Informativa privacy
Ognuno di noi ha – almeno una volta – sentito parlare di “informativa privacy”, ma sappiamo davvero cos’è? Probabilmente non del tutto.
Questo documento esisteva ancor prima dell’entrata in vigore del GDPR (General Data Protection Regulation, ossia il Regolamento Generale sulla Protezione dei Dati, Regolamento UE 2016/679), ma è soprattutto dal 25 maggio 2018, giorno in cui il GDPR è divenuto pienamente applicabile, che si è ripreso a parlarne senza – probabilmente – avere ben chiaro cosa sia e quale sia la sua reale funzione.
Il GDPR definisce chiaramente le informazioni che l’interessato ha il diritto di ricevere ed entro quali termini, prevedendo, altresì, pesanti sanzioni per il titolare del trattamento nel caso in cui ciò non avvenga correttamente.
Ebbene sì, il GDPR non parla espressamente di “informativa”, ma di “informazioni” da fornire all’interessato, in attuazione del fondamentale principio di trasparenza legittimante il trattamento dei dati personali.
L’informativa privacy è lo strumento attraverso il quale il titolare del trattamento concretizza il diritto dell’interessato di ricevere le prescritte informazioni.
Andiamo, quindi, a vedere sinteticamente cos’è l’informativa privacy, qual è il suo contenuto, quali sono le sue caratteristiche, i suoi tempi e le modalità per fornirla. È comunque sempre da tenere a mente che non si tratta di uno sterile adempimento, ma di una delle basi di legittimazione del trattamento, la cui inadeguatezza comporta rilevanti sanzioni.
Informativa privacy: cos’è
Come accennato, l’informativa privacy o, più precisamente, informativa sul trattamento dei dati personali, è lo strumento con il quale titolare del trattamento (il soggetto che sceglie perché trattare i dati personali e come) fornisce all’interessato (la persona fisica i cui dati personali vengono trattati) tutte le prescritte informazioni sulle finalità e le modalità del trattamento, nonché sui diritti riconosciuti dalla normativa.
Dunque, l’informativa privacy è volta a rendere consapevole l’interessato dell’identità di chi tratterà i suoi dati, per quali finalità, con chi verranno condivisi e per quanto tempo verranno conservati. Con il GDPR non siamo più di fronte ad un mero adempimento formale, ma ad un vero e proprio strumento di informazione e consapevolezza, che costituisce espressione dell’essenziale principio di trasparenza di cui all’articolo 5 del GDPR.
Conseguentemente, nell’ipotesi di inadeguata o – addirittura – mancante informativa privacy, ci troveremo di fronte alla violazione di un principio fondamentale che costituisce una delle basi di legittimazione del trattamento dei dati personali, rendendo così tale trattamento illegittimo.
Informativa privacy: contenuto tassativo
Il GDPR indica negli articoli 13 e 14 le informazioni che devono tassativamente essere fornite all’interessato e, dunque, essere contenute nell’informativa privacy.
In particolare, l’informativa deve necessariamente indicare:
- l’identità e i dati di contatto del titolare del trattamento (ossia del soggetto che determina le finalità e i mezzi del trattamento);
- i dati di contatto del Responsabile della Protezione dei Dati (più noto come “DPO”), ove nominato;
- le finalità del trattamento (ossia perché vengono trattati i dati) e la base giuridica del trattamento (ossia la giustificazione che legittima il trattamento);
- gli eventuali legittimi interessi perseguiti dal titolare del trattamento o da terzi;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati;
- l’eventuale trasferimento dei dati in Paesi Terzi (cioè fuori dall’Unione Europea) od organizzazioni internazionali e attraverso quali strumenti (ad esempio, sulla base di una decisione di adeguatezza della Commissione europea, di specifiche clausole contrattuali standard, ecc.);
- il periodo di conservazione dei dati oppure, qualora ciò non sia possibile, i criteri utilizzati per determinarlo;
- i diritti dell’interessato (diritto di accesso ai dati, diritto di rettifica dei dati inesatti, diritto alla cancellazione dei dati, diritto di limitazione del trattamento, diritto di opposizione al trattamento e diritto alla portabilità dei dati);
- il diritto di revocare il consenso prestato, qualora esso sia la ragione legittimante il trattamento;
- il diritto di proporre reclamo a un’autorità di controllo (ossia, in Italia, il Garante per la protezione dei dati personali);
- l’esistenza di processi decisionali automatizzati, come la profilazione (ad esempio, è necessario spiegare all’utente di un sito web che effettua attività di profilazione che i suoi comportamenti vengono studiati e classificati al fine di svolgere un’attività di marketing profilata);
- qualora i dati siano ottenuti direttamente presso l’interessato, la natura facoltativa od obbligatoria del conferimento dei dati e le possibili conseguenze nel caso di mancato conferimento (ad esempio, il conferimento per finalità di marketing è facoltativo, mentre il conferimento di alcuni dati è necessario per concludere un contratto);
- qualora, invece, i dati non siano ottenuti presso l’interessato, la fonte da cui hanno origine e, in caso, la provenienza da fonti accessibili al pubblico.
Informativa privacy: caratteristiche
Il GDPR, all’articolo 12, specifica, in modo molto più puntuale rispetto al “Codice Privacy” (D. Lgs 196/2003), come devono essere le informazioni da rendere all’interessato.
Nel dettaglio quindi l’informativa privacy deve, anzitutto, essere redatta «in forma concisa, trasparente, intelligibile», ossia le informazioni devono essere fornite in modo sintetico ed efficace, evitando un subissamento informativo e devono risultare comprensibili a un esponente medio del pubblico cui sono dirette.
In altre parole, l’interessato dovrebbe essere in grado di determinare in anticipo la portata del trattamento e le relative conseguenze e, come magistralmente affermato dal Gruppo di Lavoro Articolo 29 (il Gruppo di lavoro per la tutela delle persone con riguardo al trattamento dei dati personali), non dovrebbe essere successivamente colto di sorpresa in ordine alle modalità di utilizzo dei propri dati.
L’informativa privacy ha l’obbligo, altresì, di essere «facilmente accessibile». L’interessato deve essere messo nella condizione di reperire facilmente le informazioni, senza trovarsi costretto a doverle cercare in modo difficoltoso tutte le volte in cui intende visionarle.
Infine, l’informativa privacy deve necessariamente essere redatta con un «linguaggio semplice e chiaro», ossia deve essere scritta con i termini più semplici possibili, evitando frasi complesse e tecnicismi che non renderebbero l’interessato realmente informato e consapevole.
In sostanza, l’informativa deve essere redatta in funzione del destinatario cui si rivolge, il quale deve, dunque, essere utilizzato come unità di misura nella scelta dei termini e nella formulazione delle frasi.
Ne discende che, ovviamente, una particolare attenzione deve essere prestata laddove il destinatario sia un minore.
Informativa privacy: tempi e modalità
Il GDPR prevede differenti tempistiche per fornire l’informativa privacy a seconda che i dati siano, oppure no, raccolti presso l’interessato.
In particolare, nella prima ipotesi, l’informativa deve essere fornita prima della raccolta dei dati personali o, al più tardi, nel momento della raccolta, così come previsto dall’articolo 13 del GDPR, il quale afferma che le informazioni vengono fornite all’interessato «nel momento in cui i dati personali sono ottenuti».
Nella seconda ipotesi, ossia nel caso di dati non raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine ragionevole non superiore a un mese dalla raccolta oppure al momento della prima comunicazione (non della registrazione) dei dati a terzi o all’interessato, così come previsto dall’articolo 14 del GDPR.
L’informativa deve, inoltre, essere aggiornata ogni qualvolta il titolare introduce una nuova finalità di trattamento.
Quanto alle modalità, in linea di principio le informazioni – e, quindi, l’informativa – vengono forniti in forma scritta anche in formato elettronico; tuttavia è consentito l’utilizzo di “altri mezzi”, purché siano sempre rispettate le predette caratteristiche.
Occorre accennare, infine, che l’articolo 12 del GDPR prevede anche la possibilità di fornire all’interessato le informazioni in forma orale, purché ne sia comprovata l’identità.
Conclusioni
L’informativa privacy, dunque, costituisce il mezzo mediante il quale il titolare del trattamento rende le informazioni prescritte dal GDPR al soggetto i cui dati vengono trattati, dando così attuazione al fondamentale principio di trasparenza di cui all’articolo 5 del GDPR, il cui rispetto è necessario affinché il trattamento dei dati personali sia legittimo.
Ne discende logicamente che l’inadeguata o mancante informativa privacy, costituendo la violazione di un principio fondamentale legittimante il trattamento dei dati personali, rende tale trattamento assolutamente illegittimo.
Pertanto, l’informativa privacy non costituisce uno sterile adempimento burocratico ed è necessario che ogni titolare del trattamento predisponga differenti informative personalizzate sulla base delle varie categorie di interessati (ad esempio, dipendenti, fornitori, clienti, candidati, ecc.), ma anche delle varie modalità di interazioni con gli interessati (ad esempio, cartacea, mediante sito web, ecc.).
È bene, inoltre, ricordare che l’informativa privacy non è un semplice documento autoreferenziale, ma è un elemento che si inserisce nel sistema di gestione della privacy aziendale, che deve, necessariamente, coordinarsi con gli altri elementi, quale ad esempio il registro delle attività di trattamento.
Per ulteriori informazioni in tema di GDPR leggi il nostro articolo: GDPR, tre anni dall’applicazione: come evitare sanzioni.