Informativa Privacy LGPD: Modello

← Blog documents-legaux
9 min di lettura
Aggiornato: 9 aprile 2026
WebLegal Team

L’informativa sulla privacy e il documento centrale della conformita alla LGPD (Legge n. 13.709/2018). Materializza il principio di trasparenza (articolo 6, VI) e costituisce lo strumento principale attraverso cui la vostra azienda informa gli interessati su come i loro dati personali vengono raccolti, utilizzati, conservati e condivisi. Un’informativa sulla privacy inadeguata non e semplicemente una lacuna documentale — e una violazione di legge che puo comportare sanzioni amministrative, procedimenti giudiziari e danni reputazionali. Questa guida illustra gli elementi obbligatori, gli errori comuni e le buone pratiche per creare un’informativa conforme alla LGPD, con riferimenti al GDPR e alle indicazioni del Garante per la protezione dei dati personali.

Perche un’informativa sulla privacy e obbligatoria

La LGPD non utilizza letteralmente l’espressione “informativa sulla privacy”, ma gli articoli 6 (principi), 9 (diritto all’informazione) e 18 (diritti degli interessati) rendono questo documento implicitamente obbligatorio. L’articolo 9 stabilisce che gli interessati hanno diritto a un accesso agevolato alle informazioni sul trattamento dei loro dati, che devono essere rese disponibili in modo chiaro, adeguato e visibile.

In pratica, l’ANPD e i tribunali brasiliani si aspettano che ogni organizzazione che tratta dati personali renda un’informativa sulla privacy accessibile sul proprio sito web. L’assenza di questo documento o la sua insufficienza costituisce una violazione dei principi di trasparenza e libero accesso, esponendo l’azienda alle sanzioni dell’articolo 52. Questo requisito e analogo a quello del GDPR (articoli 12-14), che il Garante per la protezione dei dati personali applica in Italia.

Elementi obbligatori di un’informativa privacy LGPD

Sulla base degli articoli 6, 9, 10 e 18 della LGPD, la vostra informativa sulla privacy deve contenere i seguenti elementi:

1. Identificazione del titolare e del DPO

Fornite il nome completo e i recapiti del titolare del trattamento (la vostra azienda) e del responsabile della protezione dei dati (encarregado). L’articolo 41 richiede la designazione di un DPO, e l’articolo 41, paragrafo 1, esige che la sua identita e i suoi recapiti siano resi pubblici, preferibilmente sul sito web del titolare.

2. Dati personali raccolti

Elencate in modo chiaro e specifico i tipi di dati personali che raccogliete. Non utilizzate termini vaghi come “varie informazioni personali”. Siate espliciti:

  • Dati identificativi: nome, CPF (codice fiscale), numero di documento, data di nascita
  • Dati di contatto: email, telefono, indirizzo
  • Dati finanziari: dati della carta di credito, storico delle transazioni
  • Dati di navigazione: indirizzo IP, cookie, cronologia di navigazione, informazioni sul dispositivo
  • Dati sensibili (se applicabile): dati sanitari, dati biometrici, origine razziale o etnica

3. Finalita del trattamento

Per ogni categoria di dati raccolti, descrivete la finalita specifica del trattamento (articolo 6, I). Esempi:

  • “I dati di contatto sono raccolti per l’invio di conferme d’ordine e comunicazioni di servizio”
  • “I dati di navigazione sono raccolti per l’analisi delle prestazioni del sito e il miglioramento dell’esperienza utente”
  • “I dati finanziari sono raccolti per l’elaborazione dei pagamenti”

Finalita generiche come “per migliorare i nostri servizi” sono insufficienti. Il Garante ha ugualmente sottolineato questa esigenza di specificita nel quadro del GDPR.

4. Basi giuridiche utilizzate

Indicate la base giuridica (articolo 7) che supporta ogni attivita di trattamento:

  • Consenso (articolo 7, I) — per marketing, newsletter, cookie non essenziali
  • Esecuzione contrattuale (articolo 7, V) — per elaborazione ordini, erogazione servizi
  • Obbligo legale (articolo 7, II) — per conservazione dati fiscali, conformita giuslavoristica
  • Legittimo interesse (articolo 7, IX) — per prevenzione frodi, sicurezza

5. Condivisione con terzi

Identificate le categorie di terzi con cui condividete dati personali e le finalita di tale condivisione:

  • Fornitori di servizi di pagamento
  • Fornitori di hosting e infrastruttura
  • Strumenti di analisi e marketing
  • Autorita pubbliche (quando richiesto dalla legge)

6. Trasferimenti internazionali

Se trasferite dati personali al di fuori del Brasile, comunicate:

  • I paesi o le organizzazioni verso cui i dati vengono trasferiti
  • La base giuridica del trasferimento (articolo 33)
  • Le garanzie adottate per proteggere i dati

7. Periodi di conservazione

Indicate per quanto tempo ogni categoria di dati sara conservata e i criteri che determinano tale periodo (articolo 15). Esempio: “I dati delle transazioni sono conservati per 5 anni dalla conclusione del servizio, in conformita ai requisiti fiscali.”

8. Diritti degli interessati

Descrivete i diritti che gli interessati possono esercitare ai sensi dell’articolo 18:

  • Conferma e accesso
  • Rettifica
  • Anonimizzazione, blocco o cancellazione
  • Portabilita
  • Cancellazione dei dati trattati sulla base del consenso
  • Informazione sulla condivisione
  • Revoca del consenso

Indicate chiaramente come esercitare questi diritti: canale di contatto (email, modulo), tempo di risposta e procedura.

9. Misure di sicurezza

Descrivete, in termini generali, le misure tecniche e organizzative adottate per proteggere i dati personali (articolo 46). Non rivelate dettagli che potrebbero compromettere la sicurezza, ma dimostrate che misure ragionevoli sono in atto: crittografia, controllo degli accessi, monitoraggio, backup.

Se il vostro sito web utilizza cookie, pixel di tracciamento o tecnologie simili, descrivete:

  • I tipi di cookie utilizzati (essenziali, analitici, di marketing)
  • Le finalita di ciascun tipo
  • Come gli utenti possono gestire le proprie preferenze sui cookie

Per gestire il consenso ai cookie in modo conforme, potete utilizzare un banner cookie gratuito e conforme al GDPR.

Errori comuni delle informative sulla privacy

1. Copiare da un altro sito web. Un’informativa che non riflette le vostre effettive pratiche di trattamento viola il principio di trasparenza. L’ANPD si aspetta che la vostra informativa sia specifica per la vostra organizzazione. Anche il Garante ha sanzionato aziende in Italia per informative generiche.

2. Utilizzare il consenso come unica base giuridica. Molte aziende dichiarano che tutti i trattamenti si basano sul consenso quando in realta si fondano sull’esecuzione contrattuale o su un obbligo legale. Questo crea problemi quando un interessato revoca il consenso per un trattamento che non ne dipendeva.

3. Omettere il DPO. La LGPD richiede la designazione di un DPO (articolo 41). Omettere questa informazione dalla vostra informativa e una violazione evidente.

4. Non menzionare i trasferimenti internazionali. Se utilizzate servizi come Google Analytics, AWS, Stripe o Mailchimp, i vostri dati vengono trasferiti fuori dal Brasile. Questi trasferimenti devono essere comunicati.

5. Linguaggio inaccessibile. La LGPD richiede che le informazioni siano rese disponibili in modo chiaro e adeguato (articolo 9). Un eccessivo gergo legale viola questo requisito. Anche il Garante raccomanda un linguaggio chiaro e comprensibile.

6. Non aggiornare regolarmente. Le vostre pratiche di trattamento evolvono: nuovi fornitori, nuove funzionalita, nuovi tipi di dati. La vostra informativa deve rimanere aggiornata.

Differenza tra informativa sulla privacy e condizioni d’uso

Sono documenti distinti con finalita diverse:

Informativa sulla privacy: Spiega come raccogliete, utilizzate e proteggete i dati personali. Fondata sulla LGPD. Obbligatoria per qualsiasi sito web che raccoglie dati.

Condizioni d’uso: Stabiliscono le regole di utilizzo del vostro sito web o servizio. Fondate sul Codice Civile e sul Codice del Consumo. Definiscono responsabilita, restrizioni d’uso e proprieta intellettuale.

Entrambi i documenti sono necessari e devono essere complementari, con riferimenti incrociati dove opportuno.

Quattro approcci per creare la vostra informativa sulla privacy

Assumere un avvocato specializzato

Costo: da 5.000 a 15.000 BRL. Tempistica: da 2 a 4 settimane.

Un avvocato specializzato in protezione dei dati analizza i vostri flussi di dati, identifica le basi giuridiche applicabili e redige un’informativa su misura. Raccomandato per aziende con trattamento complesso di dati sensibili o trasferimenti internazionali significativi.

Utilizzare uno strumento di IA generico

Costo apparente: 0 BRL. Costo reale: un’informativa che sembra completa ma omette elementi obbligatori.

Gli strumenti di IA generici non verificano i vostri effettivi flussi di dati e producono frequentemente informative che mescolano i requisiti del GDPR e della LGPD senza adeguato adattamento al contesto brasiliano.

Copiare un modello gratuito

Costo: 0 BRL. Rischio: elevato.

I modelli gratuiti sono generici e mai adattati alla vostra specifica attivita. L’ANPD si aspetta che ogni informativa rifletta le effettive pratiche dell’organizzazione, non un testo standard.

Utilizzare un generatore di documenti legali specializzato

Costo: 19,90 € a 49,90 €. Tempistica: meno di 10 minuti.

Un generatore specializzato pone domande sulla vostra azienda, i vostri dati, i vostri fornitori e le vostre pratiche, e produce un’informativa sulla privacy adattata ai requisiti della LGPD. Include basi giuridiche, diritti degli interessati, informazioni sul DPO e comunicazioni sui trasferimenti internazionali.

Per verificare rapidamente la conformita del vostro sito, utilizzate il nostro scanner di conformita gratuito. Consultate anche la nostra guida completa alla LGPD e il nostro confronto LGPD vs GDPR.

Conclusione

Un’informativa sulla privacy e piu di un documento legale — e l’espressione concreta dell’impegno della vostra azienda nella protezione dei dati personali dei vostri clienti e utenti. Ai sensi della LGPD, deve essere specifica, trasparente, accessibile e aggiornata. Con l’ANPD che applica attivamente la legge e i tribunali brasiliani sempre piu sensibili alle questioni di privacy, investire in un’informativa adeguata e una delle azioni di conformita con il miglior ritorno che possiate intraprendere. Per le aziende italiane soggette anche al GDPR e alla supervisione del Garante, un approccio coordinato garantisce la conformita in entrambe le giurisdizioni. Non aspettate una notifica o una causa legale per agire — proteggete i vostri clienti e la vostra azienda ora.