ADEMPIMENTI PRIVACY

L’informativa del titolare del trattamento: focus sulle regole per la compliance GDPR

L’informativa del titolare del trattamento è uno strumento indispensabile per dimostrare la propria accountability al GDPR. Ecco tutte le regole per redigerla in maniera completa e adeguata alle disposizioni della normativa privacy

22 Gen 2020
M
Daniela Messina

Professoressa a contratto di diritto dell'informazione e dell'informatica presso l'Università degli Studi di Napoli "Parthenope"


Un importante strumento per garantire la compliance al GDPR: l’informativa del titolare spiega agli interessati come verranno trattati i loro dati, affinché possano esercitare i loro diritti.

Vediamo tutti i dettagli e quali informazioni deve contenere questo documento.

Il framework normativo

Il Regolamento (UE) 2016/679 (cd. GDPR)[1] ha introdotto nuove e più stringenti norme in materia di tutela dei dati personali. Esso si fonda su quello che è stato efficacemente definito un risk based approach, vale a dire un approccio basato sulla constatazione che il trattamento delle informazioni di carattere personale costituisce di per sé un’attività “pericolosa” dal momento in cui un’utilizzazione dei dati realizzata in maniera non sicura, non trasparente ovvero senza un consenso consapevole da parte dei soggetti interessati comporta un rischio elevato per l’esercizio dei diritti e delle libertà fondamentali delle persone fisiche, in assenza di adeguate misure di controllo e di sicurezza.

Tra i molteplici strumenti presi in considerazione dal legislatore europeo al fine di contrastare situazioni di illecito trattamento delle informazioni personali, assume particolare rilievo il documento informativo che il titolare è tenuto a fornire al soggetto interessato nel momento in cui decidere di avviare un’attività di raccolta ed utilizzo dei dati personali.

La cosiddetta informativa, infatti, rappresenta il mezzo principale attraverso cui il titolare offre una panoramica dettagliata delle attività che verranno svolte utilizzando tali informazioni, nonché il sistema degli strumenti messi a disposizione dal quadro normativo per garantire una effettiva e piena tutela dei dati personali.

Solo in questo modo è possibile assicurare che il consenso al trattamento sia sempre l’espressione finale di un processo di formazione della volontà del soggetto interessato assolutamente di tipo consapevole, informato e scevro da ogni sorta di condizionamento esterno che sia in grado di alterarne l’autenticità del suo volere.

Alla luce di ciò, il Regolamento definisce in maniera tassativa i contenuti che debbono caratterizzare tale documento, ampliando in alcuni casi quanto già previsto in passato dal Codice in materia di protezione dei dati personali D.lgs. 196/2003[2], oggi modificato ed integrato a seguito proprio dell’entrata in vigore del nuovo quadro normativo.

L’informativa del titolare: contenuti obbligatori

Il primo passo che deve compiere un soggetto che intende intraprendere un’attività di trattamento e che, quindi, deve procedere alla redazione della relativa documentazione informativa, consiste nella valutazione delle modalità di raccolta dei dati personali.

Il Regolamento, infatti, prevede obblighi informativi lievemente differenti a seconda che le informazioni personali siano direttamente acquisite dal soggetto interessato ovvero siano ottenute da fonti diverse.

Nel primo caso, le regole da prendere in considerazione sono quelle tassativamente contenute nell’art. 13 del GDPR. In base a tale articolo, il titolare, infatti, è tenuto ad indicare:

  1. la propria identità ed i relativi dati di contatto, nonché, ove applicabile, quelli del proprio rappresentante nel territorio italiano;
  2. i dati di contatto del data protection officer (DPO), nel caso in cui sia necessaria la presenza di tale figura. A tal fine, il titolare è tenuto a valutare preliminarmente se l’attività svolta ricada o meno in uno dei casi previsti dall’art. 37 del Regolamento[3];
  3. le finalità che intende perseguire per il tramite del trattamento dei dati personali raccolti, specificando anche la base giuridica su cui si radica tale l’attività. A tal proposito, l’informativa deve chiarire se il trattamento risulti necessario per il perseguimento di un legittimo interesse del titolare o di terzi (ad esempio nel caso in cui l’interessato sia un cliente o alle dipendenze del titolare). Come precisato dall’art. 6, è bene ricordare che, in questo caso, il trattamento è consentito se è soltanto se l’interesse perseguito non prevalga sugli interessi, i diritti o le libertà fondamentali dell’interessato, in particolar modo se si tratta di un minore. Stesso discorso vale nei casi in cui la comunicazione dei dati derivi da un obbligo legale, contrattuale oppure costituisca un requisito necessario per la conclusione di un contratto. In tali situazioni, il titolare è tenuto anche a specificare se sussiste un obbligo per il soggetto di fornire i propri dati e quali potrebbero essere le conseguenze derivanti dalla mancata comunicazione di tali informazioni;
  4. gli eventuali destinatari dei dati personali, compresa l’intenzione del titolare di trasferirli a un paese terzo o ad una organizzazione internazionale. In tal caso, l’informativa deve obbligatoriamente indicare se tali paesi ed organizzazioni godano o meno della cosiddetta “decisione di adeguatezza”. Si tratta di un atto mediante il quale la Commissione Europea certifica la sussistenza in tali contesti di un livello di protezione adeguato e sostanzialmente equivalente a quello assicurato all’interno dell’Unione. Nel caso in cui manchi tale decisione, ma il trasferimento è destinato a paesi terzi ovvero organizzazioni che hanno fornito garanzie adeguate, diritti azionabili e mezzi di ricorso effettivi a favore dell’interessato (ai sensi degli artt. 46, 47 e 49, paragrafo 1, secondo comma del Regolamento) il titolare è tenuto ad indicare nell’informativa dettagliatamente tali garanzie, i mezzi per ottenerne una copia o il luogo dove le stesse sono disponibili;
  5. il periodo in cui tali dati personali saranno conservati e, nel caso in cui non sia possibile fornire tale informazione, i criteri che saranno utilizzati dal titolare per definire la relativa ampiezza temporale.

Oltre a tali contenuti obbligatori, affinché il trattamento risulti corretto e trasparente, il titolare è tenuto anche ad informare l’interessato del sistema dei diritti che il quadro normativo mette a sua disposizione al fine di poter controllare pienamente le proprie informazioni personali lungo tutta la filiera di utilizzazione del dato.

L’informativa del titolare: i diritti

In particolare, l’informativa deve specificare l’esistenza per l’interessato dei seguenti diritti:

  • il diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e di accedere agli stessi (art.15);
  • il diritto alla rettifica (art.16);
  • il diritto alla cancellazione (art.17);
  • il diritto alla limitazione del trattamento dei dati personali che lo riguardano (art.18);
  • il diritto di opporsi al loro trattamento (art.21);
  • il diritto alla portabilità dei dati (art.20);
  • il diritto di proporre un reclamo ad una autorità di controllo nel caso in cui egli ritenga che il trattamento che lo riguarda violi le norme in materia, così come previsto dall’art. 77 del Regolamento.

Inoltre, nel caso in cui il trattamento poggi sul consenso espresso dall’interessato per una o più specifiche finalità ovvero su un consenso esplicito in quanto connesso all’uso di  una delle categorie particolari di dati indicate dall’art. 9 del Regolamento[4], il documento deve specificare che sussiste la possibilità per l’interessato di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento.

Profilazione e finalità diverse del trattamento

Particolare attenzione, poi, deve essere rivolta ai cd. processi decisionali automatizzati, compresa la profilazione. Il Regolamento definisce tale attività come qualsiasi forma di trattamento automatizzato consistente nell’utilizzo di dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.

Come indicato dalle  Linee guida dell’ Article 29 Working Party [5] rientrano in tale definizione, in particolare, quelle attività di trattamento dei dati personali che sfociano in una decisione assunta esclusivamente mediante strumenti tecnologici, senza alcun coinvolgimento umano. Nel caso in cui il titolare si trovi a compiere un simile trattamento, questi è tenuto a specificare all’interno dell’informativa che i dati saranno oggetto di un processo decisionale automatizzato, nonché a fornire informazioni significative sulla logica utilizzata, nonché sull’importanza e sulle conseguenze che possono derivare per l’interessato.

WHITEPAPER
Sicurezza: perchè puntare su un approccio zero trust?
Sicurezza
Sicurezza dei dati

A chiudere l’insieme degli obblighi informativi a carico del titolare vi sono, infine, le informazioni relative ai casi in cui questi intenda trattare ulteriormente i dati personali per una finalità diversa rispetto a quella inizialmente annunciata al soggetto interessato e per la quale ha ottenuto già il consenso. In tal caso, egli è tenuto a comunicare al destinatario, prima di intraprendere l’attività, l’obiettivo di tale differente trattamento e tutte le relative informazioni necessarie ad indentificare ed accettare tale nuovo e differente utilizzo di dati personali.

Dati personali non raccolti presso l’interessato

Nel caso in cui la raccolta dei dati non avvenga direttamente presso il soggetto interessato, bensì vengano estrapolate da fonti diverse, il titolare del trattamento deve attenersi ai contenuti tassativamente indicati dall’art. 14 del Regolamento.

Più nel dettaglio, in aggiunta alle informazioni indicate dall’art.13 del GDPR che, come è stato evidenziato, debbono essere presenti obbligatoriamente nel documento, il titolare in questo caso deve specificare nella informativa altresì:

  • le categorie dei dati oggetto di trattamento;
  • la sorgente da cui derivano i dati personali raccolti, precisando i casi in cui le informazioni provengano da fonti accessibili al pubblico.

L’orizzonte temporale dell’informativa

Leggere differenze sussistono, inoltre, tra le due modalità di raccolta dei dati con riferimento all’orizzonte temporale entro il quale tali informazioni devono essere comunicate ai soggetti interessati. Nel caso in cui i dati siano raccolti in maniera diretta, infatti, il titolare è tenuto a fornire l’informativa nel momento stesso della raccolta, così come precisato dall’art.13, paragrafo 1 e ribadito dal considerando n. 61.

Nel caso in cui, invece, i dati provengano da una fonte diversa, l’interessato ha diritto a ricevere tale documento entro un termine definito “ragionevole” e comunque mai oltre un mese dalla consegna dei dati, tenuto conto delle circostanze specifiche dell’attività di trattamento.

Inoltre, qualora, le informazioni personali siano destinate alla comunicazione con lo stesso soggetto interessato, il Regolamento prevede l’obbligo per il titolare di trasmettere l’informativa contestualmente alla comunicazione. Nel caso in cui, invece, i dati siano destinati alla comunicazione con terzi, l’informativa deve essere consegnata non oltre la prima comunicazione dei dati personali.

Non opera più, quindi, la regola prevista dalla precedente versione del Codice che all’articolo 13, comma 4, ora abrogato, stabiliva per tali situazioni l’obbligo di invio dell’informativa all’atto della registrazione e non della comunicazione.

Deroghe alla trasmissione dell’informativa

Quando la raccolta dei dati personali avviene direttamente presso l’interessato, l’art.13, paragrafo 4, specifica che il titolare può ritenersi esonerato dalla comunicazione delle suddette informazioni tassativamente richieste dal Regolamento nel caso in cui queste risultino già nella disponibilità dell’interessato. Più articolate, invece, appaiono le deroghe previste nel caso in cui i dati personali vengano estrapolati da altre fonti.

In questo caso, il titolare, infatti, è esentato dal fornire le suddette informazioni obbligatorie non solo nell’evenienza in cui l’interessato sia stato già edotto, ma anche in altre tre specifiche situazioni. La prima riguarda il caso in cui l’effettiva e completa diffusione delle informazioni obbligatorie:

  • risulta essere per il titolare impossibile;
  • implica uno sforzo per questi sproporzionato;
  • rischia di rendere irrealizzabile o di pregiudicare il conseguimento delle finalità del trattamento.

Con riferimento a tale ultima eventualità, il Regolamento fa esplicitamente rimando ad alcune attività peculiari quali l’utilizzo dei dati per finalità di archiviazione nel pubblico interesse, di ricerca scientifica, storica o a fini statistici.

Tuttavia, in tali casi la deroga si ritiene operative se e soltanto se il titolare abbia posto in essere misure tecniche ed organizzative, soprattutto di minimizzazione dei dati trattati, che siano adeguate a garantire i diritti e le libertà dell’interessato.

Il secondo caso di esenzione riguarda, invece, quelle attività che prevedono il trattamento di dati il cui ottenimento o comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro del titolare e siano caratterizzate da misure appropriate per tutelare gli interessi legittimi dell’interessato.

L’ultimo caso riguarda, invece, la raccolta ed il trattamento di dati personali sottoposti a riserbo in ossequio ad un obbligo di segreto professionale disciplinato dall’Unione o dagli Stati membri, anche nel caso in cui la segretezza sia stabilita con legge.

Infine, rileva sottolineare che per alcune attività di trattamento di particolare rilievo come quelle destinate alla sicurezza nazionale, alla difesa, alla sicurezza pubblica, all’accertamento e al perseguimento di reati o all’esecuzione di sanzioni penali[6], il Regolamento all’art. 23, paragrafo 1,  prevede la possibilità per il titolare di limitare la portata delle informazioni da comunicare al soggetto interessato purchè tale decisione si fondi su un atto normativo adottato a livello nazionale o sovranazionale e, comunque, sempre nei limiti in cui ciò risulti necessario e proporzionato per la tutela dell’assetto democratico della società.

I caratteri generali dell’informativa del titolare

Infine, specifiche indicazioni vengono fornite dal Regolamento anche con riferimento agli elementi caratterizzanti la redazione stessa dell’informativa da trasmettere ai soggetti interessati. L’art. 12, paragrafo 1, supportato dal considerando 58, chiarisce, infatti, che nel rispetto del principio della trasparenza che è alla base dell’intera normativa in materia, il titolare è tenuto a comunicare tutte le informazioni obbligatorie precedentemente descritte mediante un documento dedicato che abbia una forma concisa, trasparente, intelligibile e facilmente accessibile.

Anche il linguaggio utilizzato deve essere semplice e chiaro, privo di affermazioni ambigue, soprattutto nel caso in cui i destinatari del documento siano minori. A tal proposito, il Regolamento contempla la possibilità per il titolare di adottare documenti diversi, specificatamente destinati a tale peculiare – e tendenzialmente più fragile – tipologia di soggetti interessati.

L’art.12, inoltre, stabilisce che l’informativa debba essere fornita, in linea di principio, per iscritto o con “altri mezzi” che siano idonei al tipo di trattamento che il titolare intende effettuare. In particolare, il Regolamento prevede esplicitamente la possibilità di utilizzare un formato elettronico per la diffusione di tale documento: trattasi di una soluzione particolarmente incoraggiata dal legislatore nei casi in cui l’acquisizione dei dati sia strumentale all’erogazione di servizi per il tramite di un sito web e, data la complessità dello stesso, sia difficile per l’utente finale distinguere quale operatore stia effettivamente raccogliendo i propri dati e per quale finalità (il considerando 58, a tal proposito, fa esplicitamente riferimento al caso delle pubblicità online presenti su un sito web).

Inoltre, affinché l’informativa sia facilmente visibile e chiaramente leggibile, il Regolamento prevede anche la possibilità per il titolare di inserire nel documento icone standardizzate, purché siano fornite in combinazione con le informazioni obbligatorie di cui agli articoli 13 e 14.

Tali indicazioni rimandano all’idea, più volte indicata come soluzione ottimale dal Garante italiano, dell’”informativa stratificata”: a seconda del tipo di trattamento e dei destinatari, infatti, il titolare è tenuto a realizzare un documento del tipo user-friendly, facilmente accessibile e leggibile, mediante la predisposizione, ad esempio, di apposite sezioni tematiche che consentano all’interessato di reperire agevolmente le informazioni di cui necessita ovvero di immagini che consentano di fornire un supporto visivo aggiuntivo all’insieme delle informazioni più dettagliatamente indicate all’interno del documento.

Tuttavia, rileva sottolineare che il Regolamento ammette in ultima analisi la possibilità di fornire, su richiesta dell’interessato, anche oralmente le informazioni obbligatorie, purché il titolare si preoccupi di accertare con altri mezzi l’identità dell’interessato.

NOTE

[1] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

[2] Decreto Legislativo 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali”

[3] Ai sensi dell’art. 37 il titolare del trattamento e il responsabile del trattamento designano sistematicamente un DPO ogniqualvolta: a) il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali; b)le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala; oppure c) le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.

[4] Si tratta dei dati personali più strettamente connessi alla sfera intima del soggetto perché in grado di rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi ad identificare in modo univoco una persona fisica. Rientrano in tale categoria, inoltre i dati relativi alla salute, alla vita sessuale o all’orientamento sessuale della persona. Per il trattamento di tali informazioni, il legislatore europeo ha previsto una disciplina più dettagliata e rigorosa che è contenuta appunto nell’art. 9 del Regolamento.

[5] Sul punto cfr. Article 29 Working party, Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679 (WP251), adottate il 3 ottobre 2017 ed aggiornate il 6 febbraio 2018, p.8 ss.

[6] L’art.23, paragrafo 1 fa riferimento a tali ambiti: a) la sicurezza nazionale; b) la difesa; c) la sicurezza pubblica; d) la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; e) altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, in particolare un rilevante interesse economico o finanziario dell’Unione o di uno Stato membro, anche in materia monetaria, di bilancio e tributaria, di sanità pubblica e sicurezza sociale; f) la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari; g) le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate; h) una funzione di controllo, d’ispezione o di regolamentazione connessa, anche occasionalmente, all’esercizio di pubblici poteri

WHITEPAPER
Covid-19: come rispettare le regole senza fermare lo sviluppo del mercato?
Sanità
Risk Management

@RIPRODUZIONE RISERVATA