Web Police Privacy

Contenuti della nuova informativa – Cosa è cambiato

 I contenuti dell´informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e art. 14, paragrafo 1, del regolamento ed in parte sono più ampi rispetto al Codice.   

In particolare, il Titolare deve sempre specificare i dati di contatto del Responsabile della Protezione dei Dati, la base giuridica del trattamento, qual è il suo interesse legittimo se quest´ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).  

          Il regolamento prevede anche ulteriori informazioni in quanto "necessarie per garantire un trattamento corretto e trasparente"; in particolare, il titolare deve specificare il periodo di conservazione dei dati  o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all´autorità di controllo

         Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l´informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l´interessato.

Tempi dell´informativa

          Nel caso di dati personali non raccolti direttamente presso l´interessato (art. 14 del regolamento), l´informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (NONdella registrazione) dei dati (a terzi o all´interessato) (diversamente da quanto prevede attualmente l´art. 13, comma 4, del Codice).

Modalità dell´informativa

          Il regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell´informativa, che deve avere forma concisa, trasparente, intelligibile per l´interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee (si veda anche considerando 58).

          L´informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: si vedano art. 12, paragrafo 1, e considerando 58), anche se sono ammessi "altri mezzi", quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1). Il regolamento ammette, soprattutto, l´utilizzo di icone per presentare i contenuti dell´informativa in forma sintetica, ma solo "in combinazione" con l´informativa estesa(art. 12,  paragrafo  7); queste icone dovranno essere identiche in tutta l´Ue e saranno       

          Sono, inoltre,  parzialmente diversi i requisiti che il regolamento fissa per l´esonero dall´informativa (si veda art. 13, paragrafo 4 e art. 14, paragrafo 5 del regolamento, oltre a quanto previsto dall´articolo 23, paragrafo 1, di quest´ultimo), anche se occorre sottolineare che spetta al titolare, in caso di dati personali raccolti da fonti diverse dall´interessato, valutare se la prestazione dell´informativa agli interessati comporti uno sforzo sproporzionato (si veda art. 14, paragrafo 5, lettera b) ) – a differenza di quanto prevede l´art. 13, comma 5, lettera c) del Codice definite prossimamente dalla Commissione europea.

Cosa non cambia

  L´informativa (disciplinata nello specifico dagli artt. 13 e 14 del regolamento) deve essere fornita all´interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l´interessato – art. 13 del regolamento).Se i dati non sono raccolti direttamente presso l´interessato (art. 14 del regolamento), l´informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento.      

          In tutti i casi, il titolare deve specificare la propria identità e quella dell´eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.

NOTA: ogni volta che le finalità cambiano il regolamento impone di informarne l´interessato prima di procedere al trattamento ulteriore.

RACCOMANDAZIONI

          E´ opportuno che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie ai sensi del regolamento.

          Il regolamento supporta chiaramente il concetto di informativa "stratificata", più volte esplicitato dal Garante nei suoi provvedimenti [si vedahttp://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1712680 relativo all´utilizzo di un´icona specifica per i sistemi di videosorveglianza con o senza operatore;http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1246675contenente prescrizioni analoghe rispetto all´utilizzo associato di sistemi biometrici e di videosorveglianza in istituti bancari], in particolare attraverso l´impiego di icone associate (in vario modo) a contenuti più estesi, che devono essere facilmente accessibili, e promuove l´utilizzo di strumenti elettronici per garantire la massima diffusione e semplificare la prestazione delle informative.

I titolari potranno, dunque, una volta adeguata l´informativa nei termini sopra indicati, continuare o iniziare a utilizzare queste modalità per la prestazione dell´ informativa, comprese le icone che l´Autorità ha in questi anni suggerito nei suoi provvedimenti (videosorveglianza, banche, ecc.) – in attesa della definizione di icone standardizzate da parte della Commissione.

Dovranno essere adottate anche le misure organizzative interne idonee a garantire il rispetto della tempistica: il termine di 1 mese per l´informativa all´interessato è chiaramente un termine massimo, e occorre ricordare che l´art. 14, paragrafo 3, lettera a), del regolamento menziona in primo luogo che iltermine deve essere "ragionevole".

Poiché spetterà al titolare valutare lo sforzo sproporzionato richiesto dall´informare una pluralità di interessati, qualora i dati non siano stati raccolti presso questi ultimi, e salva l´esistenza di specifiche disposizioni normative nei termini di cui all´art. 23, paragrafo 1, del regolamento, sarà utile fare riferimento ai criteri evidenziati nei provvedimenti con cui il Garante ha riconosciuto negli anni l´esistenza di tale sproporzione (si veda, in particolare, il provvedimento del 26 novembre 1998 – http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/39624; più di recente, fra molti, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3864423 in tema di esonero dagli obblighi di informativa).