Dopo aver trattato l’argomento GDPR in alcuni nostri precedenti articoli (10 punti per rendere compliance il tuo sito web al GDPR – Guida facile al GDPR per i non addetti ai lavori), oggi vogliamo introdurre, attraverso utili consigli per aziende e professionisti, un altro aspetto legato al Regolamento Europeo: l’informativa privacy.
Sono passati quattro anni dall’entrata in vigore del GDPR (e quasi due dalla sua applicazione) ma desideriamo approfondire il contenuto dell’informativa privacy – seppur non si tratti di un’innovazione del GDPR (era, infatti, già in vigore con il Codice Privacy) – spiegando come deve essere composta.
I contenuti dell’informativa
Gli articoli 13 e 14 del Regolamento Europeo 16/679 elencano con precisione quali contenuti vanno obbligatoriamente inclusi nell’informativa sul trattamento dei dati personali. Ecco cosa bisogna indicare:
1. Interessato
L’interessato è la persona fisica a cui si riferiscono i dati personali.
2. Titolare del trattamento
È il soggetto che tratterà i dati della persona fisica, cioè il titolare del trattamento e se presente, l’informativa dovrà indicare anche il suo rappresentante.
3. Recapiti del DPO (se nominato)
Il DPO (Data Protection Officer) o Responsabile della Protezione dei Dati personali (RPD) è la nuova figura introdotta dal GDPR. È un consulente tecnico e legale – interno o esterno all’azienda – che ha il compito di: informare il titolare, il responsabile e gli addetti affinché rispettino la normativa; sorvegliare responsabili e addetti per verificare che si attengano al GDPR; cooperare per fare da punto di contatto fra l’autorità di controllo e il titolare del trattamento.
Il DPO è obbligatorio? Non per tutti. Deve essere nominato obbligatoriamente dai titolari e dai responsabili del trattamento che hanno come attività principale il monitoraggio regolare e sistematico degli interessati su larga scala, che fanno trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati. Hanno questo obbligo, per esempio, le banche, le assicurazioni, le società di revisione contabile, quelle di recupero crediti, partiti e sindacati, caf, ospedali, call center… l’elenco completo è disponibile sul sito del Garante per la protezione dei dati personali.
4. Trattamenti effettuati: quali e perché
Il titolare del trattamento, in questa parte dell’informativa, spiega come e per quali finalità tratterà i dati personali dell’interessato.
5. Base giuridica del trattamento
La base giuridica è la motivazione che giustifica il trattamento dei dati. Secondo il GDPR, ogni organizzazione deve necessariamente identificare le basi su cui si fondano la raccolta e il trattamento dei dati, che deve essere documentata e aggiornata, perché sia chiara.
6. Tipologia di dati raccolti
I dati raccolti sono i dati personali. Un dato personale è qualsiasi informazione che riconduce ad un singolo individuo per via delle sue caratteristiche, relazioni, abitudini, stile di vita e così via:
- informazioni identificative – nome, cognome, data e luogo di nascita, residenza, domicilio, immagini che ritraggono la persona
- dati sensibili – orientamento sessuale, condizioni di salute, origine razziale ed etnica, convinzioni religiose, filosofiche, opinioni politiche, adesione a partiti, sindacati, organizzazioni di varia natura
- informazioni giudiziarie, che possono rivelare l’esistenza di provvedimenti giudiziari e anche i dati legati alle nuove tecnologie: dati relativi alle comunicazioni elettroniche telefoniche e internet come l’indirizzo IP, i dati che permettono di geolocalizzare una persona, quelli genetici e biometrici.
Quindi l’informativa deve indicare quali dati personali verranno raccolti: una scelta che dipende dall’attività del titolare e dal tipo di trattamento.
7. La profilazione, operazione automatizzata
La profilazione dei dati personali è la raccolta di informazioni su un individuo o un gruppo di individui per analizzarne le caratteristiche e inserirli in categorie o gruppi e poterne fare delle valutazioni o previsioni.
Se la profilazione avviene con sistemi automatizzati, la cosa si fa più delicata e l’informativa deve spiegare che i dati verranno utilizzati per questa finalità in modo chiaro, completo ed esaustivo.
8. Se i dati verranno comunicati a soggetti esterni (responsabili esterni)
L’informativa deve indicare se i dati vengono comunicati ad altri soggetti, diversi dal titolare del trattamento, cioè i responsabili esterni.
9. Per quanto tempo saranno conservati i dati e in che modo
L’informativa deve indicare come e per quanto tempo vengono conservati i dati. Il principio di privacy-by-design introdotto dal GDPR obbliga ad organizzare preventivamente l’intero processo di gestione dei dati, compreso quindi il modo in cui li strutturiamo e li conserviamo, per ridurre il rischio di violazioni.
10. Se i dati saranno trasferiti in altri Paesi e come
L’informativa deve comunicare se i dati personali vengono trasmessi all’estero, cioè in Paesi che sono al di fuori dell’Unione Europea e dello spazio economico comunitario.
11. Quali sono i diritti dell’interessato
Il GDPR stabilisce che chi lascia i propri dati personali ha dei diritti, che vanno riportati anche nell’informativa:
- il diritto a essere informati su come e perché vengono trattati i suoi dati
- il diritto di accedere ai propri dati
- il diritto di poter correggere i propri dati
- il diritto alla cancellazione dei dati da parte del titolare e dei responsabili
- il diritto alla portabilità dei dati, cioè chiedere che i dati vengano o trasferiti direttamente ad un’altra azienda, quando è possibile tecnicamente
- il diritto all’obiezione, cioè di chiedere all’organizzazione che elabora i dati personali – sulla base di un proprio legittimo interesse o come parte di un’attività di interesse pubblico o per un’autorità ufficiale – di non utilizzarli
- il diritto a non essere oggetto di scelte automatizzate, come la profilazione
Dovrà essere prevista una diversa informativa per ogni categoria di interessati (candidati, dipendenti, clienti persone fisiche e giuridiche, fornitori, ecc.) e per ogni modalità di interazione con l’interessato (cartacea, on-line).
Ogni informativa potrà contenere diverse tipologie di dati, e gli stessi dati potranno essere trattati per finalità diverse. Per ogni tipologia o finalità andranno indicate le basi di legittimazione, che potranno essere diverse (“esecuzione di un contratto” per i dati legati alla cessione di un bene o erogazione di un servizio, “consenso” per le finalità di marketing, ecc.) e i tempi o criteri di conservazione, che potranno essere differenti per le diverse finalità ma coerenti con le stesse.
Questa è una di quelle novità “marginali” introdotte dal GDPR, che però riveste una rilevanza particolare. I criteri di retention in sé non sono affatto una novità del GDPR: prima, tutti raccoglievano i dati personali, riservandosi di decidere poi per quanto tempo conservarli pertanto si è deciso di inserire questa informazione fra quelle da rendere in informativa, ovvero prima di iniziare il trattamento.
Anche i diritti degli interessati non sono una novità, né lo è la loro presenza in informativa. Anche qui però ci sono due elementi innovativi: uno, alcuni diritti nuovi (portabilità) e altri rinforzati (cancellazione, che diventa oblio).
L’interessato ha inoltre diritto di sapere se i suoi dati saranno trattati solo dal Titolare che li sta raccogliendo oppure comunicati a terzi (indicare a chi e per quali finalità) o diffusi.
Capo III del GDPR
Nominato “Diritti dell’interessato”, vediamo come è strutturato.
Sezione 1 – Trasparenza e modalità
Articolo 12 – Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato
Sezione 2 – Informazione e accesso ai dati personali
Articolo 13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato
Articolo 14 – Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato
Articolo 15 – Diritto di accesso dell’interessato
La parola chiave, quindi, è trasparenza come riportato nell’articolo 5 “Principi applicabili al trattamento di dati personali”… abbastanza in alto nell’indice, e per chi sa come sono strutturate le leggi, in alto di solito stanno i principi fondamentali (infatti siamo nel CAPO II – Principi).
L’art.5 al paragrafo 1 recita “I dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)”. |
La trasparenza è uno dei primi tre principi fondamentali del GDPR ed è proprio per questo motivo che le sanzioni più rilevanti sono legate alla violazione dei principi, non ai mancati adempimenti in sé.
Le informazioni sotto forma di icone
Abbiamo visto che il GDPR non parla mai di “informativa” ma di “informazioni” che vanno rese agli interessati. L’enfasi è sui contenuti, non sul mezzo. Le modalità previste sono: per iscritto, con altri mezzi (anche elettronici), oralmente solo se richiesto dall’interessato. Sulle modalità di erogazione è possibile scegliere fra strumenti diversi.
Tanto è vero che nell’art.12 (ultimi due paragrafi) si fa cenno alla questione delle icone: “7. Le informazioni da fornire agli interessati a norma degli articoli 13 e 14 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto […]”.
Questa proposta si è, poi, persa per strada, ma ne è rimasta traccia nel paragrafo 8: “Alla Commissione è conferito il potere di adottare atti delegati […] al fine di stabilire le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate”.
L’enfasi si sposta cioè dal “pezzo di carta”, al suo contenuto, di cui si deve cogliere l’importanza come garanzia dei diritti e delle libertà delle persone e fattore legittimante il trattamento dei loro dati personali da parte del Titolare.
L’assenza o l’inadeguatezza dell’informativa privacy non si configura come una inadempienza burocratica, ma fa venir meno una delle basi di legittimazione del trattamento dei dati personali, rendendo il trattamento stesso illegittimo. Le informazioni vanno rese (è ancora l’art.12) “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”.
Quanto alla differenza fra informativa privacy resa ex art.13 (nei casi in cui si raccolgono i dati presso l’interessato) ed art. 14 (dati raccolti presso terzi), finalità e contenuto sono essenzialmente gli stessi, con una piccola aggiunta nel secondo caso: è necessario dichiarare quali dati si intendono trattare (l’interessato non lo sa, a differenza del caso in cui li fornisce direttamente) e dove li ho raccolti.
Chi deve redigere l’informativa?
L’informativa deve essere redatta dai Titolari del trattamento: essere consapevoli di quali dati si hanno, perché dove e con chi, fa parte della composizione dell’informativa. Non sempre, però, è così semplice… in caso di dubbio, è consigliato rivolgersi a consulenti esperti che potranno guidarti nella stesura della tua informativa e nella verifica dell’adeguatezza del sito web rispetto al GDPR.
La consulenza Nexsys ha proprio lo scopo di accompagnarti nell’adeguamento e nel mantenimento dei parametri richiesti dal GDPR tramite una consulenza iniziale, per la definizione dei rischi a cui potrebbe esser soggetta la tua azienda, nella redazione della documentazione necessaria e nell’adeguamento tecnologico dell’infrastruttura.
La professionalità e la competenza del Team di Nexsys ti permetterà di progettare l’infrastruttura IT, di implementare la sicurezza informatica, di ottenere la consulenza legale in materia ed informazioni utili a redigere la documentazione richiesta.