Le informative: quali, quante, quando e perché. Parte prima

Il Considerando 39 del gdpr ci dice che ogni trattamento dei dati personali deve avvenire nel rispetto dei principi di liceità e correttezza.

Questo si traduce nell'esigenza di rendere trasparenti, per le persone fisiche, le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati i dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati.

Il principio di trasparenza, insomma, impone che il titolare del trattamento fornisca e renda facilmente accessibili le informazioni e le comunicazioni relative al trattamento di tali dati personali e che, nel farlo, utilizzi un linguaggio semplice e chiaro per renderle immediatamente intellegibili per l’interessato.

Il principio di trasparenza riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento oltre a tutte le altre informazioni necessarie per assicurare che il trattamento sia corretto e trasparente per le persone fisiche interessate.

Particolare riguardo occorre avere anche per i loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano.

Questo principio di trasparenza, nel gdpr, non resta teorico e astratto ma viene puntualmente declinato nell’art. 12 e nei successivi ponendosi così come vero e proprio pilastro della protezione dei dati personali doppiamente portante: sia in funzione di consentire all’interessato  di essere consapevole circa le finalità perseguite dal trattamento dei propri dati personali e le conseguenze legate al rifiuto di fornire i dati, sia in funzione di una consapevole prestazione del suo consenso.

La normativa è stata pensata per sensibilizzare le persone fisiche ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonché alle modalità di esercizio dei loro diritti relativi a tale trattamento e, impone, di conseguenza, ai titolari del trattamento di adottare ogni misura appropriata per informare i soggetti interessati circa il tipo di trattamento che coinvolge i propri dati, fornendo loro tutte le informazioni descritte negli art. 12 e seguenti del GDPR.

L'interessato ha diritto, proprio in virtù del principio di trasparenza, di poter facilmente comprendere in anticipo quali siano l'ambito e le conseguenze del trattamento dei propri dati e per farlo ha diritto che tutte le informazioni siano costantemente disponibili e reperibili fin da prima dell’inizio del trattamento.

Il titolare del trattamento, quindi, dovrebbe prevedere, ad esempio, una sezione privacy all'interno dell'home page del proprio sito che sia accessibile a tutti.

Informare l’interessato ancor prima che il trattamento cominci è solo il primo dei momenti in riferimento ai quali il titolare dovrà conformare il proprio operato al principio di trasparenza.

Il secondo di questi momenti nei quali la trasparenza sarà determinante è nel corso del trattamento: il titolare dovrà rendere disponibili tutte le informazioni relativo allo stesso.

L'ultimo momento è quello relativo alle informazioni rese agli interessati a seguito della richiesta di esercizio di un diritto.

In tutte queste occasioni trasparenza si traduce concretamente in informative che devono essere facilmente accessibili e di facile comprensione.

In ambiente digitale, ad esempio, il titolare del trattamento può gestire l’accessibilità rilasciando le informative su più livelli, in modo che l’interessato non si senta “sommerso” da una quantità sterminata di informazioni ma possa focalizzarsi punto per punto sull’informazione di proprio interesse.

Questo gli permetterà di prendere le decisioni relative al trattamento dei propri dati o sulla prestazione di un consenso, più consapevolmente.

Da questo punto di vista, applicare correttamente il principio di trasparenza equivale, per il titolare del trattamento, anche anche a conformarsi al principio di privacy by design.

Se il principio di trasparenza costituisce il pilastro della data protection, le informative ne costituiscono l’architrave. Queste devono presentare tutti i requisiti previsti dall'articolo 12 del gdpr ma nello stesso tempo devono essere concise e formulate con un linguaggio semplice e chiaro che non insista in inutili tecnicismi difficilmente comprensibili, fornite per iscritto o con mezzi elettronici o, se richiesto dall’interessato, oralmente e gratuite.

L'interessato, insomma, tramite l’informativa, deve potere esercitare un controllo consapevole sui propri dati: un’informativa adeguata, quindi costituisce un mezzo per il titolare del trattamento,  per legittimare la raccolta e l’utilizzo dei dati e dimostrare che di aver correttamente adempiuto al proprio obbligo di garantire il diritto all'informazione proprio dell'interessato.

Il contenuto minimo dell’informativa è disciplinato dagli artt. 13 e seguenti del gdpr.

In particolare l’art. 13 prevede le ipotesi in cui il titolare del trattamento raccoglie i dati personali direttamente presso l’interessato (tramite per esempio, la compilazione di un form on line) mentre l’art. 14 regola le ipotesi in cui i dati personali sono raccolti presso terzi titolari o pubblici registri. Nel caso in cui i dati non siano raccolti presso l’interessato è importante, per il titolare del trattamento, indicare la fonte da cui hanno origine i dati personali ex art. 14 gdpr.

In entrambi i casi, il titolare del trattamento deve fornire all’interessato la propria informativa che dovrà contenere:

1. l'identità e i dati di contatto del titolare del trattamento;
2. i dati di contatto del responsabile della protezione dei dati, se nominato;
3. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
4. qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
5. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
6. l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione.

In aggiunta a queste informazioni, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento deve fornire all'interessato ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

1. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
2. l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
3. l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
4. il diritto di proporre reclamo all'autorità di controllo;
5. se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
6. l'esistenza di un processo decisionale automatizzato, compresa la profilazione fornendo, in questo caso, tutte le informazioni significative sulla logica utilizzata.

Privacy policy, in ambiente digitale, va in coppia con cookie policy: gli utenti dei siti, infatti, devono essere informati di quali cookie si serve il titolare del trattamento, al periodo di attività. All’interessato, inoltre, dovranno essere fornite tutte le istruzioni su come disabilitare i cookie e nel caso in cui, il titolare utilizzi anche cookie di terze parti, dovrà rendere i link alle relative informative.

Nonostante, come detto, sia architrave della data protection, l’informativa non è sempre necessaria: ai sensi del par. 4 dell’art. 13 del gdpr nel caso in cui l’interessato disponga già delle informazioni previste dalla norma stessa nei paragrafi precedenti, il titolare del trattamento viene esonerato dall’obbligo di fornirle nuovamente ma, attenzione, perché deve essere in grado di dimostrare di aver già informato l’interessato e di quando lo ha fatto e che nel frattempo le informazioni non siano state modificate rispetto a quelle precedentemente fornite.

L’art. 14 par. 5, prevede un’altra ipotesi in cui non è necessario rendere l’informativa all’interessato. Se i dati personali non sono stati ottenuti presso l’interessato, il titolare del trattamento è esonerato dall’obbligo dell’informativa se e nella misura in cui:

1. l'interessato dispone già delle informazioni;
2. comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, nella misura in cui l'obbligo di fornire le informazioni finirebbe per rendere impossibile o pregiudicare gravemente il conseguimento delle finalità di tale trattamento. E In tali casi, il titolare del trattamento deve adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni;
3. l'ottenimento o la comunicazione sono espressamente previsti dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell'interessato; oppure
4. qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell'Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.

Terminata l’analisi del contenuto delle informative e i casi in cui il titolare del trattamento è esonerato dal fornirle saranno esaminati, nella seconda parte di questo articolo, tutti i casi particolari che, a seconda del tipo di dato trattato o dell’interessato coinvolto, godono di una protezione più specifica.