L’informativa privacy è un documento che ha assunto un ruolo centrale con l’entrata in vigore del GDPR. Ti stupirà sapere, tuttavia, che il regolamento europeo privacy non utilizza mai l’espressione “informativa”. Disciplina, invece, le informazioni che l’interessato deve ricevere e che sono il fondamento per poter esercitare i suoi diritti.
Il GDPR, infatti, mette al centro il potere decisionale dell’interessato circa il trattamento dei suoi dati. L’informativa privacy GDPR è quello strumento che permette all’interessato di esercitare il suo diritto di gestione dei consensi, perché lo informa su come saranno utilizzati i suoi dati.
Quindi, per rispettare il GDPR, l’informativa privacy deve essere conforme a determinati requisiti sia come contenuti che nel linguaggio utilizzato per la redazione del documento.
CONTENUTO DELL'ARTICOLO
Che cos’è l’informativa privacy?
L’informativa privacy è una dichiarazione o un documento legale che indica come un’azienda o un sito Web raccoglie, gestisce ed elabora i dati dei propri clienti e visitatori. Descrive esplicitamente se tali informazioni sono mantenute riservate o se sono condivise o vendute a terzi.
Il documento deve essere fornito all’utente prima del trattamento dei dati personali, quindi prima ancora che il soggetto diventi interessato.
La difformità dell’informativa rispetto ai requisiti prescritti dal GDPR comporta la violazione di uno dei principi fondamentali stabiliti dal regolamento europeo: quello della trasparenza.
Qualora la base giuridica per il trattamento dei dati sia il consenso dell’interessato, l’informativa costituisce anche requisito di legittimità del consenso stesso. Di conseguenza, il mancato o inesatto adempimento nel dare le informazioni all’interessato non costituisce una semplice inadempienza burocratica, ma pone le basi per l’illegittimità del trattamento dei dati.
Laddove la base giuridica non è il consenso, c’è comunque l’obbligo di dare le informazioni.
Corso GDPR
22 lezioni di teoria e pratica
Cosa imparerai?
- Quali sono i dati personali e quali non rientrano nel GDPR
- Tipologie di dati personali e relative tutele
- I soggetti del GDPR e relative responsabilità
- Corretta gestione dei dati personali online e offline
Informativa privacy: quando è necessaria e quando non serve
L’ambito di applicazione dell’informativa coincide con l’ambito di applicazione del GDPR. Pertanto, è necessario che l’utente riceva l’informativa quando ricorrono le seguenti condizioni:
- oggetto del trattamento sono i dati personali, cioè quelli che rendono la persona identificata o identificabile;
- i dati trattati appartengono alle persone fisiche: il GDPR non si applica quando i dati appartengono alle persone giuridiche;
- titolare del trattamento è un’impresa;
- i dati sono trattati da imprese che hanno sede in uno degli Stati membri dell’UE;
- l’impresa non ha sede in UE ma tratta dati di cittadini degli Stati membri.
Ci sono dei casi in cui, nonostante tutto, la comunicazione all’interessato non è considerata necessaria:
- l’obbligo non scatta se i dati trattati sono anonimi (dati aggregati o statistici);
- i dati sono trattati per fini domestici e non vengono diffusi;
- l’interessato ha già le informazioni. Ad esempio per quanto riguarda i siti internet il banner per la richiesta dei consensi appare solo al primo accesso al sito web;
- comunicare le informazioni non è possibile o richiede uno sforzo sproporzionato. La valutazione viene fatta dal garante della privacy;
- l’ottenimento o la comunicazione è espressamente previsto dal diritto dell’Unione Europea o degli Stati membri;
- il trattamento dei dati deve rimanere riservato per obbligo di segreto professionale disciplinato dal diritto dell’Unione Europea o degli Stati membri.
L’Autorità Garante Privacy ha specificato che non occorre l’informativa qualora:
- i dati sono trattati in base ad un obbligo previsto dalla legge;
- il trattamento è connesso allo svolgimento di investigazioni difensive in materia penale o alla difesa di un diritto in sede giudiziaria e i dati vengono trattati per il tempo necessario allo svolgimento delle indagini.
Informativa privacy: aspetti formali
Se in molti ambiti il GDPR privacy è ambiguo e soggetto ad interpretazione, quando si tratta di elementi di forma al contrario è molto chiaro e lascia poco spazio alle valutazioni di tipo personale. Proprio per questo il regolamento europeo privacy ha notevolmente cambiato la disciplina dell’informativa rispetto a quella precedente.
Per quanto riguarda il linguaggio, tenuto conto del fatto che i soggetti destinatari dell’informativa sono utenti comuni, il GDPR richiede che la forma utilizzata per la redazione della comunicazione rispetti determinati requisiti. Dev’essere, cioè:
- concisa: usare il minor numero di parole possibile;
- trasparente: ogni punto deve essere trattato separatamente;
- intelligibile: significato non equivocabile;
- facilmente accessibile: inteso come luogo per prenderne visione in qualsiasi momento;
- semplice e comprensibile: si deve capire chiaramente cosa l’azienda vuole fare con i dati.
Per quanto riguarda le icone, il GDPR non ne esclude l’utilizzo all’interno del documento: possono rafforzare la comunicazione ed essere di aiuto a utenti di nazionalità diverse. Tuttavia, le icone devono essere accompagnate dal testo scritto che deve mantenere i requisiti appena visti.
Inoltre, la forma deve essere scritta va bene anche utilizzando i mezzi elettronici come l’email. Ma, se l’interessato lo richiede, deve essere possibile ricevere l’informativa privacy anche in forma orale.
Per quanto riguarda i termini entro cui l’informativa deve essere visionata dall’interessato, cambiano a seconda che i dati siano raccolti presso l’interessato stesso o presso terzi. La regola generale è che l’obbligo d’informativa deve essere adempiuto prima di raccogliere i dati o, al massimo, al momento stesso in cui si dà il via alla raccolta stessa.
Nel caso in cui i dati vengano raccolti presso terzi, la comunicazione deve essere fatta entro:
- un termine ragionevole, o comunque entro un mese;
- entro la prima comunicazione dei dati.
Ascolta il podcast
Informativa privacy: aspetto contenutistico
La normativa GDPR stabilisce che ci sono delle informazioni obbligatorie da inserire nell’informativa e sulla necessità della loro presenza di certo non transige.
A voler entrare nel dettaglio, un’informativa ben redatta dovrebbe contenere le informazioni seguenti:
- Chi è il titolare dei dati e il suo indirizzo: se ci sono dei contitolari ci vogliono i dati di entrambi;
- DPO: se è nominato un Responsabile della protezione dei dati, deve essere inserito il suo recapito;
- Come e perché i dati verranno trattati: qui, in particolar modo, bisogna richiamare i principi di chiarezza, trasparenza e precisione. Quindi non va bene fare un elenco di finalità generiche. Bisogna spiegare ogni fine e ogni modalità di trattamento in maniera semplice e precisa;
- Qual’è la base giuridica del trattamento: cioè la giustificazione che legittima il trattamento dei dati;
- Quali sono i dati personali che saranno trattati. I dati particolari – ex sensibili – non dovranno comunque essere trattati, salvo i casi previsti dal GDPR;
- Quando il trattamento comporta operazioni automatizzate, come ad esempio la profilazione. Bisogna spiegare all’utente in maniera chiara in cosa consiste questa attività. Bisogna quindi spiegare che l’attività di profilazione consiste nello studio dei comportamenti dell’utente per inserirlo in categorie specifiche, con la finalità di fare un’attività di marketing profilata;
- Se i dati vengono trasferiti a soggetti terzi, che in questo caso hanno il ruolo di responsabili del trattamento;
- Quando i dati vengono trasferiti in Paesi Terzi, cioè fuori dall’UE;
- Per quanto tempo saranno conservati i dati e in che modo, visto che ai sensi del GDPR i dati devono essere conservati per il tempo massimo necessario al raggiungimento delle finalità per cui sono stati raccolti;
- I diritti dell’interessato, devono essere elencati in tutte le informative.
Il regolamento europeo privacy introduce regole diverse per i dati raccolti presso l’interessato e per quelli raccolti presso terzi. Questo pone l’accento sulla ratio della comunicazione all’interessato: poter avere il massimo controllo dei dati per essere in grado di esercitare i suoi diritti.
Basta un’unica informativa uguale per tutti?
Il fatto che il GDPR sia molto chiaro e preciso su come strutturare un’informativa privacy, non vuol dire che un modello informativa preso dal web vada bene per tutti. I fac-simile, infatti, vanno personalizzati in funzione delle informazioni che il titolare trasferisce. Tuttavia, se il titolare non è preparato sulla materia rischia di trascurare l’inserimento nell’informativa di alcune informazioni che, invece, ai sensi del GDPR sono indispensabili.
A questo proposito è bene ricordare che, come già detto, un’informativa inesatta o incompleta pone le basi per essere sanzionati per illegittimità del trattamento dei dati, laddove la base giuridica per il trattamento è il consenso.
Poi c’è da considerare che ci vuole un’informativa separata per ogni tipologia di interessato del trattamento (ad es. dipendente, cliente, fornitore) perché le finalità del trattamento cambiano. Ci vuole un’informativa per ogni tipologia di trattamento stesso (ad es. sito web, servizio fotografico). L’informativa è altresì diversa a seconda dell’origine dei dati. Ma, soprattutto, le esigenze differiscono di azienda in azienda perché ognuno gestisce i dati con finalità e modalità diverse.
Vediamo insieme alcuni esempi di informativa.
Guida GDPR
GDPR senza segreti – Dai uno sguardo, clicca sull’immagine per l’anteprima della tua nuova guida legale
Privacy policy: l’informativa per i siti web
La privacy policy è l’informativa per il sito web.
Di solito, è necessario inserirla come pagina del sito:
- quando sono trattati i dati personali dei navigatori del sito direttamente dal Titolare del sito. Basta che sul sito siano presenti dei form di contatto, oppure che ci sia la possibilità di inserire commenti agli articoli del blog, allora l’informativa è necessaria e il link deve essere presente in ogni pagina del sito;
- se è richiesta da terze parti partner del sito: Google Analytics prevede, nei termini e condizioni, che il sito internet che utilizza il codice abbia una privacy policy. Apple richiede che le App abbiano una privacy policy, etc.;
- per gli utenti: il GDPR ha educato gli utenti a preoccuparsi della loro privacy. L’informativa non è solo un documento obbligatorio per legge, ma è anche un ottimo modo per dimostrare agli utenti che possono fidarsi della tua azienda, perché considera i loro dati un aspetto da proteggere. Quindi è buona abitudine allegare una privacy policy anche quando i dati non vengono trattati, proprio per comunicare questo.
Informativa privacy videosorveglianza
L’immagine è un dato personale, quindi come tale ricade nella disciplina del GDPR, nonché nell’obbligo di informativa. Le telecamere vengono installate per tutelare il patrimonio aziendale, ma possono riprendere i dipendenti e, se l’azienda è aperta al pubblico, anche i visitatori.
Nel caso specifico, la base giuridica del trattamento è l’interesse legittimo dell’azienda. Le finalità del trattamento elencate nell’informativa saranno principalmente la tutela del patrimonio aziendale e la sicurezza per i dipendenti.
Nelle aree dove sono state installate le videocamere, sarà presente un cartello con l’icona della videocamera e l’informativa breve che conterrà anche le informazioni relative a dove si può trovare l’informativa completa da firmare per presa visione.
Informativa privacy visitatori
I visitatori sono tutti coloro che sono estranei all’impresa e vi accedono per varie ragioni.
Il trattamento dei dati è diverso da quello dei dipendenti, prima di tutto per le finalità. Quindi, un’informativa privacy dipendenti è diversa da un’informativa visitatori.
La registrazione degli ospiti è fondamentale per ragioni di sicurezza. La persona addetta alla reception prende la carta d’identità, normalmente registra la presenza su un software, consegna al visitatore un badge che lo identifica e fa firmare l’informativa.
I dati personali trattati sono molteplici: nome e cognome, indirizzo, data di nascita. La base giuridica è ancora il legittimo interesse e la finalità è la sicurezza.
Ovviamente, per essere conformi al GDPR saranno trattati solo i dati minimi indispensabili alla finalità e solo per il tempo della durata della visita e poche ore successive.
Tutto questo deve essere esplicitato nell’informativa.
Check-list di conformità al RGDPR
Come verificare se la tua informativa è conforme al GDPR? Fai una rapida check-list per verificare se sei in linea con le indicazioni evidenziate finora!
- Verificare dove sono raccolti i dati:
- presso l’interessato: accertarsi che abbia preso visione dell’informativa;
- presso terzi: assicurarsi che il terzo che ha raccolto i dati abbia informato l’interessato;
- se non è possibile verificare se il terzo ha informato l’interessato assicurarsi che il caso specifico rientri nelle eccezioni previste dal GDPR.
- Verificare se il consenso è la base giuridica per il trattamento:
- se la risposta è sì, allora all’interno dell’informativa deve essere presente il rinvio al modulo per il consenso informato;
- se la risposta è no, allora bisogna verificare che la base giuridica al trattamento rientri in quelle previste dal GDPR.
- Quando è presente DPO verificare di aver messo i recapiti nell’informativa;
- I dati saranno trasferiti in Paesi Terzi fuori dall’UE?
- sì: specificare quali misure saranno adottate per garantire la sicurezza nella conservazione dei dati, nel rispetto del GDPR
- L’informativa è chiara e comprensibile?
È evidente che, se l’informativa non è a norma del GDPR, non lo è neppure il trattamento dei dati stesso.
Conclusioni informativa privacy
L’informativa privacy non è un documento staccato e indipendente. Si inserisce nell’ecosistema di tutta la gestione privacy aziendale. Per questo motivo, deve essere prima di tutto coerente con il registro del trattamento. In secondo luogo, deve essere aggiornata ad ogni cambiamento interno all’azienda che influisce sulla raccolta dati, compresa la modalità di conservazione.
È evidente che si è ancora lontani dall’aver compreso l’importanza di questo documento, che non è un semplice adempimento burocratico. Oltre a non accettare il fatto che è necessario farsi seguire da un legale specializzato per la sua redazione, non si è capito che gli utenti sono ormai educati su quelli che sono i loro diritti fondamentali in merito alla privacy. Perciò un’informativa chiara, trasparente, completa, porta benefici anche in termini economici perché è un parametro di valutazione di affidabilità da parte di nuovi clienti.
Il fatto che la maggior parte delle informative ad oggi non rispetta i requisiti imposti dal GDPR privacy, rispecchia la mentalità a tutt’ora prevalente che concepisce il GDPR come un pericolo piuttosto che come un’opportunità per le imprese.
Se hai difficoltà a redigere la tua informativa, chiedi il supporto di Legal For Digital.