Diritto & Internet

10 cose che non si possono non sapere sul regolamento Privacy – 1: L'informativa

Digital-Signature-blueIl regolamento privacy (Regolamento (UE) 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa.

Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, diano un primo e sintetico orientamento alla nuova normativa.

Cos’è l’informativa privacy?

Per “informativa” o “privacy policy” si intende quell’insieme di informazioni che devono essere fornite agli interessati (cioè le persone fisiche i cui dati sono trattati) per permettere loro di conoscere le ragioni, i soggetti e le modalità con cui i loro dati personali saranno utilizzati.

Chi deve fornire l’informativa privacy?

L’informativa deve essere fornita dal titolare del trattamento o dal responsabile del trattamento, se è stato così istruito dal titolare.

Quali sono i contenuti dell’informativa?

Il GDPR prescrive in modo tassativo i contenuti dell’informativa agli artt. 13, 1° comma e 14, 1° comma.

Alcuni di questi erano già previsti dal nostro Codice privacy, per esempio,l’indicazione di: a) dati di contatto del titolare del trattamento e di eventuali responsabili di cui si avvale; b) finalità del trattamento (es. adempimento contrattuale, marketing, profilazione ecc.) ; c) l’obbligatorietà o meno della fornitura dei dati e le eventuali conseguenze in sua mancanza; c) i diritti dell’interessato.

Il GDPR arricchisce l’informativa con ulteriori informazioni che il titolare deve fornire all’interessato per procedere al trattamento, quali: a) i dati di contatto del Responsabile della protezione dei dati (Data Protection Officer, DPO), se designato; b) la base giuridica del trattamento (es. consenso; interesse pubblico; esecuzione contratto ecc.) e nel caso questa sia costituita da un interesse legittimo del titolare, specificarne i contenuti; c) se i dati saranno trasferiti in Paesi extra-europei e attraverso quali strumenti avverrà il trasferimento (es. decisione di adeguatezza; BCR; clausole contrattuali standard); d) il periodo di conservazione dei dati o i criteri utilizzati per calcolarlo; e) l’esistenza di un processo decisionale automatizzato (tra cui si include anche la profilazione) e le logiche su cui è fondato.

Quando deve essere fornita l’informativa privacy?

L’informativa deve essere consegnata all’interessato nel momento in cui i suoi dati sono raccolti, quindi prima dell’inizio di ogni tipo di trattamento. Il GDPR esonera i titolari dall’obbligo di informativa solo nel caso in cui l’interessato disponga già di tutte le informazioni (art. 13, 4° comma).

Nel caso in cui i dati non siano ottenuti presso l’interessato, invece, il titolare deve fornire all’interessato le informazioni sopra elencate (specificando inoltre la fonte di provenienza dei dati) entro un mese dalla loro raccolta o comunque al momento della loro comunicazione (a terzo o allo stesso interessato). Anche in questo caso il GDPR prevede alcune ipotesi di esonero (art. 14, 5° comma, es. quando l’adempimento risulti impossibile o richieda uno sforzo eccessivo). È compito e quindi responsabilità del titolare valutare il ricorrere di una delle circostanze indicate.

Una nuova informativa deve inoltre essere fornita all’interessato nel caso in cui il titolare decide di trattare i dati raccolti per finalità diverse rispetto a quelle originariamente comunicate.

Come deve essere fornita l’informativa privacy?

Anche in questo il GDPR definisce in maniera più chiara le modalità in cui l’informativa deve essere formulata e fornita.

In linea di principio l’informativa è fornita per iscritto o con altri mezzi, anche elettronici. Solo nel caso sia l’interessato a richiederlo, l’informativa potrà essergli fornita oralmente.

Per quanto riguarda la formulazione il GDPR precisa che l’informativa deve essere: concisa, trasparente, intelligibile e facilmente accessibile. In sostanza deve essere formulata con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori (art. 12, 1° comma). Inoltre, proprio per garantire la massima trasparenza e semplicità di lettura, si prevede che le informazioni possano essere fornite in combinazione con icone standardizzate per dare, in maniera intuitiva e facilmente comprensibile, un quadro d’insieme del trattamento previsto.

Avv. Maria Chiara Meneghetti

Aggiungi commento

Direttore Scientifico
Prof. Avv. Giusella Finocchiaro
Curatrice Editoriale
Dott. Giulia Giapponesi

Lo Studio Legale Finocchiaro prosegue la sua attività con DigitalMediaLaws, la nuova società tra Avvocati fondata dalla Prof.ssa Avv. Giusella Finocchiaro e dal Prof. Avv. Oreste Pollicino.

Visita il sito di DigitalMediaLaws