GUIDA NORMATIVA

Informative privacy, prendiamo esempio dal bugiardino dei farmaci: istruzioni per l’uso

Un’informativa privacy ben fatta, in linea con le indicazioni del GDPR, contribuisce a tenere “in buona salute” i processi aziendali. Dalle regole UE fissate per la predisposizione del “foglietto illustrativo” dei farmaci è possibile estrarre utilissime indicazioni su come predisporne una davvero efficace, soprattutto per trattamenti come la profilazione o la videosorveglianza

03 Feb 2022
A
Giuseppe Alverone

DPO dell'Arma dei Carabinieri. Certificato UNI 11697:2017

In un’economia mondiale sempre più “data driven”, cioè guidata e basata sui dati, soprattutto personali, è importante allineare l’attività di produzione di beni e servizi ai principi e alle regole poste dal GDPR, al fine di creare il clima di fiducia che consentirà lo sviluppo dell’economia digitale in tutto il mercato interno.

A tal fine, è opportuno che le persone fisiche abbiano il controllo dei dati personali che le riguardano e che la certezza giuridica e operativa sia rafforzata tanto per le persone fisiche quanto per gli operatori economici e le autorità pubbliche[1].

Queste condizioni possono essere realizzate solo attuando in modo effettivo il principio di trasparenza nei confronti degli interessati.

GDPR, una protezione tra rischi e pericoli per le persone fisiche e per l’economia

La trasparenza nel rapporto tra UE e cittadini

La trasparenza è la pietra angolare nel rapporto tra l’U.E. e i cittadini. Infatti, l’articolo 1 del TUE si riferisce a decisioni prese “nel modo più trasparente possibile e il più vicino possibile ai cittadini”, mentre l’articolo 11, paragrafo 2, del medesimo trattato recita testualmente: “Le istituzioni mantengono un dialogo aperto, trasparente e regolare con le associazioni rappresentative e la società civile”.

WEBINAR
26 Maggio 2022 - 12:00
Sicurezza IT e identità digitali: come essere pronti ai nuovi trend in azienda
Dematerializzazione
Marketing

Nel sistema privacy, la trasparenza è un principio generale il cui rispetto da parte di aziende e P.A. non solo garantisce la liceità e correttezza dei trattamenti ma, soprattutto, genera la fiducia nei processi che riguardano i cittadini, permettendo loro di comprenderli e, se necessario, di opporvisi[2].

Lo strumento di attuazione di questo fondamentale principio è la c.d. informativa, i.e. un documento da fornire agli interessati che contiene le informazioni su “chi”, “come”, “perché”, e “per quanto tempo” verranno trattati i loro dati personali.

Affinché siano effettivamente conosciute dagli interessati, tali informazioni devono essere[3]:

  • concise, trasparenti, intelligibili e facilmente accessibili;
  • formulate con un linguaggio semplice e chiaro.

Purtroppo, però, dobbiamo prendere atto che dopo circa 4 anni di applicazione del GDPR l’obbligo di informare adeguatamente gli interessati non è unanimemente e correttamente adempiuto dai titolari del trattamento.

Proprio pochi giorni fa, l’Avv. Guido Scorza, componente del Collegio del Garante della Privacy ha lanciato un monito affermando che una “tra le tante sfide all’orizzonte di questo 2022 appena iniziato è, certamente, rappresentata dall’esigenza di trovare una soluzione a quello che occorre ormai definire un fallimento regolamentare che minaccia l’intera tenuta del sistema privacy: gli obblighi di informazione del titolare del trattamento nei confronti degli interessati.

Non si può continuare a girare attorno al problema: nessuno legge per davvero le informative per la privacy specie dei titolari di grandi trattamenti della dimensione digitale con la conseguenza che tali informative, ormai, finiscono regolarmente con il rendere più forti i forti e più deboli i deboli.

C’è certamente da lavorare sull’intellegibilità delle informative ma, per un verso, non è facile e per altro verso non è detto che basti”.

Quindi è necessario che i titolari del trattamento raccolgano questa autorevole esortazione ed acquisiscano la consapevolezza che un’informativa ben fatta, in linea con le indicazioni del GDPR, contribuisce a tenere “in buona salute” i processi aziendali e contestualmente attenua il rischio di incorrere in “patologie organizzative” che, andando ad impattare sui diritti e le libertà fondamentali, possono determinare danni rilevanti alle persone fisiche.

Seguendo le espressioni figurate, si può affermare che l’informativa privacy ha la stessa funzione di precauzione e di salvaguardia del foglio illustrativo dei farmaci, il c.d. “bugiardino”.

In effetti dalle regole UE fissate per la predisposizione del foglio illustrativo dei farmaci è possibile estrarre preziose indicazioni su come predisporre un’informativa privacy davvero efficace, soprattutto per i trattamenti che presentano un rischio elevato, come la profilazione, la videosorveglianza o il monitoraggio su larga scala di dati “sensibili”.

L’importanza della revisione della qualità dei documenti

Il Foglio Illustrativo (FI) è un documento che contiene tutte le informazioni utili per un impiego più sicuro e corretto del farmaco. L’Agenzia Europea del Farmaco (E.M.A.: European Medicines Agency), garantisce l’efficacia informativa dei bugiardini attraverso l’opera di uno specifico organismo: il Gruppo di lavoro sulla revisione della qualità dei documenti (Working Group on the Quality Review of Documents – noto come QRD-Group) che fornisce assistenza ai comitati scientifici dell’EMA e alle aziende sugli aspetti linguistici delle informazioni sui prodotti dei medicinali. Il QRD-Group è composto da 54 esperti in diritto e linguistica, due per ogni Stato membro, ed i suoi compiti includono:

  • garantire la chiarezza linguistica, la coerenza e l’accuratezza delle informazioni sul prodotto;
  • verificare la terminologia utilizzata nelle traduzioni e la loro coerenza con le versioni originali;
  • promuovere la leggibilità delle informazioni sui prodotti.

È interessante constatare che esiste un organismo al quale è attribuita la “mission” esclusiva di presidiare e garantire un’efficace informazione alle persone riguardo i farmaci.

Da questa constatazione deriva un primo possibile spunto di miglioramento del sistema privacy. Un analogo meccanismo potrebbe essere adottato dai grandi titolari che eseguono trattamenti che comportano un rischio elevato, i quali potrebbero prevedere al loro interno una funzione aziendale che garantisca la chiarezza linguistica, la coerenza, la leggibilità e l’accessibilità delle informative privacy.

Le linee guida adottate dalla Commissione UE

Il QRD-Group svolge i suoi compiti tenendo anche conto delle Linee Guida sulla leggibilità dell’etichettatura e della confezione del foglio di medicinali per uso umano” adottate il 12 gennaio 2009, dalla Commissione UE[4].

Lo scopo principale di questo documento è quello di fornire indicazioni e raccomandazioni su come assicurare che le informazioni riportate nei cc.dd. “bugiardini” siano accessibili e possano essere facilmente comprese da tutti, in modo da garantire che il farmaco possa essere utilizzato in modo sicuro, appropriato e consapevole.

È davvero suggestivo. Sembra di leggere una parafrasi dello scopo indicato al punto 4 delle linee guida sulla trasparenza adottata dal WP 29 (WP 260 rev. 01) ove è testualmente specificato che “il concetto di trasparenza non è legalistico, ma piuttosto incentrato sull’utente. La qualità, l’accessibilità e la comprensibilità delle informazioni sono altrettanto importanti del contenuto effettivo delle informazioni finalizzate alla trasparenza che devono essere fornite agli interessati”.

Questa considerazione conferma la prima intuizione, i.e. le indicazioni e le raccomandazioni stabilite per la predisposizione dei “fogli illustrativi” dei farmaci possono utilmente essere esportate nel sistema privacy.

Il design del “bugiardino” e quello delle informative privacy

Le linee guida sulla leggibilità dei “fogli illustrativi” prendono in considerazione tutto il processo di preparazione del “bugiardino”, partendo dal design.

Il design facilita l’accesso alle informazioni. Un “foglio illustrativo” ben progettato e chiaramente formulato massimizza il numero di persone che possono utilizzare le informazioni, compresi i bambini più grandi e gli adolescenti nonché le persone con scarse capacità di alfabetizzazione. A tale scopo, le aziende sono incoraggiate a chiedere consiglio a specialisti in “progettazione delle informazioni”.

Questa è un’altra utile indicazione che può aiutare a fare una buona informativa privacy che, quindi, è bene che sia progettata secondo il modello “user centered design”, i.e. concentrandosi sugli interessati e sui loro diritti in ogni fase del processo di progettazione, magari anche coinvolgendo gli interessati stessi.

L’importanza di adottare il corretto stile grafico

Le linee guida in esame fissano raccomandazioni anche sul tipo e sulle dimensioni del carattere tipografico da utilizzare per predisporre il bugiardino. È necessario scegliere un carattere di facile lettura. I caratteri stilizzati, che sono difficili da leggere, non dovrebbero mai essere utilizzati.

La dimensione del testo dovrebbe essere il più grande possibile per aiutare i lettori. La dimensione minima da scegliere è quella del tipo di 9 punti, del carattere Times New Roman, non ristretto, con uno spazio tra le righe di almeno 3 mm.

Dovrebbe, inoltre, essere preso in considerazione l’utilizzo di diverse dimensioni del testo al fine di:

  • consentire alle informazioni chiave di risaltare;
  • facilitare la navigazione nel testo (e.g. attraverso i titoli dei paragrafi).

Non andrebbero usati il corsivo e le sottolineature, che rendono più difficile per il lettore il riconoscimento della forma della parola.

Grande attenzione va posta nell’uso delle intestazioni. I titoli dei diversi paragrafi sono importanti e, se usati bene, possono aiutare i lettori a navigare nel testo. Dunque, il carattere in grassetto o un colore diverso per l’intestazione possono aiutare ad evidenziare le informazioni.

Laddove devono essere comunicate informazioni complesse, può rivelarsi necessario prevedere più livelli di intestazioni. Anche l’uso di linee per separare le diverse sezioni all’interno del testo, può essere utile come strumento di navigazione.

La leggibilità e accessibilità delle informazioni non è determinata solo dal formato di stampa ma anche dai diversi colori che consentono di distinguere chiaramente i caratteri tipografici dallo sfondo. La relazione tra i colori utilizzati è importante quanto i colori stessi.

Come regola generale, il testo scuro dovrebbe essere stampato su uno sfondo chiaro. Ma potrebbe essere opportuno anche considerare la modalità inversa (testo chiaro su sfondo scuro) e.g. al fine di evidenziare avvertenze particolari. In tali circostanze la qualità della stampa richiederà un’attenta considerazione e potrebbe richiedere l’uso di caratteri di dimensioni maggiori o di testo in grassetto.

Ad ogni modo, colori simili non dovrebbero mai essere usati contestualmente per il testo e lo sfondo poiché ridurrebbero molto la leggibilità.

Tutte queste indicazioni possono certamente risultare utili per migliorare la leggibilità delle informative privacy e per far comprendere ai titolari del trattamento che la modalità multi-strato (multi-layer) non caratterizza solo la struttura dell’intera informativa ma anche la gestione del testo attraverso la modulazione delle intestazioni dei paragrafi, e la scelta di diversi tipi, dimensioni e colori dei caratteri tipografici.

La sintassi delle informazioni

Le linee guida sulla leggibilità dei “fogli illustrativi” descrivono anche come va curata la sintassi delle informazioni. Anche queste raccomandazioni sono un utilissimo riferimento per predisporre una buona informativa privacy.

Considerando che alcune persone potrebbero avere scarse capacità di lettura e alcune potrebbero avere una scarsa alfabetizzazione, è necessario rivolgersi al destinatario:

  • con uno stile diretto e attivo;
  • con espressioni vicine alla lingua comune;
  • usando parole semplici di poche sillabe.

Non si dovrebbero mai usare frasi lunghe ma frasi brevi con meno di 20 parole e con un basso grado di subordinazione.

È meglio usare un paio di frasi, piuttosto che una frase più lunga.

I paragrafi lunghi possono confondere i lettori; è bene quindi utilizzare i punti elenco.

Ad ogni modo, la semplificazione del testo non legittima l’omissione di informazioni necessarie anche se complesse.

Utilizzo di simboli e pittogrammi

In applicazione dell’art. 62 della Direttiva 2001/83/CE, le Linee Guida in esame raccomandano l’uso di immagini, pittogrammi e di elementi grafici per rendere più esplicite e comprensibili le informazioni[5].

Questa indicazione è analoga a quanto sancito nel GDPR[6] che stabilisce che le informazioni da fornire agli interessati possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto.

Invero le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate sono stabilite con atti delegati adottati dalla Commissione UE.

Non mi sembra peregrina l’idea che la Commissione UE, nell’adottare tali atti delegati, possa prevedere il ricorso a pittogrammi, al fine di evidenziare le parti delle informative che necessitano di particolare attenzione da parte dell’interessato, laddove questi deve ben comprendere i possibili effetti dei trattamenti che comportano un rischio elevato come le profilazioni e le videosorveglianze.

Infatti il pittogramma – che rappresenta l’oggetto visto e non il suono usato per identificarlo – risulta particolarmente efficace per segnalare situazioni pericolose. I pittogrammi potrebbero quindi essere usati per rinforzare il messaggio ed attrarre l’attenzione degli interessati, elevando la soglia di comprensibilità delle informazioni.

Per dare un’idea di come potrebbe attrarre l’attenzione dell’interessato, ho realizzato il seguente pittogramma che potrebbe segnalare una profilazione:

Consultazione di un gruppo di utenti

La parte finale delle Linee Guida in esame suggerisce di completare il processo di predisposizione del “bugiardino”, consultando gruppi di utenti con lo scopo di verificare la leggibilità e la comprensibilità del “foglio illustrativo”.

Ritorna in questa fase, la “user centered vision” che caratterizza tutto il processo.

Per la consultazione è necessario un piccolo numero di partecipanti. 20 persone sono ritenute sufficienti. A loro va somministrato un questionario per:

  • comprendere se il “foglio illustrativo” risulti leggibile, chiaro e facile da usare;
  • raccogliere i suggerimenti degli utenti che devono essere presi in considerazione.

Le domande poste all’interno del questionario vanno redatte con cura, al fine di verificare adeguatamente che i “messaggi chiave” per un uso sicuro del medicinale possano essere ben compresi. Non devono essere redatte domande facili o banali, semplicemente con l’obiettivo di garantire il buon esito della consultazione.

Un risultato soddisfacente del test sopra descritto si ottiene quando le informazioni poste all’interno del foglietto illustrativo vengono comprese dal 90% dei partecipanti (16/20).

Il “foglio illustrativo” deve quindi riflettere i risultati di indagini effettuate su gruppi mirati di pazienti al fine di accertare che esso sia leggibile, chiaro e di facile impiego. Nell’Ordinamento Italiano i risultati di tali indagini sono talmente rilevanti che condizionano addirittura la messa in commercio del farmaco e devono essere presentati all’ufficio competente dell’AIFA[7];

Invero, anche il sistema “privacy” prevede la consultazione degli interessati, ma soltanto per le valutazioni di impatto (le cc.dd. DPIA) che devono essere sempre eseguite prima di avviare trattamenti che possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche[8].

Prendendo spunto dal processo di costruzione del “bugiardino”, su base volontaria, le imprese che eseguono trattamenti, che possono presentare rischi elevati, potrebbero estendere il meccanismo della consultazione degli interessati, anche al processo di costruzione delle informative.

Una tale misura organizzativa contribuirebbe a dimostrare la concreta volontà del titolare di sviluppare trattamenti di dati personali pienamente leciti e soprattutto corretti.

Istruzioni per l’uso

Dopo questa breve sortita nell’ecosistema del farmaco, vediamo cosa possiamo “portare a casa” per migliorare il processo di costruzione delle informative privacy.

Certamente potrebbero essere importate le seguenti misure:

  • i grandi titolari che eseguono trattamenti, che presentano un rischio elevato, potrebbero prevedere al loro interno una funzione aziendale che garantisca la chiarezza linguistica, la coerenza, la leggibilità e l’accessibilità delle informative privacy;
  • la progettazione dell’informativa dovrebbe informarsi al modello “user centered design” che induce il titolare a concentrarsi sugli interessati e sui loro diritti, in ogni fase del processo di progettazione;
  • la leggibilità delle informative privacy potrebbe essere migliorata, applicando la modalità multi-strato (multi-layer) non solo alla struttura delle stesse informative ma anche nella gestione del testo, attraverso la modulazione delle intestazioni dei paragrafi, e la scelta di diversi tipi, dimensioni e colori dei caratteri tipografici, tenendo sempre presente che:
  1. è necessario scegliere un carattere di facile lettura. I caratteri stilizzati che sono difficili da leggere non dovrebbero mai essere utilizzati;
  2. la dimensione del testo dovrebbe essere il più grande possibile per aiutare i lettori. La dimensione minima da scegliere è quella del tipo di 9 punti, del carattere ‘Times New Roman’, non ristretto, con uno spazio tra le righe di almeno 3 mm;
  3. non andrebbe mai usato il corsivo né le sottolineature che rendono più difficile per il lettore il riconoscimento della forma della parola;
  4. i titoli dei diversi paragrafi sono importanti e, se usati bene, possono aiutare i lettori a navigare nel testo;
  5. la leggibilità ed accessibilità delle informazioni non è determinata solo dal formato di stampa ma anche dai diversi colori che consentono di distinguerli chiaramente dallo sfondo. Come regola generale il testo scuro dovrebbe essere stampato su uno sfondo chiaro. Ma potrebbe essere opportuno anche considerare la modalità inversa (testo chiaro su sfondo scuro) e.g. al fine di evidenziare avvertenze particolari;
  • nel costruire l’informativa, il titolare dovrebbe avere massima cura ed attenzione della sintassi, applicando i seguenti accorgimenti:
  1. rivolgersi al destinatario con uno stile diretto e attivo, con espressioni vicine alla lingua comune (i tecnicismi vanno posti tra parentesi), usando parole semplici, di poche sillabe;
  2. non usare mai frasi lunghe ma frasi brevi con meno di 20 parole e con un basso grado di subordinazione. È meglio usare un paio di frasi piuttosto che una frase più lunga. I paragrafi lunghi possono confondere i lettori; è bene quindi utilizzare i punti elenco;
  • la Commissione UE nell’adottare gli atti delegati che stabiliscono le icone standardizzate, per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento, potrebbe prevedere il ricorso a pittogrammi. Questi, che risultano particolarmente efficaci per segnalare situazioni pericolose, potrebbero quindi essere usati per rinforzare il messaggio ed attrarre l’attenzione degli interessati elevando la soglia di comprensibilità delle informazioni;
  • nel processo di costruzione dell’informativa il titolare del trattamento potrebbe coinvolgere un gruppo di 20 interessati, per accertare se la bozza di informativa risulti leggibile, chiara e comprensibile.

Un ultimo avvertimento mutuato dal bugiardino: tenere queste istruzioni fuori dalla portata e dalla vista delle persone che non desiderano conformarsi ai principi ed alle regole del GDPR e che sono abituate a copiare e incollare informative privacy sulla Rete.

 

NOTE

  1. Così testualmente il Considerando 7 GDPR.

  2. Così al punto 2 delle Linee Guida sulla Trasparenza WP 260 rev. 01 adottate dal WP 29, il 19/04/2018.

  3. Art.12, paragrafo 1, GDPR.

  4. Pubblicate ai sensi dell’articolo 65, lettera c), della Direttiva 2001/83/CE.

  5. Tale raccomandazione è riportata anche nell’ art. 79 D.Lgs..219/2006.

  6. Art.12, paragrafi 7 e 8 GDPR.

  7. Art. 77, comma 4, D.Lgs..219/2006.

  8. Art. 35, paragrafo 9, GDPR.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 3