Informativa privacy: cos’è e quando serve

MAGAZINE

Informativa privacy: cos’è e quando serve

Infatti, il titolare del trattamento deve fornire agli interessati – prima del trattamento stesso – le informazioni richieste per legge, in base all’articolo 12 del Regolamento UE 2016/679.

Lo strumento per fare ciò è, dunque, l’informativa privacy. In questo articolo approfondiamo meglio di cosa si tratta, quando serve e quali sono i contenuti minimi previsti.

Informativa privacy: cos’è

Come anticipato, l’informativa privacy è una comunicazione rivolta al soggetto interessato al trattamento, da fornire prima che inizi il trattamento dei dati (quindi, prima ancora che il soggetto diventi effettivamente “interessato”).

Tale documento riguarda le finalità e le modalità di trattamento dei dati personali: informazioni che devono essere fornite alla persona, prima che i dati stessi possano essere effettivamente raccolti, trattati e conservati.

In realtà, nel GDPR non si fa mai riferimento esplicito al termine “informativa privacy“. All’articolo 12, però, viene specificato che “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14“. Dunque, anche se non vengono indicate le modalità, risulta evidente come il soggetto interessato debba venire a conoscenza di tali informazioni sul trattamento dei dati.

Al di là dell’aspetto legato al rendere partecipe l’utente, infatti, l’informativa è lo strumento grazie al quale il titolare può garantire la trasparenza e la correttezza dei trattamenti (principi fondamentali stabiliti dal regolamento europeo), fin dalla fase di progettazione.

Ad esempio, il considerando 39 del GDPR indica che “il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro“.

Inoltre, secondo il principio di accountability (o di responsabilizzazione), il titolare potrà così dimostrare che il trattamento sia stato effettuato conformemente alla normativa.

L’informativa permette anche all’interessato di fornire un valido consenso, se richiesto come base giuridica del trattamento. Qualora la base giuridica non sia il consenso, rimane comunque l’obbligo di dare le informazioni.

Informativa privacy: quando è obbligatoria (e quando no)

L’informativa privacy, in generale, è obbligatoria ogni volta in cui vi sia un trattamento dei dati.

Come detto, gli interessati vanno informati prima che venga effettuato il trattamento, ovvero prima della raccolta dei dati. Questo vale nel caso i dati vengano raccolti direttamente dall’interessato. Al contrario, qualora i dati siano acquisiti da parte di terzi, l’informativa deve essere fornita:

  • entro un termine ragionevole (in ogni caso, non oltre un mese dalla raccolta dei dati);
  • oppure, nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato;
  • oppure, nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.

L’informativa privacy, invece, non è necessaria se:

  • i dati trattati sono anonimi (aggregati o statistici);
  • i dati sono trattati per fini domestici e non diffusi;
  • i dati trattati sono di enti o persone giuridiche;
  • l’interessato dispone già delle informazioni (es. i banner dei siti web per la richiesta dei consensi vengono mostrati solo quando si accede per la prima volta a quel sito);
  • non è possibile comunicare le informazioni, oppure ciò richiederebbe uno sforzo sproporzionato (in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici);
  • l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato;
  • i dati personali devono rimanere riservati per un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri.

Come specificato dal Garante Privacy, inoltre, l’informativa non occorre se i dati sono trattati in base a un obbligo previsto per legge, oppure se il trattamento è connesso allo svolgimento di investigazioni difensive in materia penale o alla difesa di un diritto in sede giudiziaria (chiaramente, i dati devono essere trattati solo per il tempo necessario allo svolgimento delle indagini).

Contenuti minimi dell’informativa privacy

Gli articoli 13 e 14 del GDPR specificano quali sono gli obblighi informativi che il titolare deve fornire all’interessato, distinguendo tra due casistiche: raccolta dati presso l’interessato stesso oppure dati non ottenuti presso l’interessato.

Nel primo caso, le informazioni da prevedere sono:

  • identità e dati di contatto del titolare e, ove applicabile, del suo rappresentante;
  • dati di contatto del responsabile della protezione dei dati, ove applicabile;
  • finalità del trattamento e base giuridica;
  • legittimi interessi perseguiti dal titolare o da terzi (se previsti);
  • eventuali destinatari o categorie di destinatati dei dati personali;
  • ove applicabile, l’intenzione del titolare di trasferire i dati a un paese terzo o a un’organizzazione internazionale (e le relative modalità previste dalla normativa).

Nel secondo caso – quindi per i dati non raccolti presso l’interessato – oltre a quanto sopra riportato, vanno aggiunte le categorie di dati personali in questione.

Inoltre, per garantire un trattamento corretto e trasparente, il titolare deve fornire anche le seguenti informazioni:

  • periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • esistenza dei diritti dell’interessato (accesso, rettifica, cancellazione dei dati personali, limitazione o opposizione al trattamento, diritto alla portabilità dei dati);
  • esistenza del diritto di revocare il consenso (ove utilizzato come base giuridica);
  • esistenza del diritto di proporre reclamo a un’autorità di controllo;
  • specificare se la comunicazione dei dati personali è un obbligo legale o contrattuale, oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali e le possibili conseguenze della loro mancata comunicazione;
  • esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, le informazioni significative sulla logica utilizzata, l’importanza e le conseguenze previste per l’interessato.

Anche in questo caso, per i dati non raccolti presso l’interessato – oltre a quanto riportato nel precedente elenco – andrà specificata la fonte dei dati personali e l’eventualità che essi provengano da fonti accessibili al pubblico.

Su questo argomento potrebbe interessarti anche il seguente articolo del nostro blog: Applicazione del GDPR, la nuova guida fornita dal Garante.

Devi redigere l’informativa privacy della tua azienda, oppure vuoi sapere se quella che stai utilizzando rispetta le norme di legge? Contattaci senza impegno per richiedere la consulenza di un nostro esperto.

banner ebook studio essepi

{loadposition bonomi}

Newsletter

Aggiornamenti utili e novità sulle tue aree d’interesse!

Seguici!

Top