Quando si applicano le informative sulla privacy e cosa fare dopo

Le informative sulla privacy si applicano quando un'azienda SaaS raccoglie dati personali direttamente, li riceve da un'altra fonte oppure modifica un workflow esistente in modo da cambiare anche ciò che deve spiegare alle persone interessate. Il passo pratico successivo non è chiedersi se esista già una policy da qualche parte. È capire quale attività è in scope, se entra in gioco l'articolo 13 o 14 GDPR, chi possiede l'aggiornamento, dove deve comparire l'informazione e quali evidenze dimostrano che il testo pubblicato corrisponde alla realtà operativa.

Quando si applicano

Il primo caso è la raccolta diretta tramite signup, demo request, supporto, eventi o telemetria collegata a un account identificabile. Qui di solito conta l'articolo 13.

Il secondo caso è la raccolta indiretta tramite lead enrichment, import di contatti, dati dei dipendenti caricati dal cliente o file di due diligence. Qui spesso cambia l'analisi dell'articolo 14 e anche la tempistica.

Il terzo caso è il cambiamento materiale di un workflow: nuovi campi, nuovi vendor, nuovi destinatari o nuova telemetria possono rendere non più accurata un'informativa prima corretta.

Cosa fare dopo

1. Definire con precisione workflow e fonte dei dati

Descrivi l'attività in termini concreti e chiarisci se i dati arrivano direttamente dalla persona o da un'altra fonte.

2. Confermare i fatti che l'informativa deve riflettere

Verifica:

• quali categorie di dati sono coinvolte;
• per quali finalità;
• quale base giuridica si applica;
• chi riceve i dati;
• se ci sono trasferimenti, profilazione o decisioni automatizzate;
• come si determina la conservazione.

3. Scegliere il modello di consegna

La risposta può essere un aggiornamento dell'informativa centrale, testo sul form, messaggi just-in-time nel prodotto, linguaggio di onboarding o una combinazione. Conta che la persona riceva l'informazione giusta nel punto giusto del workflow.

4. Assegnare owner e trigger

Definisci chi segnala i cambiamenti, chi valuta se la trasparenza va aggiornata, chi approva il testo, chi lo pubblica e chi conserva le evidenze.

5. Salvare evidenze utili

Sono spesso utili:

• il testo live;
• lo storico versioni;
• screenshot di dove compare l'informativa;
• approvazioni e date di pubblicazione;
• note sul ragionamento articolo 13 o 14.

Errori comuni

Molti team trattano il tema come un semplice fix di copy. Altri si affidano a una sola pagina web per tutti i contesti. Altri ancora dimenticano la raccolta indiretta o rivedono l'informativa solo a calendario invece che dopo un cambiamento materiale. Se nessuno sa dimostrare cosa è stato pubblicato e quando, il controllo è più debole di quanto sembri.

Esempi pratici

Un nuovo form demo con campi aggiuntivi richiede allineamento tra copy del form, uso nel CRM e informativa centrale. Una lista lead importata apre spesso una questione di articolo 14. L'onboarding enterprise con dati dei dipendenti richiede chiarezza su ruoli e logica di trasparenza. Nuova telemetria identificabile impone di rivedere finalità, destinatari, conservazione e visibilità.

Takeaway pratico

Le informative sulla privacy si applicano quando le persone hanno bisogno di informazioni chiare, tempestive e accurate sul trattamento dei loro dati personali. Il passo successivo è operativo: delimitare l'attività, confermare i fatti, scegliere il canale giusto, assegnare ownership e conservare evidenze. Così la trasparenza diventa parte della launch readiness e dell'audit readiness, non una correzione legale fatta all'ultimo minuto.