Privacy policy startup: come redigerla e cosa includere nel 2026

A cura della Redazione · Aggiornato il 1 luglio 2026 · 3 min di lettura

La privacy policy non è un copia-incolla

Copiare la privacy policy di un competitor o usare un template generico scaricato online è una scorciatoia che crea problemi reali. Il Garante Privacy ha sanzionato aziende proprio perché la policy dichiarava trattamenti diversi da quelli effettivi, o mancava delle informazioni richieste dall'art. 13 GDPR. Una privacy policy deve descrivere esattamente come la tua startup tratta i dati — non come un'altra azienda ipotetica li tratta.

Struttura obbligatoria ai sensi dell'art. 13 GDPR

Titolare del trattamento

Indica la ragione sociale, sede legale, P.IVA e un indirizzo email di contatto della società. È il soggetto che prende le decisioni sui dati e risponde delle violazioni.

Finalità e basi giuridiche

Per ogni categoria di trattamento devi indicare la finalità (perché tratti i dati) e la base giuridica. Le basi giuridiche GDPR sono sei, ma le più usate dalle startup sono:

  • Esecuzione del contratto: dati necessari per erogare il servizio (es. email per l'account)
  • Consenso: newsletter, cookie di profilazione, comunicazioni marketing
  • Legittimo interesse: sicurezza del servizio, prevenzione frodi, analytics di prima parte — ma deve essere bilanciato con i diritti dell'interessato
  • Obbligo legale: dati fiscali, obblighi antiriciclaggio

Categorie di dati trattati

Elenca in modo specifico: dati anagrafici, dati di contatto, dati di pagamento, dati di navigazione (IP, cookie), dati di comportamento sul prodotto. Se tratti dati "particolari" (salute, origine etnica, ecc.) devi indicarlo esplicitamente con la base giuridica specifica.

In sintesi — cosa non può mancare nella privacy policy:
  • Identità e contatti del Titolare del trattamento
  • Finalità e base giuridica per ogni categoria di trattamento
  • Eventuali destinatari o categorie di destinatari (fornitori SaaS, partner)
  • Trasferimenti extra-UE e garanzie adottate (SCC, adeguatezza)
  • Periodo di conservazione per ogni categoria di dati
  • Diritti degli interessati (accesso, rettifica, cancellazione, portabilità, opposizione)
  • Diritto di proporre reclamo al Garante
  • Se presente, contatti del DPO

Cookie di profilazione

Se usi cookie di terze parti per retargeting (Facebook Pixel, Google Ads, TikTok Pixel), devi indicarli esplicitamente nella privacy policy e nella cookie policy, con link alle informative dei rispettivi fornitori. La base giuridica è il consenso — non puoi usare il legittimo interesse per i cookie di profilazione.

Trattamento dei dati di minori

Se il tuo servizio può raggiungere minori di 14 anni (soglia italiana), hai obblighi aggiuntivi: verificare l'età e, per i minori sotto soglia, ottenere il consenso del genitore o tutore. Per servizi chiaramente destinati a adulti è sufficiente dichiararlo esplicitamente in policy e durante la registrazione.

Diritti degli interessati

La policy deve spiegare come esercitare i diritti GDPR: accesso (sapere quali dati hai su di me), rettifica, cancellazione ("diritto all'oblio"), limitazione del trattamento, portabilità, opposizione. Devi rispondere entro 30 giorni (prorogabili a 90 per richieste complesse). Struttura un processo interno — anche una semplice email a privacy@tuastartup.com — e documentalo.

Aggiornamento e versioning

Ogni volta che aggiungi un nuovo strumento (CRM, analytics, chatbot, integrazione AI), aggiorna la privacy policy. Mantieni uno storico delle versioni con data di aggiornamento. Per le modifiche sostanziali che riguardano il consenso, notifica gli utenti via email con almeno 30 giorni di anticipo.

Approfondisci la gestione del consenso nella guida al GDPR per startup e gli aspetti contrattuali in contratti essenziali startup.