L’informativa privacy

L’art. 12 del GDPR prevede che, in base alle finalità del trattamento dei dati personali, il titolare debba fornire agli interessati, prima del trattamento, una serie di informazioni circa le finalità e le modalità del trattamento, elencate nel dettaglio dal GDPR quanto a tempi, modalità e contenuto: la c.d. informativa privacy. L’informativa ha anche lo scopo di permettere che l’interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento. Una eventuale violazione delle norme in materia di informativa privacy agli utenti può comportare l’irrogazione di sanzioni da parte del Garante Privacy, il blocco dei dati raccolti e l’obbligo di risarcimento danni.

1. Cos’è l’informativa privacy e quali ne sono le finalità

L’art. 12 del GDPR prevede che, in base alle finalità del trattamento dei dati personali, il titolare debba fornire agli interessati, prima del trattamento, una serie di informazioni. Ciò avviene tramite l’informativa privacy.

L’informativa privacy è quindi una comunicazione rivolta ad un soggetto, avente lo scopo di rendere edotto quest’ultimo, anche prima che diventi interessato al trattamento (cioè prima che inizi il trattamento dei dati), sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento.

L’informativa privacy è condizione, non tanto del rispetto del diritto individuale ad essere informato, quanto del dovere del titolare del trattamento di assicurare la trasparenza e correttezza dei trattamenti fin dalla fase di progettazione dei trattamenti stessi, e di essere in grado di comprovarlo in qualunque momento (principio di accountability).

L’informativa ha anche lo scopo di permettere che l’interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento. In questo caso l’informativa non è solo dovuta in base al principio di trasparenza e correttezza, ma è anche una condizione di legittimità del trattamento.

Una eventuale violazione delle norme in materia di informativa privacy agli utenti può avere come conseguenza un’indagine da parte dell’Autorità di controllo (Garante Privacy), la quale può imporre delle sanzioni e anche il blocco di tutti i dati raccolti ed elaborati in violazione delle norme. Inoltre, gli utenti possono avviare un’azione per il risarcimento dei danno contro il titolare del trattamento.

2. Quando è dovuta l’informativa privacy

L’utente deve ricevere l’informativa privacy quando:

oggetto del trattamento sono i dati personali;
I dati trattati appartengono alle persone fisiche: il GDPR, infatti, non si applica quando i dati appartengono alle persone giuridiche;
titolare del trattamento è un’impresa;
i dati sono trattati da imprese che hanno sede in uno degli Stati membri dell’UE;
l’impresa non ha sede in UE ma tratta dati di cittadini degli Stati membri.

Se i dati personali sono raccolti direttamente presso l’interessato, l’informativa privacy deve essere fornita allo stesso prima di effettuare il trattamento, quindi prima della raccolta dei dati (art. 13 GDPR).

Qualora invece i dati personali non siano raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine ragionevole, che non può comunque superare 1 mese dalla raccolta dei dati, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (articolo 14 GDPR).

3. Quando non è necessaria l’informativa privacy

Non è necessario inoltrare l’informativa privacy all’interessato se:

i dati trattati sono anonimi (dati aggregati o statistici);
i dati sono trattati per fini domestici e non vengono diffusi;
l’interessato possiede già le informazioni ( 13 par. 4 GDPR);
non è possibile comunicare le informazioni o richiede uno sforzo sproporzionato, in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici ( 14 par. 5 GDPR);
l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione Europea o degli Stati membri, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata per salvaguardare la sicurezza nazionale, la difesa, la sicurezza pubblica, la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, altri importanti obiettivi di interesse pubblico generale, la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari, le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate, una funzione di controllo, d’ispezione o di regolamentazione connessa all’esercizio di pubblici poteri, la tutela dell’interessato o dei diritti e delle libertà altrui o l’esecuzione delle azioni civili ( 23 par. 1 GDPR);
il trattamento dei dati deve rimanere riservato per obbligo di segreto professionale disciplinato dal diritto dell’Unione Europea o degli Stati membri.

Il Garante Privacy ha altresì specificato che non occorre l’informativa privacy qualora:

i dati sono trattati in base ad un obbligo previsto dalla legge;
il trattamento è connesso allo svolgimento di investigazioni difensive in materia penale o alla difesa di un diritto in sede giudiziaria, e i dati vengono trattati per il tempo necessario allo svolgimento delle indagini.

4. Il contenuto dell’informativa privacy

Nel momento in cui i dati personali sono ottenuti, il titolare del trattamento ha l’obbligo di fornire le seguenti informazioni (art. 13, par. 1 e 2, GDPR):

l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
i dati di contatto dell’eventuale responsabile della protezione dei dati (Data Protection Officer – DPO);
la finalità e la base giuridica del trattamento;
gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo (non appartenente all’UE o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein) o a un’organizzazione internazionale e l’indicazione delle condizioni che legittimano il trasferimento;
il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati;
qualora il trattamento sia basato sul consenso espresso dall’interessato, l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
il diritto di proporre reclamo a un’autorità di controllo (in Italia il Garante Privacy);
se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in questo caso, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui sono stati raccolti, deve fornire all’interessato le seguenti ulteriori informazioni:

indicazione della nuova finalità;
periodo di conservazione dei dati personali o, quando non è possibile i criteri utilizzati per determinare tale periodo;
eventuale processo decisionale basato unicamente su trattamento automatizzato, logica utilizzata e conseguenze per l’interessato;
diritti dell’interessato: accesso, rettifica/integrazione, cancellazione, limitazione, opposizione, portabilità, reclamo a un’Autorità garante, revoca del consenso nei casi di legge.

Qualora i dati personali vengano raccolti presso un soggetto diverso dall’interessato (art. 14 GDPR), il contenuto dell’informativa privacy è lo stesso di quella fornita ai sensi dell’art. 13 GDPR (descritta in precedenza), alla quale vanno aggiunte le seguenti indicazioni:

origine dei dati personali, con la precisazione se gli stessi provengano eventualmente da fonti accessibili al pubblico;
categorie di dati personali.

All’interno dell’informativa privacy devono essere indicati anche i cookie che veicola il sito, le modalità di disabilitazione dei cookie (ad es. tramite opzioni del browser), e nel caso di cookie di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti. L’informativa cookie è una sezione dell’informativa privacy, non un documento separato, per cui può essere contenuta in una pagina diversa da quella che contiene l’informativa privacy, ma quest’ultima deve assolutamente richiamarla (tramite link).

5. Le modalità di rilascio dell’Informativa privacy

Il GDPR specifica dettagliatamente le caratteristiche dell’informativa privacy, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile, precisando che le informazioni devono essere fornite con un linguaggio chiaro e semplice.

L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online); sono tuttavia ammessi anche “altri mezzi“, e quindi l’informativa può essere fornita anche con mezzi elettronici (come, ad esempio, la posta elettronica) o anche oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12, par. 1 GDPR).

L’art. 12, par. 7 del GDPR prevede che i contenuti dell’informativa possano essere comunicati anche mediante l’utilizzo di icone standardizzate leggibili da dispositivo automatico.

E’ possibile pubblicare l’informativa su un sito web, inserendo il collegamento (link) a tale pagina web nella pagina principale (home) del sito web, ma anche nelle comunicazioni e nella corrispondenza, compreso la corrispondenza cartacea.

Nel caso di comunicazioni postali è, però, necessario prevedere anche delle forme alternative, come ad esempio l’invio di fax a seguito di richiesta da parte degli interessati, per coloro che non hanno la possibilità di leggerla online.

Per un esempio di informativa privacy, cliccare qui.

Avv. Valerio Pandolfini

Consulenza legale d’impresa

Per altri articoli di approfondimento su tematiche attinenti il diritto d’impresa: visitate il nostro blog.

Le informazioni contenute nel presente articolo hanno carattere generale e non sono da considerarsi un esame esaustivo né intendono esprimere un parere o fornire una consulenza di natura legale. Le considerazioni e opinioni di seguito riportate non prescindono dalla necessità di ottenere pareri specifici con riguardo alle singole fattispecie descritte. Di conseguenza, il presente articolo non costituisce un(né può essere altrimenti interpretato quale) parere legale, né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.

Per ulteriori informazioni e per fissare un primo colloquio telefonico o incontro conoscitivo senza impegno, potete:

Chiamarci adesso

al numero 02 36 52 29 61

Inviarci una mail a

info@studio-pandolfini.it

oppure compilare il form

per essere ricontattati

Cookie	Durata	Descrizione
_GRECAPTCHA		This cookie is set by the Google recaptcha service to identify bots to protect the website against malicious spam attacks.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_UA-154928096-2	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Indice