Sovranità digitale Cittadinanza digitale Intelligenza Artificiale Sicurezza Informatica Sanità digitale Documenti digitali Industria 5.0/Innovazione in azienda Libri Procurement dell'innovazione Guide alla scelta tech Infrastrutture digitali Fatturazione elettronica Scuola digitale Cultura e società digitali Mercati digitali Startup Sostenibilità e smart city

l'analisi

Informative privacy incomprensibili: il problema della trasparenza nel GDPR

Home Sicurezza digitale Privacy
Partecipa al dibattito
Indirizzo copiato

A otto anni dall’entrata in vigore del GDPR, molte informative privacy restano lunghe, complesse e poco comprensibili. La trasparenza, prevista dal Regolamento, non è solo un obbligo formale: incide su fiducia, reputazione aziendale, sanzioni e reale controllo degli utenti sui dati personali

Pubblicato il 4 mag 2026
Nicola Bernardi

Presidente di Federprivacy

edpb dpia
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Dopo decenni di privacy burocratica fatta di documenti da firmare senza neanche comprendere come fossero realmente utilizzati i loro dati personali, nel 2018 gli utenti avevano avuto la speranza di vedere finalmente un cambiamento con l’introduzione del GDPR, che nasceva con l’obiettivo dichiarato di restituire agli interessati il controllo sulle loro informazioni attraverso regole fondate su trasparenza, chiarezza e responsabilizzazione dei titolari del trattamento.

Informative privacy sotto tiro: gli errori che costano caro (e come evitarli)

Non è un caso che l’art. 12 del Regolamento UE 2016/679 imponga che le informazioni debbano essere fornite in forma “concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”. Eppure, a distanza di ben 8 anni dalla sua entrata in vigore, la realtà racconta purtroppo una storia ben diversa, e oggi sembra proprio di essere tornati al punto di partenza.

La trasparenza delle informative privacy tradita nella pratica

Nella maggioranza dei casi, le informative sulla privacy che attualmente popolano siti web, app, piattaforme di e-commerce e servizi di home banking sono infatti documenti lunghissimi, complessi e scritti in un gergo giuridico difficilmente comprensibile anche per utenti mediamente istruiti.

E sarebbe riduttivo concludere che questa prassi diffusa rappresenti giusto un peccato veniale comunicativo delle aziende, perché in realtà costituisce una vera e propria violazione dello spirito – e spesso anche della sostanza – del GDPR.

Uno studio di NordVPN ha evidenziato come una privacy policy sfiori mediamente le 7.000 parole, richiedendo circa 29 minuti per leggere un documento che in pratica è lungo circa 15/20 pagine di un testo che richiederebbe pure l’aiuto di un professionista per essere compreso bene.

Considerando il numero medio di siti visitati ogni mese, un utente dovrebbe pertanto dedicare oltre 46 ore – più di una settimana lavorativa – per leggere tutte le informative. Non sorprende, quindi, che un italiano su tre scelga di non leggerle affatto.

I numeri della sfiducia digitale

Neanche si può pretendere di scaricare sbrigativamente tutte le responsabilità sulla pigrizia degli utenti, o su un loro generalizzato disinteresse per le tutele in materia di privacy, perché una recente indagine di NielsenIQ ha evidenziato che per il 69% dei consumatori la percezione di un corretto trattamento dei dati personali è un fattore determinante per affidarsi a un’azienda, e 7 italiani su 10 dichiarano di aver evitato almeno una volta l’accesso a un sito o a una app per non condividere le proprie informazioni.

In realtà, la complessità della maggioranza delle policy supera ogni ragionevole aspettativa che rende materialmente impossibile una lettura consapevole delle politiche dei trattamenti di dati personali attuate da molte aziende.

Anche se gli utenti sono rassegnati a subire tali dinamiche, ciò non significa che se trovassero un’alternativa non potrebbero decidere di rivolgersi a un altro fornitore di servizi di cui si fidano maggiormente.

La trasparenza delle informative privacy come requisito giuridico

Sotto il profilo giuridico, la contraddizione è evidente: il GDPR impone trasparenza, ma la prassi operativa produce spesso opacità. E qui emerge un punto cruciale per i manager d’impresa: un’informativa lunga e incomprensibile non tutela l’azienda, ma la espone a rischi di vario genere, compresi quelli delle sanzioni che paradossalmente dovrebbe servire a evitare la pubblicazione di una privacy policy, ma anche quelli reputazionali del brand e della fiducia che l’utente dovrebbe avere per poter fare serenamente acquisti e fornire i propri dati personali ad una piattaforma online.

Gli articoli 13 e 14 del GDPR stabiliscono in modo dettagliato quali informazioni devono essere fornite agli interessati: finalità del trattamento, basi giuridiche, destinatari dei dati, tempi di conservazione, diritti esercitabili. Tuttavia, il legislatore europeo non ha mai richiesto che tali informazioni siano presentate in modo prolisso o tecnicamente oscuro. Al contrario, ha esplicitamente incoraggiato soluzioni innovative di semplificazione che sembrano essere state riposte in soffitta senza essere mai state neanche attuate.

Le soluzioni dimenticate per informative più accessibili

Tra queste, il considerando 60 e lo stesso articolo 12 del Regolamento fanno riferimento all’utilizzo di icone standardizzate per rendere immediatamente comprensibili i contenuti essenziali.

In questa direzione, anche il Garante per la protezione dei dati personali aveva promosso un contest per sviluppare simboli e soluzioni grafiche capaci di rendere le informative più accessibili. Un’iniziativa che, seppure lungimirante e fatta di buoni propositi, ha però visto la sostanziale indifferenza del mercato, e forse anche dagli stessi addetti ai lavori, che dopo l’assegnazione del premio ai vincitori è finita ben presto nel dimenticatoio.

Perché la trasparenza delle informative privacy conviene alle aziende

Perché le aziende continuano allora a preferire informative complesse? La risposta è spesso legata a un gap culturale che non è mai stato colmato: avvocati e consulenti ritengono ancora che un linguaggio giuridico articolato e una maggiore lunghezza possano offrire maggiore protezione legale. In realtà accade l’opposto. Un’informativa che non è comprensibile viola il principio di trasparenza e può essere considerata non conforme al GDPR, con il rischio di sanzioni e contenziosi.

Ma non è solo una questione normativa. È anche – e soprattutto – una questione di fiducia.

In un contesto digitale sempre più competitivo, la fiducia degli utenti rappresenta un asset strategico. Informative lunghe, oscure e piene di tecnicismi generano diffidenza. Al contrario, comunicazioni chiare e trasparenti rafforzano la relazione tra azienda e cliente. Questo è particolarmente rilevante in settori come il web banking, l’e-commerce e i servizi digitali avanzati, dove la condivisione dei dati è inevitabile e la fiducia diventa un fattore competitivo decisivo.

Come rendere reale la trasparenza delle informative privacy

La prima leva è culturale: occorre abbandonare una visione burocratica della compliance e adottare un approccio orientato all’utente. L’informativa non deve essere un documento difensivo, ma uno strumento di comunicazione più simile a una “carta dei servizi” che l’azienda dovrebbe sfoggiare con orgoglio per rendere noto il suo impegno nel rispettare la privacy dei propri clienti.

In questa prospettiva, l’elaborazione di una privacy policy ben fatta deve essere affidata a un giurista che, oltre ad essere ferrato nella normativa, abbia anche spiccate capacità comunicative e lessicali.

Buone pratiche operative per informative più chiare

Dal punto di vista operativo, alcune buone pratiche possono fare la differenza sono le seguenti:

Sintesi, linguaggio e visualizzazione

Sintesi e struttura: utilizzare livelli informativi, con una prima sintesi chiara e approfondimenti accessibili tramite link.

Linguaggio semplice: evitare il legalese e privilegiare frasi brevi, esempi concreti e terminologia comprensibile.

Visualizzazione: integrare icone, infografiche e schemi per facilitare la lettura.

Trasparenza, esperienza utente e consenso

Trasparenza reale: evidenziare in modo chiaro gli aspetti più rilevanti per l’utente, come la condivisione con terze parti o finalità di marketing.

User experience: progettare l’informativa come parte integrante dell’esperienza utente, non come un ostacolo da superare.

Non ricorrere a sotterfugi per il solo scopo di persuadere l’interessato a dare un consenso in realtà non consapevole.

Test di comprensione e rischi reputazionali

Per fugare ogni dubbio, la riprova empirica per essere certi che un’informativa rispecchi realmente i requisiti del GDPR è quella di sottoporla a un campione di diretti interessati a cui deve essere rivolto il testo, chiedendo loro se lo comprendono bene, oppure se necessitano di alcuni chiarimenti.

Inoltre, è fondamentale contrastare pratiche scorrette come i cosiddetti “dark pattern”, e la “privacy fatigue”, utilizzate da molte piattaforme che mirano solo a estorcere consensi agli utenti e indurli ad accettare passivamente policy che celano cavilli legali studiati ad arte per legittimare il massimo sfruttamento dei dati personali, ignorando però che tale approccio comporta in realtà un clamoroso effetto boomerang che mina la fiducia degli stessi utenti ed espone alle sanzioni delle autorità.

Infatti, queste pratiche sono sempre più nel mirino delle autorità di controllo e rischiano di compromettere seriamente la reputazione aziendale.

La trasparenza delle informative privacy misura la vera compliance

Per molti anni è stato affermato che il GDPR non è solo un insieme di obblighi da rispettare, ma rappresenta piuttosto un’opportunità, ma sono ancora pochissime le aziende che hanno saputo coglierla, trasformando la protezione dei dati da costo a leva strategica.

Occorre quindi tenere presente che la vera compliance non si misura sulla lunghezza delle informative, ma sulla loro capacità di essere comprese. E senza chiarezza e trasparenza non può esserci né compliance né fiducia, fattori indispensabili per rimanere competitivi nel mercato digitale.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

B
Nicola Bernardi
Presidente di Federprivacy

Presidente di Federprivacy | Consulente del Lavoro | Privacy Officer | Giornalista

Seguimi su

Leggi anche:

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Argomenti

Canali

InnovAttori

Vedi tutti gli approfondimenti >

Articoli correlati

  • Dpo, Data protection officer

  • la guida

    Privacy, il DPO: chi è e come nominarlo

    02 Set 2025

    di Roberto Benedetto e Anna Cataleta

    Condividi
  • cybersecurity italia

  • Browser e privacy

    Il consenso online diventa automatico: cosa cambia in Europa

    19 Feb 2026

    di Francesca Niola

    Condividi
  • Google vaultgemma; furto documenti; indipendenza garanti privacy ISO/IEC 27701:2025 europrivacy

  • l'analisi

    Potere e responsabilità nella cultura della protezione dei dati: la relazione annuale 2024 del Garante privacy

    15 Lug 2025

    di Anna Cataleta

    Condividi
0
Lascia un commento, la tua opinione conta.x