- Ultima revisione: 21 Agosto 2023
L’informativa privacy
Il regolamento europeo per la protezione dei dati (GDPR) impone a tutte le organizzazioni che trattano dati personali di applicare il principio della trasparenza in base al quale il cittadino deve essere informato su come verranno utilizzati i suoi dati. Lo strumento con il quale adempiere a quest’obbligo è l’informativa privacy che ha quindi lo scopo di rendere il cittadino consapevole di cosa verrà fatto dei suoi dati e di quali sono i suoi diritti.
È uno strumento fondamentale che, essendo il primo punto di contatto tra l’organizzazione e il cittadino nella trattazione dei dati, deve essere conformato in modo adeguato affinché sia fruibile nel migliore dei modi.
QUANDO È NECESSARIA E QUANDO NON SERVE
L’informativa privacy è necessaria ogni volta che un’organizzazione raccoglie e tratta dati personali di utenti o clienti. È obbligatoria a prescindere dal mezzo con il quale i dati vengono raccolti, che si tratti di siti web, applicazioni mobili o moduli cartacei.
L’informativa deve essere presentata prima di effettuare la raccolta delle informazioni, in modo che gli utenti possano prendere una decisione consapevole sulla condivisione dei propri dati personali.
Ci sono tuttavia alcune eccezioni in cui non è necessario fornire un’informativa privacy, come ad esempio se:
- i dati raccolti sono anonimi (se invece l’anonimizzazione avviene dopo la raccolta, l’informativa va fornita);
- l’utente/cliente ha già ricevuto le informazioni;
- il recapito dell’informativa è impossibile o richiede uno sforzo sproporzionato;
- il trattamento dati è collegato a investigazioni difensive in materia penale e solo per quanto concerne i dati dei soggetti indagati;
- il trattamento dei dati deve rimanere riservato per obbligo di segreto professionale disciplinato dal diritto dell’Unione Europea o degli Stati membri (art. 14).
COSA DEVE CONTENERE L'INFORMATIVA PRIVACY
Il regolamento generale sulla protezione dei dati elenca le informazioni che devono essere presenti nell’informativa privacy distinguendo il caso in cui i dati siano forniti direttamente dall’interessato (art. 13) da quello in cui i dati siano acquisiti da terzi (art. 14).
Devono essere presenti:
- identità e dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- dati di contatto del responsabile della protezione dei dati (ove applicabile);
- per ciascun trattamento:
– i tipi di dati raccolti
– le finalità
– la base giuridica
– la modalità di conservazione
– il periodo di conservazione o il criterio per determinarlo - se verranno utilizzati processi decisionali automatizzati, compresa la profilazione;
- gli eventuali soggetti esterni ai quali i dati verranno comunicati;
- gli eventuali paesi terzi verso i quali verranno trasferiti;
- i diritti dell’interessato.
CARATTERISTICHE FORMALI DELL'INFORMATIVA
L’informativa privacy è uno strumento che serve a dare consapevolezza a qualunque utente la debba consultare, a prescindere dall’età e dal grado di istruzione. Per questo motivo il regolamento nell’art. 12 specifica che deve essere concisa, trasparente, intelligibile, facilmente accessibile e scritta con un linguaggio semplice e chiaro, in special modo se le sue informazioni sono destinate ai minori.
ENTRO QUANDO FORNIRLA
L’informativa privacy deve essere fornita all’utente prima o al massimo in occasione della raccolta dei dati personali. Se i dati non sono stati forniti direttamente dall’interessato (art. 14), l’informativa deve essere fornita entro un mese dalla raccolta dei dati.
Un caso particolare è quello del curriculum vitae spontaneamente inviato dal candidato. In questo caso l’informativa deve essere fornita al momento del primo contatto utile, ad esempio in caso di convocazione del candidato.
COS'É E QUANDO SI APPLICA L'ART. 14 DEL GDPR
L’art. 14 del GDPR stabilisce l’obbligo di fornire all’utente un’informativa dettagliata sul trattamento dei suoi dati personali qualora questi siano stati raccolti da fonti diverse dall’interessato stesso. In altre parole, se i dati personali sono stati ottenuti da terze parti, il titolare del trattamento è tenuto a informare l’utente entro un tempo ragionevole.
L’informativa deve contenere le stesse informazioni richieste dall’art. 13, ma includere anche i dettagli sulla fonte da cui sono stati ottenuti i dati personali.
QUANDO USARE L'INFORMATIVA RIDOTTA
In alcune circostanze il titolare del trattamento può scegliere di fornire un’informativa ridotta. Questa alternativa è consentita dove il contesto richiede una consultazione rapida ed efficace da parte dell’interessato.
Alcuni esempi sono:
- la segnaletica nelle aree soggette a videosorveglianza;
- l’informativa comunicata a voce durante il primo contatto telefonico.
L’informativa ridotta deve sempre contenere le seguenti informazioni:
- l’identità del titolare;
- le finalità del trattamento;
- i diritti dell’interessato;
- un rimando all’informativa completa, che deve essere accessibile in modo facile e veloce.
I MEZZI ALTERNATIVI PER TRASMETTERE L’INFORMATIVA
Grazie alle tecnologie informatiche, oggigiorno è possibile offrire agli utenti un’esperienza migliore per quanto riguarda l’accesso alle informazioni legate alla trasparenza dei trattamenti.
L’EDPB (European Data Protection Board) nelle sue linee guida ha descritto le seguenti due tecniche:
- la dashboard per la privacy, ovvero un punto unico nel quale l’interessato può consultare le informazioni sulla privacy e gestire le proprie preferenze;
- la notifica “just in time”, che tramite delle popup è in grado di mostrare le informazioni sulla privacy in momenti diversi della raccolta dati. Così facendo si evita di fornire l’informativa completa che tende a scoraggiare la lettura e si permette all’interessato di apprendere un po’ alla volta le informazioni utili a capire come verranno trattati i suoi dati.
COME GESTIRE LE REVISIONI DELL'INFORMATIVA
L’informativa privacy è un documento che deve essere sempre disponibile e aggiornato. L’interessato deve poterla trovare facilmente, ad esempio in un’area opportunamente predisposta del sito web o richiedendola via mail.
In linea generale, un’informativa può essere aggiornata liberamente dal titolare del trattamento e pubblicata attraverso i canali a lui più congeniali. Fintanto che i trattamenti in essa elencati non richiedono come base giuridica un consenso esplicito, è sufficiente sovrascrivere la vecchia versione con la nuova. In via prudenziale, è opportuno mantenere una copia di backup delle varie versioni rilasciate nel tempo.
Cosa fare se l'informativa richiede il consenso dell'interessato
La normativa prevede che l’interessato abbia il diritto di fornire e revocare il suo consenso in qualsiasi momento, senza pregiudicare così la liceità del trattamento antecedente alla revoca. Per questo motivo, dato che il titolare deve poter dimostrare in qualsiasi momento la legittimità dei suoi trattamenti, è necessario che i consensi vengano storicizzati.
Visto che da revisioni sostanziali dell’informativa può scaturire la necessità di richiedere nuovi consensi, è necessario che quelli raccolti in passato siano riconducibili alla versione del documento cui si riferivano. In questo modo, sia il titolare che l’interessato possono verificare come si è evoluta nel tempo la storia di ciascun consenso.
SANZIONI
Un’ informativa privacy non conforme può portare a una verifica da parte degli organi ispettivi e a una sanzione che può raggiungere 10 milioni di euro o il 4% del fatturato globale annuo. Dato che la sanzione ha il compito di essere dissuasiva e non demolitiva, viene ridimensionata in base all’organizzazione soggetta al provvedimento e alla gravità dell’illecito. Ciò nonostante, dato che un’informativa inadeguata comporta la violazione di uno dei principi fondanti del GDPR, ovvero la trasparenza, tale inosservanza difficilmente viene lasciata impunita.
CONCLUSIONI
L’informativa privacy è un documento molto importante perché pone le basi per un rapporto di fiducia tra l’interessato e il titolare del trattamento. È parte integrante dell’impianto privacy e si evolve nel tempo in base ai trattamenti che l’organizzazione deve mettere in atto.
Per questo motivo è importante che le modifiche dell’informativa e gli eventuali consensi al trattamento dei dati rilasciati dagli interessati vengano storicizzati. In questo modo il titolare può dimostrare in qualsiasi momento la sua accountability (responsabilizzazione).
La piattaforma PersonalDOX da noi realizzata consente una gestione efficace dell’informativa grazie alla possibilità di renderla facilmente accessibile all’interessato e di gestire gli eventuali consensi rilasciati. Nel caso in cui venga rilasciata una nuova versione del documento, gli interessati con dei trattamenti in corso ricevono una notifica che li invita, qualora necessario, a prenderne visione e confermare i consensi.
Abbiamo integrato la gestione dell’informativa nel processo di raccolta e condivisione delle informazioni così da renderla sinergica con l’intero processo di trattazione dei dati. Ogni passaggio è mirato a garantire la legittimità dei trattamenti e la trasparenza verso l’interessato.
Per saperne di più visita la pagina di PersonalDOX
Approfondimenti
Condividi:
Articoli collegati
L’informativa privacy
Il principale strumento per informare l’interessato al trattamento
La profilazione
Un puzzle fatto con i pezzi della nostra identità
Digitalizzazione e dematerializzazione degli archivi
La digitalizzazione dei documenti è un percorso che tutte le aziende dovranno intraprendere
Gamification e privacy
Il divertimento in azienda è positivo, attenzione però alla privacy
L’errore umano nella gestione della privacy
La causa principale delle violazioni dei dati è da imputare all’errore umano