Diritto & Internet

10 cose che non si possono non sapere sul regolamento Privacy – 1: L'informativa

Digital-Signature-blueIl regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa.

Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, diano un primo e sintetico orientamento alla nuova normativa.

Cos’è l’informativa privacy?

Per “informativa” o “privacy policy” si intende quell’insieme di informazioni che devono essere fornite agli interessati (cioè le persone fisiche i cui dati sono trattati) per permettere loro di conoscere le ragioni, i soggetti e le modalità con cui i loro dati personali saranno utilizzati.

Chi deve fornire l’informativa privacy?

L’informativa deve essere fornita dal titolare del trattamento o dal responsabile del trattamento, se è stato così istruito dal titolare.

Quali sono i contenuti dell’informativa?

Il GDPR prescrive in modo tassativo i contenuti dell’informativa agli artt. 13, 1° comma e 14, 1° comma.

Alcuni di questi erano già previsti dal nostro Codice privacy, per esempio,l’indicazione di: a) dati di contatto del titolare del trattamento e di eventuali responsabili di cui si avvale; b) finalità del trattamento (es. adempimento contrattuale, marketing, profilazione ecc.) ; c) l’obbligatorietà o meno della fornitura dei dati e le eventuali conseguenze in sua mancanza; c) i diritti dell’interessato.

Il GDPR arricchisce l’informativa con ulteriori informazioni che il titolare deve fornire all’interessato per procedere al trattamento, quali: a) i dati di contatto del Responsabile della protezione dei dati (Data Protection Officer, DPO), se designato; b) la base giuridica del trattamento (es. consenso; interesse pubblico; esecuzione contratto ecc.) e nel caso questa sia costituita da un interesse legittimo del titolare, specificarne i contenuti; c) se i dati saranno trasferiti in Paesi extra-europei e attraverso quali strumenti avverrà il trasferimento (es. decisione di adeguatezza; BCR; clausole contrattuali standard); d) il periodo di conservazione dei dati o i criteri utilizzati per calcolarlo; e) l’esistenza di un processo decisionale automatizzato (tra cui si include anche la profilazione) e le logiche su cui è fondato.

Quando deve essere fornita l’informativa privacy?

L’informativa deve essere consegnata all’interessato nel momento in cui i suoi dati sono raccolti, quindi prima dell’inizio di ogni tipo di trattamento. Il GDPR esonera i titolari dall’obbligo di informativa solo nel caso in cui l’interessato disponga già di tutte le informazioni (art. 13, 4° comma).

Nel caso in cui i dati non siano ottenuti presso l’interessato, invece, il titolare deve fornire all’interessato le informazioni sopra elencate (specificando inoltre la fonte di provenienza dei dati) entro un mese dalla loro raccolta o comunque al momento della loro comunicazione (a terzo o allo stesso interessato). Anche in questo caso il GDPR prevede alcune ipotesi di esonero (art. 14, 5° comma, es. quando l’adempimento risulti impossibile o richieda uno sforzo eccessivo). È compito e quindi responsabilità del titolare valutare il ricorrere di una delle circostanze indicate.

Una nuova informativa deve inoltre essere fornita all’interessato nel caso in cui il titolare decide di trattare i dati raccolti per finalità diverse rispetto a quelle originariamente comunicate.

Come deve essere fornita l’informativa privacy?

Anche in questo il GDPR definisce in maniera più chiara le modalità in cui l’informativa deve essere formulata e fornita.

In linea di principio l’informativa è fornita per iscritto o con altri mezzi, anche elettronici. Solo nel caso sia l’interessato a richiederlo, l’informativa potrà essergli fornita oralmente.

Per quanto riguarda la formulazione il GDPR precisa che l’informativa deve essere: concisa, trasparente, intelligibile e facilmente accessibile. In sostanza deve essere formulata con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori (art. 12, 1° comma). Inoltre, proprio per garantire la massima trasparenza e semplicità di lettura, si prevede che le informazioni possano essere fornite in combinazione con icone standardizzate per dare, in maniera intuitiva e facilmente comprensibile, un quadro d’insieme del trattamento previsto.

Maria Chiara Meneghetti

Aggiungi commento

Direttore Scientifico
Prof. Avv. Giusella Finocchiaro
Curatrice Editoriale
Dott. Giulia Giapponesi