L’informativa privacy
L’art. 12 del GDPR prevede che, in base alle finalità del trattamento dei dati personali, il titolare debba fornire agli interessati, prima del trattamento, una serie di informazioni circa le finalità e le modalità del trattamento, elencate nel dettaglio dal GDPR quanto a tempi, modalità e contenuto: la c.d. informativa privacy. L’informativa ha anche lo scopo di permettere che l’interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento. Una eventuale violazione delle norme in materia di informativa privacy agli utenti può comportare l’irrogazione di sanzioni da parte del Garante Privacy, il blocco dei dati raccolti e l’obbligo di risarcimento danni.
1. Cos’è l’informativa privacy e quali ne sono le finalità
L’art. 12 del GDPR prevede che, in base alle finalità del trattamento dei dati personali, il titolare debba fornire agli interessati, prima del trattamento, una serie di informazioni. Ciò avviene tramite l’informativa privacy.
L’informativa privacy è quindi una comunicazione rivolta ad un soggetto, avente lo scopo di rendere edotto quest’ultimo, anche prima che diventi interessato al trattamento (cioè prima che inizi il trattamento dei dati), sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento.
L’informativa privacy è condizione, non tanto del rispetto del diritto individuale ad essere informato, quanto del dovere del titolare del trattamento di assicurare la trasparenza e correttezza dei trattamenti fin dalla fase di progettazione dei trattamenti stessi, e di essere in grado di comprovarlo in qualunque momento (principio di accountability).
L’informativa ha anche lo scopo di permettere che l’interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento. In questo caso l’informativa non è solo dovuta in base al principio di trasparenza e correttezza, ma è anche una condizione di legittimità del trattamento.
Una eventuale violazione delle norme in materia di informativa privacy agli utenti può avere come conseguenza un’indagine da parte dell’Autorità di controllo (Garante Privacy), la quale può imporre delle sanzioni e anche il blocco di tutti i dati raccolti ed elaborati in violazione delle norme. Inoltre, gli utenti possono avviare un’azione per il risarcimento dei danno contro il titolare del trattamento.
2. Quando è dovuta l’informativa privacy
L’utente deve ricevere l’informativa privacy quando:
- oggetto del trattamento sono i dati personali;
- I dati trattati appartengono alle persone fisiche: il GDPR, infatti, non si applica quando i dati appartengono alle persone giuridiche;
- titolare del trattamento è un’impresa;
- i dati sono trattati da imprese che hanno sede in uno degli Stati membri dell’UE;
- l’impresa non ha sede in UE ma tratta dati di cittadini degli Stati membri.
Se i dati personali sono raccolti direttamente presso l’interessato, l’informativa privacy deve essere fornita allo stesso prima di effettuare il trattamento, quindi prima della raccolta dei dati (art. 13 GDPR).
Qualora invece i dati personali non siano raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine ragionevole, che non può comunque superare 1 mese dalla raccolta dei dati, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (articolo 14 GDPR).
3. Quando non è necessaria l’informativa privacy
Non è necessario inoltrare l’informativa privacy all’interessato se:
- i dati trattati sono anonimi (dati aggregati o statistici);
- i dati sono trattati per fini domestici e non vengono diffusi;
- l’interessato possiede già le informazioni ( 13 par. 4 GDPR);
- non è possibile comunicare le informazioni o richiede uno sforzo sproporzionato, in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici ( 14 par. 5 GDPR);
- l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione Europea o degli Stati membri, qualora tale limitazione rispetti l’essenza dei diritti e delle libertà fondamentali e sia una misura necessaria e proporzionata per salvaguardare la sicurezza nazionale, la difesa, la sicurezza pubblica, la prevenzione, l’indagine, l’accertamento e il perseguimento di reati o l’esecuzione di sanzioni penali, altri importanti obiettivi di interesse pubblico generale, la salvaguardia dell’indipendenza della magistratura e dei procedimenti giudiziari, le attività volte a prevenire, indagare, accertare e perseguire violazioni della deontologia delle professioni regolamentate, una funzione di controllo, d’ispezione o di regolamentazione connessa all’esercizio di pubblici poteri, la tutela dell’interessato o dei diritti e delle libertà altrui o l’esecuzione delle azioni civili ( 23 par. 1 GDPR);
- il trattamento dei dati deve rimanere riservato per obbligo di segreto professionale disciplinato dal diritto dell’Unione Europea o degli Stati membri.
Il Garante Privacy ha altresì specificato che non occorre l’informativa privacy qualora:
- i dati sono trattati in base ad un obbligo previsto dalla legge;
- il trattamento è connesso allo svolgimento di investigazioni difensive in materia penale o alla difesa di un diritto in sede giudiziaria, e i dati vengono trattati per il tempo necessario allo svolgimento delle indagini.
4. Il contenuto dell’informativa privacy
Nel momento in cui i dati personali sono ottenuti, il titolare del trattamento ha l’obbligo di fornire le seguenti informazioni (art. 13, par. 1 e 2, GDPR):
- l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- i dati di contatto dell’eventuale responsabile della protezione dei dati (Data Protection Officer – DPO);
- la finalità e la base giuridica del trattamento;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo (non appartenente all’UE o allo Spazio Economico Europeo: Norvegia, Islanda, Liechtenstein) o a un’organizzazione internazionale e l’indicazione delle condizioni che legittimano il trasferimento;
- il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati;
- qualora il trattamento sia basato sul consenso espresso dall’interessato, l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
- il diritto di proporre reclamo a un’autorità di controllo (in Italia il Garante Privacy);
- se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in questo caso, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui sono stati raccolti, deve fornire all’interessato le seguenti ulteriori informazioni:
- indicazione della nuova finalità;
- periodo di conservazione dei dati personali o, quando non è possibile i criteri utilizzati per determinare tale periodo;
- eventuale processo decisionale basato unicamente su trattamento automatizzato, logica utilizzata e conseguenze per l’interessato;
- diritti dell’interessato: accesso, rettifica/integrazione, cancellazione, limitazione, opposizione, portabilità, reclamo a un’Autorità garante, revoca del consenso nei casi di legge.
Qualora i dati personali vengano raccolti presso un soggetto diverso dall’interessato (art. 14 GDPR), il contenuto dell’informativa privacy è lo stesso di quella fornita ai sensi dell’art. 13 GDPR (descritta in precedenza), alla quale vanno aggiunte le seguenti indicazioni:
- origine dei dati personali, con la precisazione se gli stessi provengano eventualmente da fonti accessibili al pubblico;
- categorie di dati personali.
All’interno dell’informativa privacy devono essere indicati anche i cookie che veicola il sito, le modalità di disabilitazione dei cookie (ad es. tramite opzioni del browser), e nel caso di cookie di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti. L’informativa cookie è una sezione dell’informativa privacy, non un documento separato, per cui può essere contenuta in una pagina diversa da quella che contiene l’informativa privacy, ma quest’ultima deve assolutamente richiamarla (tramite link).
5. Le modalità di rilascio dell’Informativa privacy
Il GDPR specifica dettagliatamente le caratteristiche dell’informativa privacy, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile, precisando che le informazioni devono essere fornite con un linguaggio chiaro e semplice.
L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online); sono tuttavia ammessi anche “altri mezzi“, e quindi l’informativa può essere fornita anche con mezzi elettronici (come, ad esempio, la posta elettronica) o anche oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12, par. 1 GDPR).
L’art. 12, par. 7 del GDPR prevede che i contenuti dell’informativa possano essere comunicati anche mediante l’utilizzo di icone standardizzate leggibili da dispositivo automatico.
E’ possibile pubblicare l’informativa su un sito web, inserendo il collegamento (link) a tale pagina web nella pagina principale (home) del sito web, ma anche nelle comunicazioni e nella corrispondenza, compreso la corrispondenza cartacea.
Nel caso di comunicazioni postali è, però, necessario prevedere anche delle forme alternative, come ad esempio l’invio di fax a seguito di richiesta da parte degli interessati, per coloro che non hanno la possibilità di leggerla online.
E’ possibile scaricare un modello di informativa privacy dati raccolti presso l’interessato cliccando qui ,con l’avvertenza che è necessario procedere alle opportune modifiche in rapporto alle specificità del singolo caso.
Per approfondire i nostri servizi di assistenza e consulenza in tema di compliance aziendale, visionate la pagina dedicata del nostro sito.
Avv. Valerio Pandolfini
Per altri articoli di approfondimento su tematiche attinenti il diritto d’impresa: visitate il nostro blog.
Le informazioni contenute in questo articolo sono da considerarsi sino alla data di pubblicazione dello stesso; le norme regolatrici la materia potrebbero essere nel frattempo state modificate.
Le informazioni contenute nel presente articolo hanno carattere generale e non sono da considerarsi un esame esaustivo né intendono esprimere un parere o fornire una consulenza di natura legale. Le considerazioni e opinioni riportate nell’articolo non prescindono dalla necessità di ottenere pareri specifici con riguardo alle singole fattispecie.
Di conseguenza, il presente articolo non costituisce un (né può essere altrimenti interpretato quale) parere legale, né può in alcun modo considerarsi come sostitutivo di una consulenza legale specifica.