Devi rispondere entro 30 giorni (prorogabili a 90 per richieste complesse). Struttura un processo interno — anche una semplice email a privacy@tuastartup.com — e documentalo.
Aggiornamento e versioning
Ogni volta che aggiungi un nuovo strumento (CRM, analytics, chatbot, integrazione AI), aggiorna la privacy policy. Mantieni uno storico delle versioni con data di aggiornamento. Per le modifiche sostanziali che riguardano il consenso, notifica gli utenti via email con almeno 30 giorni di anticipo.
Approfondisci la gestione del consenso nella guida al GDPR per startup e gli aspetti contrattuali in contratti essenziali startup.