Informativa privacy: tutto quello che c'è da sapere - Legal For Digital
Blog di Legal For Digital

Informativa privacy: tutto quello che c’è da sapere

informativa-privacy-miniguida

L’informativa privacy è un documento che assume un ruolo centrale con l’entrata in vigore del GDPR.

Ma il regolamento europeo non utilizza mai l’espressione “informativa”. Disciplina invece le informazioni che l’interessato deve ricevere, e che sono il fondamento per poter esercitare i suoi diritti.

Il GDPR infatti mette al centro il potere decisionale dell’interessato circa il trattamento dei suoi dati. L’informativa  è quello strumento che permette all’interessato di esercitare il suo diritto di gestione dei consensi, perché lo informa su come saranno utilizzati i suoi dati.  

Quindi per rispettare il GDPR l’informativa privacy deve essere conforme a determinati requisiti sia come contenuti, che nel linguaggio utilizzato per la redazione del documento. 

Informativa privacy:cos’è

L’informativa privacy è una dichiarazione o un documento legale che indica come un’azienda o un sito Web raccoglie, gestisce ed elabora i dati dei propri clienti e visitatori. Descrive esplicitamente se tali informazioni sono mantenute riservate o se sono condivise o vendute a terzi.

Il documento deve essere fornito all’utente prima del trattamento dei dati personali, quindi prima ancora che diventi interessato. 

La difformità dell’informativa rispetto ai requisiti prescritti dal GDPR, va a violare uno dei principi fondamentali stabiliti dal regolamento europeo: la trasparenza.

Qualora la base giuridica per il trattamento dei dati sia il consenso dell’interessato, l’informativa costituisce anche requisito di legittimità del consenso stesso. Quindi il mancato o inesatto adempimento nel dare le informazioni all’interessato, non costituisce una semplice inadempienza burocratica, ma pone le basi per l’illegittimità del trattamento dei dati.

Laddove la base giuridica non è il consenso, c’è comunque l’obbligo di dare le informazioni. 

Informativa privacy: quando è necessaria e quando non serve

L’ambito di applicazione dell’informativa coincide con l’ambito di applicazione del GDPR. Quindi è necessario che l’utente riceva l’informativa quando ricorrono queste condizioni :

  • Oggetto del trattamento sono i dati personali, cioè quelli che rendono la persona identificata o identificabile;
  • I dati trattati appartengono alle persone fisiche: il GDPR non si applica quando i dati appartengono alle persone giuridiche;
  • Titolare del trattamento è un’impresa;
  • I dati sono trattati da imprese che hanno sede in uno degli Stati membri dell’UE;
  • L’impresa non ha sede in UE ma tratta dati di cittadini degli Stati membri.

Tuttavia ci sono dei casi in cui non è necessario fare la comunicazione all’interessato: 

  • L’obbligo non scatta se i dati trattati sono anonimi (dati aggregati o statistici);
  • I dati sono trattati per fini domestici e non vengono diffusi;
  • L’interessato ha già le informazioni. Ad esempio per quanto riguarda i siti internet il banner per la richiesta dei consensi appare solo al primo accesso al sito web; 
  • Comunicare le informazioni non è possibile o richiede uno sforzo sproporzionato. La valutazione viene fatta dal garante della privacy;
  • L’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione Europea o degli Stati membri;
  • Il trattamento dei dati deve rimanere riservato per obbligo di segreto professionale disciplinato dal diritto dell’Unione Europea o degli Stati membri.

Il garante della privacy ha specificato che non occorre l’informativa qualora:

  • I dati sono trattati in base ad un obbligo previsto dalla legge
  • Il trattamento è connesso allo svolgimento di investigazioni difensive in materia penale o alla difesa di un diritto in sede giudiziaria, e i dati vengono trattati per il tempo necessario allo svolgimento delle indagini.

Informativa privacy: forma

Se in molti ambiti il GDPR è ambiguo e soggetto ad interpretazione, in questo ambito al contrario è molto chiaro e non interpretabile soggettivamente. Proprio per questo il regolamento europeo ha notevolmente cambiato la disciplina dell’informativa rispetto a quella precedente.

Per quanto riguarda il linguaggio, tenendo conto che i soggetti destinatari dell’informativa sono utenti comuni, il GDPR richiede che la forma utilizzata per la redazione della comunicazione rispetti determinati requisiti:

  • concisa: usare il minor numero di parole possibile
  • trasparente: ogni punto deve essere trattato separatamente
  • intelligibile: significato non equivocabile
  • facilmente accessibile: inteso come luogo per prenderne visione in qualsiasi momento
  • con linguaggio semplice e comprensibile: si deve capire chiaramente cosa l’azienda vuole fare con i dati

Per quanto riguarda le icone, il GDPR non ne esclude l’utilizzo all’interno del documento: possono rafforzare la comunicazione ed essere di aiuto a utenti di nazionalità diverse. Tuttavia le icone devono essere accompagnate dal testo scritto che deve mantenere i requisiti appena visti.

Inoltre la forma deve essere scritta, va bene anche utilizzando i mezzi elettronici come l’e-mail. Ma se l’interessato lo richiede deve essere possibile ricevere l’informativa privacy anche in forma orale. 

Per quanto riguarda i termini entro cui l’informativa deve essere visionata dall’interessato, cambiano a seconda che i dati siano raccolti presso l’interessato stesso o presso terzi.

La regola generale è che l’obbligo d’informativa deve essere adempiuto prima di raccogliere i dati, o al massimo al momento stesso in cui si dà il via alla raccolta stessa.

Nel caso in cui i dati vengano raccolti presso terzi la comunicazione deve essere fatta entro:

  • un termine ragionevole, o comunque entro un mese
  • entro la prima comunicazione dei dati

Informativa privacy: contenuti

Il GDPR stabilisce che ci sono delle informazioni obbligatorie da inserire nell’informativa:

  1. Chi è il titolare dei dati e il suo indirizzo. Se ci sono dei contitolari ci vogliono i dati di entrambi;
  2. DPO: se è nominato un Responsabile della protezione dei dati, deve essere inserito il suo recapito;
  3. Come e perché i dati verranno trattati. Qui, in particolar modo, bisogna richiamare i principi di chiarezza, trasparenza e precisione. Quindi non va bene fare un elenco di finalità generiche. Bisogna spiegare ogni fine e ogni modalità di trattamento in maniera semplice e precisa;
  4. Qual’è la base giuridica del trattamento: cioè la giustificazione che legittima il trattamento dei dati;
  5. Quali sono i dati personali che saranno trattati. I dati particolari – ex sensibili – non dovranno comunque essere trattati, salvo i casi previsti dal GDPR;
  6. Quando il trattamento comporta operazioni automatizzate, come ad esempio la profilazione. Bisogna spiegare all’utente in maniera chiara in cosa consiste questa attività. Bisogna quindi spiegare che l’attività di profilazione consiste nello studio dei comportamenti dell’utente per inserirlo in categorie specifiche, con la finalità di fare un’attività di marketing profilata; 
  7. Se i dati vengono trasferiti a soggetti terzi, che in questo caso hanno il ruolo di responsabili del trattamento; 
  8. Quando i dati vengono trasferiti in Paesi Terzi, cioè fuori dall’UE; 
  9. Per quanto tempo saranno conservati i dati e in che modo, visto che ai sensi del GDPR i dati devono essere conservati per il tempo massimo necessario al raggiungimento delle finalità per cui sono stati raccolti;
  10. diritti dell’interessato, devono essere elencati in tutte le informative.

Il regolamento europeo introduce regole diverse per i dati raccolti presso l’interessato e per quelli raccolti presso terzi.

Questo pone l’accento sulla ratio della comunicazione all’interessato: poter avere il massimo controllo dei dati per essere in grado di esercitare i suoi diritti.

Basta un’unica informativa uguale per tutti?

Il fatto che il GDPR sia molto chiaro e preciso su come strutturare un’informativa privacy, non vuol dire che un fac-simile preso dal web vada bene per tutti. I fac-simile infatti vengono personalizzati in funzione delle informazioni che il titolare trasferisce. Tuttavia se il titolare non è preparato sulla materia rischia di trascurare di inserire nell’informativa delle informazioni che invece ai sensi del GDPR sono indispensabili. A questo proposito è bene ricordare che, come già detto, un’informativa inesatta o incompleta pone le basi per essere sanzionati per illegittimità del trattamento dei dati, laddove la base giuridica per il trattamento è il consenso. 

Poi c’è da considerare che ci vuole un’informativa separata per ogni tipologia di interessato del trattamento (ad es. dipendente, cliente, fornitore) perché le finalità del trattamento cambiano. Ci vuole un’informativa per ogni tipologia di trattamento stesso (ad es. sito web, servizio fotografico). L’informativa poi è diversa a seconda dell’origine dei dati. Ma soprattutto le esigenze sono diverse da azienda ad azienda perché ognuno gestisce dati con finalità e modalità diverse.

Vediamo alcuni esempi di informativa:

Privacy policy:

La privacy policy è l’informativa per il sito web

Quando è necessario inserirla come pagina del sito:

  1. Quando sono trattati i dati personali dei navigatori del sito direttamente dal titolare del sito. Basta che sul sito siano presenti dei form di contatto, oppure che ci sia la possibilità di inserire commenti agli articoli del blog, allora l’informativa è necessaria e il link deve essere presente in ogni pagina del sito;
  2. Se è richiesta da terze parti partner del sito: Google Analytics prevede, nei termini e condizioni, che il sito internet che utilizza il codice abbia una privacy policy. Apple richiede che le App abbiano una privacy policy;
  3. Per gli utenti: il GDPR ha educato gli utenti a preoccuparsi della loro privacy. L’informativa non è solo un documento obbligatorio per legge, ma è anche un ottimo modo per dimostrare agli utenti che possono fidarsi della tua azienda, perché considera i loro dati un aspetto da proteggere. Quindi è buona abitudine allegare una privacy policy anche quando i dati non vengono trattati, proprio per comunicare questo. 

Informativa privacy per videosorveglianza

L’immagine è un dato personale, quindi come tale ricade nella disciplina del GDPR, quindi anche nell’obbligo di informativa. Le telecamere vengono installate per tutelare il patrimonio aziendale, ma possono riprendere i dipendenti e, se l’azienda è aperta al pubblico, anche i visitatori.

Nel caso specifico la base giuridica del trattamento è l’interesse legittimo dell’azienda.

Le finalità del trattamento elencate nell’informativa saranno principalmente la tutela del patrimonio aziendale e la sicurezza per i dipendenti.

Nelle aree dove sono le videocamere sarà presente un cartello con l’icona della videocamera e l’informativa breve che conterrà anche le informazioni relative a dove si può trovare l’informativa completa da firmare per presa visione.

Informativa privacy per visitatori

I visitatori sono tutti coloro che sono estranei all’impresa e vi accedono per varie ragioni.

Il trattamento dei dati è diverso da quello dei dipendenti, prima di tutto per le finalità. Quindi va redatta un’informativa apposita. 

La registrazione degli ospiti è fondamentale per ragioni di sicurezza. La persona addetta alla reception prende la carta d’identità, normalmente registra la presenza su un software e consegna al visitatore un badge che lo identifica e fa firmare l’informativa.

I dati personali trattati sono molteplici: nome e cognome, indirizzo, data di nascita.

La base giuridica è ancora il legittimo interesse e la finalità è la sicurezza. 

Ovviamente per essere conformi al GDPR saranno trattati solo i dati minimi indispensabili alla finalità, e solo per il tempo della durata della visita e poche ore successive.

Tutto questo deve essere esplicitato nell’informativa.

Check-list

Come verificare se la nostra informativa è conforme al GDPR:

  1. Verificare dove sono raccolti i dati:
    1. presso l’interessato: accertarsi che abbia preso visione dell’informativa;
    2. presso terzi: assicurarsi che il terzo che ha raccolto i dati abbia informato l’interessato;
    3. se non è possibile verificare se il terzo ha informato l’interessato assicurarsi che il caso specifico rientri nelle eccezioni previste dal GDPR.
  2. Verificare se il consenso è la base giuridica per il trattamento:
    1. se la risposta è sì,allora all’interno dell’informativa deve essere presente il rinvio al modulo per il consenso informato;
    2. se la risposta è no, allora bisogna verificare che la base giuridica al trattamento rientri in quelle previste dal GDPR.
  3. Quando è presente DPO verificare di aver messo i recapiti nell’informativa;
  4. I dati saranno trasferiti in Paesi Terzi fuori dall’UE?
    1. Si: specificare quali misure saranno adottate per garantire la sicurezza nella conservazione dei dati, nel rispetto del GDPR
  5. L’informativa è chiara e comprensibile?

È evidente che se l’informativa non è a norma del GDPR, non lo è neppure il trattamento dei dati stesso.

Conclusioni

L’informativa privacy non è un documento staccato e indipendente. Si inserisce nell’ecosistema di tutta la gestione privacy aziendale. Per questo deve essere prima di tutto coerente con il registro del trattamento. Deve poi essere aggiornata ad ogni cambiamento interno all’azienda che influisce sulla raccolta dati, compresa la modalità di conservazione.

È evidente che si è ancora lontani dall’aver compreso l’importanza di questo documento, che non è un semplice adempimento burocratico. Oltre a non accettare il fatto che è necessario farsi seguire da un legale specializzato per la sua redazione, non si è capito che gli utenti sono ormai educati su quelli che sono i loro diritti fondamentali in merito alla privacy. Quindi un’informativa chiara, trasparente, completa, porta benefici anche in termini economici perché è un parametro di valutazione di affidabilità da parte di nuovi clienti.

Il fatto che la maggior parte delle informative ad oggi non rispetta i requisiti imposti dal GDPR. rispecchia la mentalità a tutt’ora prevalente che concepisce il GDPR come un pericolo piuttosto che come un’opportunità per le imprese. 

Condividi l'articolo

Condividi su facebook
Condividi su linkedin
Condividi su telegram

Iscriviti alla nostra NewsLetter

RIMANI AGGIORNATO