Informativa privacy

Informativa privacy: guida completa
INDICE:

Uno strumento di informazione per la trasparenza e la correttezza del trattamento di dati personali

Ogni giorno, in diversi contesti, è possibile incontrare una richiesta di lettura di una informativa privacy, ad esempio, in occasione della navigazione in rete o di un acquisto online. Le poche volte in cui si trova il tempo di leggere questi documenti non è sempre chiaro quale sia il significato del contenuto, magari perché troppo lungo o pieno di gergo giuridico. Questo perché scrivere un’informativa non è così semplice come si può pensare.

Tutte le organizzazioni, in misura diversa, trattano dati personali in qualità di titolari del trattamento (prendendo decisioni in merito a finalità e mezzi del trattamento di dati personali). In alcuni casi il trattamento si limita ai soli dipendenti, mentre in altri si estende a clienti finali, fornitori, visitatori, utenti, ecc. Se si analizza il contesto aziendale, anche coloro che trattano dati di persone giuridiche, inevitabilmente, trattano anche i dati di persone che ne fanno parte, come ad esempio i referenti con cui si interfacciano.    

Tutti questi soggetti devono essere a conoscenza di come vengono trattati i propri dati personali e lo strumento utilizzato per fornire tali informazioni è proprio la cosiddetta Informativa privacy.

In questa guida forniremo una definizione di informativa, approfondiremo il suo contenuto, gli obblighi previsti dal GDPR e alcuni consigli pratici per la sua redazione.

Che cos’è l’informativa privacy?

L’informativa privacy è un documento rivolto agli interessati (le persone fisiche di cui si raccolgono, trattano e conservano i dati), con la funzione di informarli sulle modalità e sulle finalità di trattamento dei propri dati personali.

Il GDPR non menziona mai la parola “Informativa”. Tuttavia, leggendo attentamente l’art. 12,  troviamo la seguente previsione: “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14”.

Non viene quindi indicata la modalità con cui fornire l’informazione, ma viene esplicitato il fatto che l’interessato deve venire a conoscenza di tutte le informazioni che chiariscono come i dati vengono trattati.

Se volessimo dare una definizione all’informativa potremmo considerarla come un documento (in forma cartacea o elettronica) che rappresenta il risultato di una serie di decisioni e sintesi sui procedimenti scelti dal Titolare del Trattamento, su cui gravano tutti i doveri previsti dalla normativa Europea.

Come avremo modo di vedere, in tale contesto, l’Interessato diventa l’assoluto protagonista e centro di interessi. Infatti, nell’informativa ai sensi degli articoli 13 e 14 del GDPR, vengono indicati, tra le diverse informazioni anche i diritti che l’interessato può esercitare.

A cosa servono le informative?

Lo scopo principale delle previsioni del GDPR in merito all’informativa è quello di garantire all’interessato il diritto ad essere informato sulle caratteristiche del trattamento dei dati personali, in modo adeguato ed attraverso un’informativa sulla privacy chiara, intellegibile e di facile comprensione, tenendo presente fattori che incidono sulla capacità di comprensione, come l’età dell’interessato.

I soggetti che intendono trattare dati personali hanno il compito di individuare con anticipo a quali categorie di interessati intendono rivolgersi e i canali da utilizzare. Di conseguenza, devono rendere le informazioni immediatamente disponibili e facili da trovare, dato che l’interessato ha il diritto a comprendere l’ambito e le conseguenze del trattamento dei suoi dati personali.

L’informativa ha anche lo scopo di permettere che l’interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento. Al consenso, inteso come manifestazione di volontà informata, corrisponde l’obbligo informativo in capo al titolare. Infatti, fornire le informazioni sul trattamento nella fase precedente all’acquisizione del consenso permette agli interessati di prendere una decisione informata, di comprendere a cosa stanno acconsentendo e di esercitare correttamente il diritto di revoca. In mancanza dell’informativa privacy, il controllo sui dati da parte dell’interessato perde di forza ed il consenso così acquisito non potrà essere considerata come valida base giuridica per il trattamento.

Infine, lo strumento dell’informativa viene considerato una condizione per la correttezza del trattamento e per la trasparenza dello stesso.

Chi deve fornire l’informativa privacy?

Come già anticipato, l’informativa privacy deve essere redatta dal Titolare del trattamento, ovvero da colui che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. (art. 4. par. 1, n. 7 GDPR). In buona sostanza dal soggetto che decide “perché” e “come” devono essere trattati i dati.

La redazione dell’informativa è strettamente collegata al dovere del Titolare di assicurare la trasparenza e la correttezza dei trattamenti fin dalla fase di progettazione (privacy by design) dei trattamenti stessi, e al principio di accountability, ossia il saper rispondere e rendere conto dei risultati ottenuti o di quanto sia stato fatto in merito al trattamento dei dati personali.

Quali sono le modalità con cui fornire l’informativa?

Il GDPR disciplina anche le modalità con cui fornire l’informativa e precisamente prevede che la stessa sia redatta in forma concisa, trasparente ed intellegibile per l’interessato e facilmente accessibile.

Il linguaggio da utilizzare deve essere chiaro e semplice e l’informativa deve essere fornita per iscritto e preferibilmente in formato elettronico, soprattutto nel contesto di servizi online, ma non è escluso anche l’utilizzo di altri mezzi come la forma orale.  

Inoltre, è possibile utilizzare anche delle icone per presentare i contenuti dell’informativa in forma sintetica, le quali devono essere sempre associate ad un’informativa estesa. Sul punto il Garante ha anche messo a disposizione sul proprio sito un data set di icone da poter utilizzare.

Infatti, in contesti particolari o complessi, dove il tempo per la lettura delle informazioni è limitato, è prassi consolidata quella di dividere l’informativa in due parti: fornendo in prima battuta un’informativa “breve” con gli elementi essenziali del trattamento, rimandando gli elementi di dettaglio a un’informativa “estesa” fornita successivamente. In questo modo l’interessato potrà scegliere a che livello approfondire le informazioni (è il caso del cartello della videosorveglianza o del banner cookie).

Quando non è necessaria informativa privacy?

Come abbiamo chiarito, l’informativa è dovuta ogni volta che vi sia un trattamento di dati. Tuttavia, esistono dei casi in cui, non occorre informare l’interessato, e precisamente quando:

  • l’interessato dispone già delle informazioni
  • comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato
  • l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare
  • i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri.

Quando deve essere fornita l’informativa?

In generale, l’informativa deve essere resa prima dell’inizio del trattamento, quindi prima della raccolta dei dati. A titolo esemplificativo e non esaustivo, i cartelli della videosorveglianza, che rappresentano un’informativa iconica, vanno posizionati all’ingresso dell’area sorveglianza, e non in luoghi in cui la ripresa è già stata effettuata. Un altro esempio è quello dei form online sui siti web per la registrazione o per la richiesta di informazioni, che prevedono la lettura dell’informativa prima di procedere all’invio dei propri dati personali.

Altri casi che chiariscono il momento in cui deve essere resa l’informativa è quando si raccolgono dati personali per effettuare il download di un’Applicazione, in tal caso l’informativa dovrà essere fornita prima della sua installazione. Tale accortezza è rappresentativa di uno dei principi base del Gdpr, ovvero il principio di Privacy by design: protezione fin dalla progettazione.

L’informativa, inoltre, deve essere fornita all’interessato in due tempi diversi a seconda di come vengono raccolti i dati e precisamente:

  • Se i dati vengono raccolti direttamente presso l’interessato (art. 13 GDPR), l’informativa deve essere fornita prima di effettuare la raccolta dei dati.
  • Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14 GDPR), l’informativa deve essere fornita entro un termine ragionevole, che non può superare un mese dalla raccolta, oppure al momento della comunicazione dei dati a terzi o all’interessato.

Per poter garantire il rispetto delle tempistiche previste dal GDPR, è opportuno adottare delle misure di sicurezza organizzative interne idonee a garantirne il rispetto dei tempi di risposta. Ad esempio, è utile prevedere delle procedure aziendali che regolamentano, in modo dettagliato, tali aspetti.

Cosa contiene l’informativa sulla privacy?

Dopo aver fornito una definizione di informativa e aver compreso che essa ha un ruolo importante per consentire all’interessato di conoscere come i propri dati vengono trattati, è necessario analizzare anche il contenuto minimo previsto dal GDPR.

Gli articoli di riferimento che chiariscono quali sono gli obblighi informativi che i Titolari devono fornire ai soggetti i cui dati personali sono trattati sono gli articoli 13 e 14.

L’art. 13 par. 1 GDPR disciplina le informazioni che il Titolare deve fornire qualora i dati siano forniti presso l’interessato e l’art. 14 par. 1 GDPR disciplina, invece, le informazioni che il Titolare deve fornire, nel caso di dati personali non raccolti direttamente presso l’interessato.

Le informazioni che devono essere fornite agli interessi sono:

  • identità e dati di contatto del Titolare e, ove applicabile, del suo rappresentante;
  • dati di contatto del DPO (Data Protection Officer) (se nominato);
  • finalità del trattamento e base giuridica;
  • categorie di dati personali in questione (solo nei casi in cui i dati non siano raccolti presso    l’interessato);
  • legittimi interessi perseguiti dal Titolare o da terzi (se previsto);
  • eventuali destinatari dei dati;
  • intenzione del Titolare di trasferire i dati a un paese terzo o a un’organizzazione internazionale e le relative modalità previste dalla normativa;

Il GDPR Prevede inoltre anche ulteriori informazioni, in quanto “necessarie per garantire un trattamento corretto e trasparente”. In particolare, il titolare deve specificare:

  • il periodo di conservazione dei dati o i criteri applicati per determinarlo;
  • l’esistenza dei diritti dell’interessato;
  • l’esistenza del diritto di revocare il consenso (ove utilizzato come base giuridica);
  • l’esistenza del diritto di proporre reclamo all’autorità di controllo;
  • la fonte dei dati personali compresa l’eventualità che gli stessi provengono da fonti accessibili al pubblico (solo nei casi in cui i dati non siano raccolti presso l’interessato);
  • se la comunicazione dei dati è un obbligo legale o contrattuale o un requisito necessario per la conclusione di un contratto e se l’interessato è obbligato a comunicare i dati e le relative conseguenze in caso di mancata comunicazione;
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione comprese le informazioni significative sulla logica utilizzata, l’importanza e le conseguenze per l’interessato.

Se i dati non sono raccolti direttamente presso l’interessato (art.14), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento e la fonte dei dati personali.

La redazione dell’informativa privacy è un passaggio fondamentale, in quanto le informazioni rese sono necessarie all’interessato per conoscere come sono trattati i suoi dati, quali sono i suoi diritti e soprattutto per poter prendere una decisione consapevole in caso di richieste di consensi e, in generale, per mantenere il controllo sui propri dati. 

Come si scrive un’informativa privacy?

Analizziamo brevemente quelli che sono i consigli pratici per redigere un’informativa privacy.

Come previsto dalla normativa, l’informativa deve contenere informazioni veritiere e verificabili, deve essere redatta in modo semplice e comprensibile, non deve essere troppo lunga, ma allo stesso tempo deve contenere tutti gli elementi obbligatori.

Un’informativa troppo complessa e lunga non sarebbe efficace e il destinatario della stessa rischierebbe di non comprendere a pieno le informazioni che si vogliono fornire con lo strumento dell’informativa, ossia come i propri dati vengono trattati relativamente a quello specifico trattamento.

Per ogni trattamento è necessario redigere un’informativa specifica. A titolo di esempio, ricordiamo come la videosorveglianza, la gestione dei rapporti del datore di lavoro coi suoi lavoratori, la gestione dell’attività di selezione del personale (curricula, selezioni), la gestione amministrativa e contabile, la gestione dei rapporti commerciali sono tutti trattamenti diversi che devono necessariamente essere gestite con una propria informativa.

Va tenuto in debita considerazione il fatto che la mancanza o l’inidoneità dell’informativa privacy può essere oggetto di applicazione di sanzioni GDPR da parte dell’autorità di controllo.

L’informativa deve essere firmata?

Ci si chiede spesso se l’informativa debba essere firmata o meno. Vediamo di fare chiarezza anche su questo punto.

Considerando uno dei principi cardine del GDPR, ovvero quello dell’accountability, il Titolare deve essere in grado di dimostrare che, al momento della raccolta dei dati personali, o al loro primo utilizzo, se raccolti presso terzi, l’informativa è stata resa all’interessato nelle forme, già illustrate, previste dalla normativa.

Pertanto, seppur la normativa non prevede un obbligo di sottoscrizione dell’informativa, essa è consigliabile per presa visione in tutte le situazioni in cui ciò è possibile.

Ad esempio, nel contesto della sottoscrizione della lettera di assunzione sarà possibile richiedere anche la firma dell’informativa per presa visione, oppure affiggere l’informativa visitatori nei locali aziendali alla reception per consentire agli stessi di visionarla all’accesso etc. Nel contesto online è prassi inserire in corrispondenza del form di raccolta dati un flag di conferma di lettura dell’informativa privacy, che però andrebbe tenuto ben separato da una eventuale richiesta di consenso al trattamento presente nello stesso form.

Informativa e Registro dei trattamenti

Fino a qui abbiamo analizzato il ruolo, le finalità dell’informativa e il suo contenuto. Tuttavia, è opportuno sottolineare che si tratta di un documento che deve essere collegato anche con altri elementi propri del sistema di gestione della Privacy aziendale. Uno fra i tanti è sicuramente il Registro dei trattamenti.

Infatti, quest’ultimo consiste in una mappatura di tutti i trattamenti di dati personali svolti in azienda, con l’indicazione della tipologia dei dati, delle categorie di interessati, delle modalità di trattamenti, di eventuali destinatari e dei tempi di conservazione. Trattasi delle stesse informazioni che vengono richieste nella redazione di un’informativa.

È necessario garantire una congruenza tra ciò che viene indicato nell’informativa con quanto riportato nel Registro delle attività di trattamento, per evitare che dicano cose diverse. Un aggiornamento periodico è quindi d’obbligo per consentire una congruenza tra i due documenti.

Come redigere al meglio un’informativa?

Nel web sono presenti informative lacunose, incomplete, che non rispecchiano i requisiti previsti dalla normativa vigente e che di conseguenza non informano correttamente l’interessato.

L’informativa non può essere un documento “standard” o un modello prestampato. Sicuramente il copia e incolla da altre informative non è la soluzione corretta, anzi si rischia di fornire all’interessato delle informazioni fuorvianti.

Infatti, ogni trattamento deve avere la sua informativa privacy dedicata, come un “vestito su misura”. Il documento deve essere adattabile agli specifici trattamenti di dati personali effettuati dalla propria organizzazione. 

È quindi opportuno redigere un’informativa ponendo particolare attenzione ad inserire nella stessa tutti gli elementi necessari e riferiti al singolo trattamento che si vuole attuare. Sicuramente per tale operazione è utile farsi assistere da un team specializzato che possa analizzare il contesto aziendale e di conseguenza predisporre delle informatiche specifiche.

Se vuoi applicare alla tua organizzazione i concetti analizzati in questo articolo, scopri i nostri servizi di consulenza privacy GDPR, progettati per fornire supporto ai Titolari del trattamento nella redazione di informative personalizzate e adeguate ad ogni tipologia di trattamento.

Torna in alto