GDPR – Informativa Trattamento dati Privacy 2018

Il 25 maggio è diventato pienamente operativo il nuovo regolamento europeo sulla privacy basato sul concetto di “accountability” o responsabilizzazione del soggetto responsabile del trattamento dei dati personali. Il nuovo Regolamento Generale della gestione dei dati (GDPR= General Data Protection Regulation) andrà a sostituire l’attuale “Testo Unico Privacy” (D.l Lgs 196/2003): in tal modo la legge nazionale si allineerà alla normativa europea.

In particolare, per quanto riguarda l’informativa privacy, il nuovo GDPR elenca tassativamente i contenuti e le caratteristiche dell’informativa. 

Nella attività che devono essere avviate è prevista una qualche forma di trattamento di dati personali?

L’informativa è un obbligo con validità generale che deve essere adempiuto prima o al massimo nel momento in cui viene avviata la raccolta per il trattamento di dati personali (si consideri che la stessa raccolta di dati personali viene considerata come trattamento).

L’obbligo non scatta:

• nel caso in cui il trattamento riguardi dati che non sono personali bensì anonimi (es. dati aggregati o statistici);
• nel caso in cui il trattamento sia relativo a dati di enti o persone giuridiche: la normativa a protezione dei dati personali non concerne le informazioni che siano relative a soggetti diversi dalle persone fisiche (nondimeno l’attenzione deve essere focalizzata sulla circostanza che, quasi sempre, il trattamento di dati dell’ente/persona giuridica include inevitabilmente quello di dati riconducibili alle persone fisiche che vi operano e/o lavorano).

Quando non è obbligatoria l’informativa?

Non è tenuta a prestare l’informativa la persona fisica che effettui il trattamento dei dati per attività a carattere esclusivamente personale e domestico. 

Cosa cambia se i dati sono raccolti presso l’interessato o presso un terzo?

Nel caso in cui la raccolta dei dati avvenga presso un soggetto terzo, l’informativa deve essere data all’interessato:

• entro un periodo di tempo “ragionevole” e comunque entro 1 mese a partire dalla data in cui i dati sono stati raccolti;
• (quando è prevista la loro comunicazione) non oltre la prima comunicazione all’interessato o ad altro destinatario.

L’informativa deve essere completa dei contenuti prescritti in via generale, con le seguenti aggiunte/differenze:

• L’indicazione esplicita delle categorie dei dati personali oggetto del trattamento (si tenga presente che anche la semplice raccolta è considerata trattamento);
• L’indicazione della fonte da cui hanno origine i dati personali (che può essere anche una fonte accessibile al pubblico);
• si omette l’informazione circa la natura obbligatoria o meno della comunicazione di dati personali, perché nella fattispecie i dati non sono raccolti presso l’interessato.

 Nel caso di raccolta presso terzi, il titolare è sempre tenuto ad informare l’interessato?

Il GDPR individua le fattispecie in cui il titolare non è tenuto a informare l’interessato, quando:

• l’interessato dispone già delle informazioni che sono necessarie;
• comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato;
• l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare;
• i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri.

Quali requisiti di forma sono stabiliti per l’informativa?

L’informativa deve essere resa in forma:

• concisa
• trasparente
• intelligibile
• facilmente accessibile
• con un linguaggio semplice e chiaro (in particolare per il caso di minori).

L’informativa deve essere resa per iscritto o con altri mezzi (anche elettronici, come per es., la posta elettronica). Ove richiesto dall’interessato, l’informativa è da rendere oralmente (purché sia comprovata con altri mezzi l’identità dell’interessato).

Come segnalato per l’attuale testo sulla privacy, anche qui può essere opportuno che il titolare si procuri e conservi una evidenza del rilascio dell’informativa. 

Quale è/quali sono la/le finalità del trattamento?

Si tratta di una domanda di importanza fondamentale per una corretta redazione dell’informativa, per rispondere alla quale occorre effettuare un processo di analisi preventiva, di tipo squisitamente logico.

Può riscontrarsi in tal modo come all’interno di una presunta unica finalità ve ne siano, in realtà, più di una. È pertanto necessario che:

• a ciascuna finalità del trattamento dati siano correlate tutte le informazioni che vengono imposte dal legislatore con l’articolo 13 (è un po’ come se, nel caso di finalità plurime, si redigessero altrettante informative in un unico contesto documentale);
• l’interessato (il soggetto al quale si riferiscono i dati che vengono elaborati) sia messo nella condizione di scegliere liberamente (per esempio, di prestare il consenso al primo trattamento e non invece al secondo. Si tratta della cosiddetta “libertà del consenso”).

L’INFORMATIVA ALL’INTERESSATO RAFFORZATA

Nel Rispetto dell’articolo 13 del Codice Privacy, si prevedono numerose informazioni aggiuntive da fornire agli interessati in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.

L’Informativa deve essere resa per iscritto o con altri mezzi, anche elettronici. Anche oralmente purché sia richiesto dall’interessato e sia comprovata attraverso l’impiego di altri mezzi l’identità dell’interessato. Le informazioni possono essere fornite anche in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone devono essere leggibili da qualsiasi dispositivo.

Rispetto agli elementi obbligatori da indicare nell’informativa privacy ai sensi dell’articolo 13 del Codice Privacy, i Titolari del trattamento dovranno inserire obbligatoriamente anche le seguenti informazioni aggiuntive sul trattamento:

• i dati di contatto della nuova figura del DPO (Data Protection Officer), ove prevista;
• la base giuridica del trattamento a corredo della illustrazione delle finalità del trattamento
• qualora il trattamento si basi sulla necessità di perseguire un legittimo interesse del titolare del trattamento o di terzi, la specificazione di quali siano i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
• l’ambito del trasferimento all’estero (ovviamente extra UE) o a un’organizzazione internazionale dei dati personali;
• il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
• la specifica esistenza del diritto alla portabilità dei dati;
• l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
• il diritto di proporre reclamo al Garante per la protezione dei dati personali;
• l’eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione e le informazioni significative sulla logica utilizzata, nonché le possibili conseguenze per l’interessato previste nell’ambito di tale trattamento;
• la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico (solo ove i dati non siano raccolti presso l’interessato);
• le categorie di dati personali oggetto del trattamento (solo ove i dati non siano raccolti presso l’interessato).

Di particolare importanza nell’ambito degli adempimenti previsti dal Regolamento europeo è poi il contenuto dell’articolo 30 in merito al cosiddetto “Registro delle attività” secondo cui “su richiesta, il titolare del trattamento o il responsabile del trattamento e, ove applicabile, il rappresentante del titolare del trattamento o del responsabile del trattamento mettono il registro a disposizione dell’autorità di controllo.”

In tal modo viene costituito in capo al titolare un obbligo di documentazione della conformità della propria organizzazione alle prescrizioni della legge. Obbligo che grava anche sul responsabile, per i trattamenti che questi svolga per conto di un titolare.

L’obbligo di redazione e adozione del registro non è, tuttavia, generale, infatti il paragrafo 5 dell’articolo 30 specifica che esso non compete “alle imprese o organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1 o i dati personali relativi a condanne penali e a reati di cui all’articolo 10.”