Ogni organizzazione canadese del settore privato che raccoglie informazioni personali online ha un obbligo: pubblicare una privacy policy conforme al Personal Information Protection and Electronic Documents Act (PIPEDA). Ma cosa significa esattamente “policy conforme”? Quali menzioni sono obbligatorie e quali distinguono un modello generico da un documento che l’Office of the Privacy Commissioner of Canada (OPC) considerera sufficiente in caso di reclamo? Questa guida dettaglia i requisiti precisi, propone una struttura di modello conforme e identifica le sezioni che la maggior parte dei modelli gratuiti omette. Per le aziende italiane gia abituate al GDPR e al Codice Privacy (D.Lgs. 196/2003), conoscere queste differenze e particolarmente rilevante quando si servono clienti canadesi.
Perche il PIPEDA richiede una privacy policy
L’ottavo principio dell’Allegato 1 del PIPEDA — la trasparenza — impone che “le politiche e le pratiche di un’organizzazione relative alla gestione delle informazioni personali” siano “facilmente accessibili”. La privacy policy pubblicata sul vostro sito web e lo strumento principale di questo obbligo. Non e un documento di marketing ne un avvertimento difensivo: e l’impegno pubblico e opponibile della vostra organizzazione nei confronti delle persone i cui dati tratta.
Un obbligo cumulativo. Il PIPEDA richiede una policy in applicazione del principio di trasparenza, ma anche del principio di identificazione delle finalita (secondo principio): le finalita della raccolta devono essere comunicate prima o al momento della raccolta. Senza una policy accessibile, la raccolta dati attraverso il vostro sito e tecnicamente non conforme fin dalla prima visita.
Un obbligo opponibile. Una volta pubblicata, la policy vi vincola. Se dichiarate di non condividere dati con terzi e un’indagine rivela un trasferimento a un fornitore di analisi non menzionato, violate sia il vostro impegno sia il sesto principio (limitazione dell’uso, della comunicazione e della conservazione). E proprio per questo che una policy generica copiata da un altro sito e pericolosa: non riflette le vostre pratiche reali.
Per il quadro generale del PIPEDA e la sua applicazione, consultate la nostra guida completa per le aziende canadesi.
Le 10 menzioni obbligatorie della vostra policy PIPEDA
L’OPC ha pubblicato linee guida dettagliate sul contenuto atteso di una privacy policy conforme. Ecco gli elementi imprescindibili, organizzati secondo la logica dei dieci principi dell’Allegato 1.
1. Identita dell’organizzazione e contatti del responsabile della privacy. La vostra policy deve nominare l’entita giuridica che controlla i dati e designare chiaramente la persona responsabile della conformita PIPEDA. I contatti devono permettere un contatto diretto (email e indirizzo postale). Una semplice casella “contatto@…” senza nome del responsabile e insufficiente.
2. Tipi di informazioni raccolte. Elencate in modo specifico le categorie di dati: nome, indirizzo email, indirizzo IP, dati di geolocalizzazione, identificativi del dispositivo, cronologia di navigazione, dati di transazione, contenuti inviati dall’utente. Il livello di dettaglio deve consentire a una persona ordinaria di sapere cosa la riguarda.
3. Finalita della raccolta. Per ogni categoria, indicate perche raccogliete i dati: esecuzione di un ordine, gestione di un account, sicurezza del sito, misurazione dell’audience, marketing, obblighi di legge. Il secondo principio vieta la raccolta “per ogni evenienza”: ogni raccolta deve avere una finalita documentata.
4. Base del consenso. Specificate quale tipo di consenso ottenete (esplicito o implicito) per ciascuna categoria di finalita e come l’utente puo revocarlo. Per le informazioni sensibili (salute, finanza, biometria), il consenso esplicito e obbligatorio.
5. Destinatari e terzi. Identificate le categorie di terzi con cui condividete informazioni: fornitori di pagamento, hosting, servizi di analisi, responsabili di marketing, partner commerciali. Specificate la finalita di ciascun trasferimento. Se utilizzate Google Analytics, Meta, Stripe o un fornitore di posta elettronica statunitense, devono essere elencati.
6. Trasferimenti transfrontalieri. Se i dati lasciano il Canada, la vostra policy deve indicarlo esplicitamente e identificare i Paesi di destinazione. L’OPC ha precisato che gli utenti devono essere informati che i loro dati possono essere soggetti a leggi straniere, comprese quelle che consentono l’accesso da parte di autorita governative estere.
7. Misure di sicurezza. Descrivete in termini non tecnici le misure che proteggono le informazioni: cifratura in transito (HTTPS), cifratura a riposo, controlli di accesso, sorveglianza, backup. Il settimo principio richiede misure proporzionate alla sensibilita dei dati.
8. Periodi di conservazione. Indicate per quanto tempo conservate ciascuna categoria di dati e secondo quali criteri (durata della relazione con il cliente + obblighi legali fiscali e contabili). Una formula vaga come “il tempo necessario” non basta.
9. Diritti degli interessati. Enunciate i diritti che la persona puo esercitare sotto il PIPEDA: accesso alle proprie informazioni, correzione di inesattezze, revoca del consenso, reclamo al responsabile della privacy e poi all’OPC. Descrivete la procedura pratica per esercitare ciascun diritto (modulo, email dedicata, tempo di risposta).
10. Procedura di violazione e di reclamo. Indicate come l’organizzazione gestisce le violazioni delle misure di sicurezza e come l’utente puo presentare un reclamo. Questa sezione e trattata in maggior dettaglio piu avanti, perche la maggior parte dei modelli la omette.
Differenze rispetto a una policy GDPR
Se operate anche in Europa, potreste gia disporre di una privacy policy GDPR. Potete semplicemente ripubblicarla per il Canada? La risposta breve e no.
Vocabolario e riferimenti. Il PIPEDA usa “informazioni personali” e non “dati personali”; “violazione delle misure di sicurezza” e non “violazione dei dati”; “Office of the Privacy Commissioner of Canada” e non “autorita di controllo” o “Garante Privacy”. Una policy che parla di “autorita di controllo” senza nominare l’OPC e inadeguata per un pubblico canadese.
Basi giuridiche. Il GDPR enumera sei basi giuridiche (articolo 6): consenso, contratto, obbligo legale, interesse vitale, missione di interesse pubblico, interessi legittimi. Il PIPEDA opera quasi esclusivamente sul consenso (con eccezioni limitate previste all’articolo 7). Una policy che invoca l‘“interesse legittimo” sotto il PIPEDA e giuridicamente infondata.
Diritti degli interessati. Il GDPR enumera otto diritti espliciti (accesso, rettifica, cancellazione, limitazione, portabilita, opposizione, decisioni automatizzate, reclamo). Il PIPEDA riconosce tre diritti chiari: accesso, correzione, reclamo. Il “diritto all’oblio” non esiste formalmente sotto il PIPEDA — sebbene la giurisprudenza si stia evolvendo. Una policy che promette diritti inesistenti potrebbe creare un’aspettativa non opponibile.
Notifica delle violazioni. Il GDPR impone 72 ore per la notifica all’autorita. Il PIPEDA richiede una notifica all’OPC “il prima possibile” quando la violazione presenta un rischio reale di pregiudizio significativo, senza scadenza precisa. Le modalita differiscono abbastanza da meritare una redazione dedicata.
La sezione violazioni: cio che i modelli dimenticano
Da novembre 2018, gli articoli da 10.1 a 10.3 del PIPEDA impongono un obbligo di notifica delle violazioni delle misure di sicurezza. Questo obbligo ha una conseguenza diretta sulla privacy policy: essa deve descrivere pubblicamente la procedura in caso di violazione, perche gli utenti hanno il diritto di sapere come saranno avvisati se le loro informazioni vengono compromesse.
Elementi da includere in questa sezione:
- L’impegno dell’organizzazione a valutare ogni violazione secondo il criterio del “rischio reale di pregiudizio significativo” (RRPS)
- Il canale di notifica utilizzato (email diretta, lettera, notifica nell’account cliente)
- Il termine obiettivo di notifica dopo il rilevamento
- L’impegno a notificare l’OPC nei casi in cui sia constatato il RRPS
- La tenuta di un registro interno di tutte le violazioni, anche quelle che non raggiungono la soglia RRPS
- La possibilita per l’utente di richiedere la consultazione delle proprie notifiche storiche
Perche questa sezione e cosi rara. I modelli generici disponibili gratuitamente online sono stati per lo piu redatti prima del 2018 o copiati da modelli europei. Raramente menzionano il RRPS, mai il registro interno e raramente forniscono un canale di notifica chiaro. E una lacuna di conformita massiccia e facilmente rilevabile dall’OPC in caso di indagine.
Il mancato rispetto dell’obbligo di notifica e punito con multe specifiche fino a 100.000 CAD — l’unica sanzione monetaria direttamente quantificata nel PIPEDA attuale.
Quattro approcci per redigere la vostra policy
Avvocato specializzato in privacy
Costo: da 2.500 a 8.000 CAD. Tempo: da 2 a 4 settimane.
Un avvocato canadese specializzato verifica i vostri flussi di dati reali, redige una policy su misura e la aggiorna in caso di cambiamenti normativi. E l’opzione piu rigorosa, raccomandata per le aziende che trattano informazioni sensibili (salute, finanza, dati di minori) o che operano in piu giurisdizioni canadesi (PIPEDA + Legge 25 + Alberta PIPA + B.C. PIPA).
Modello gratuito online
Costo: 0 CAD. Rischio: elevato.
I modelli gratuiti sono generici, spesso redatti sotto un altro regime giuridico (GDPR, CCPA), e mai adattati alla vostra attivita specifica. Tipicamente omettono la sezione violazioni, non menzionano correttamente l’OPC e creano un falso senso di conformita. In caso di reclamo, sono insufficienti.
Strumento di IA generico (ChatGPT e simili)
Costo apparente: 0 CAD. Costo reale: le lacune che lascia.
Un assistente di IA generalista produce un testo che sembra una policy conforme, ma non puo verificare le vostre pratiche reali, non conosce la versione piu recente delle linee guida dell’OPC e confonde frequentemente il PIPEDA con altri regimi. Il risultato supera il test visivo, non quello giuridico.
Generatore specializzato in documenti legali
Costo: da 14,90 a 49,90 CAD. Tempo: meno di 10 minuti.
Un generatore specializzato pone domande mirate sulla vostra attivita, sulle categorie di dati, sui responsabili esterni e sulla giurisdizione, quindi produce una policy che soddisfa i requisiti specifici del PIPEDA — inclusa la sezione violazioni, i diritti canadesi e i riferimenti all’OPC. Lo scanner di conformita di WebLegal copre i requisiti PIPEDA e identifica le lacune della vostra policy attuale. Questo approccio offre il miglior rapporto rigore-costo per la maggior parte delle aziende canadesi online.
Conclusione
Una privacy policy conforme al PIPEDA non e un copia-incolla di un modello europeo ne il risultato di un generatore generico. E un documento che riflette le vostre pratiche reali, integra i dieci principi dell’Allegato 1, nomina correttamente le autorita canadesi e include una sezione violazioni robusta. Con il disegno di legge C-27 che portera le sanzioni a 10 milioni di CAD o al 3 % del fatturato mondiale, la differenza tra una policy “passabile” e una policy realmente conforme diventera rapidamente un rischio finanziario importante. Agite prima che questa transizione diventi vincolante.
