Può sembrare anacronistico, dopo quasi quattro anni dall’entrata in vigore del GDPR (e quasi due dalla sua piena applicazione), tornare su un tema risaputo come l’informativa. Che poi non è certo un’innovazione del GDPR, anzi era certamente già in vigore con il Codice Privacy: infatti, nelle slide che uso per la formazione, sta nella sezione “elementi invariati o variati marginalmente”. Non è però detto che tutti abbiano le idee chiare, in particolare sulle variazioni “marginali”.
Indice degli argomenti
Senso e valore dell’informativa
Ma partiamo dall’inizio. Per quei pochi che non avessero dimestichezza con il Capo III del GDPR, nominato “Diritti dell’interessato” (segnatevi questo titolo, ci torneremo sopra), vediamo dunque come è strutturato.
Sezione 1 – Trasparenza e modalità
- Articolo 12 – Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato
Sezione 2 – Informazione e accesso ai dati personali
- Articolo 13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato
- Articolo 14 – Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato
- Articolo 15 – Diritto di accesso dell’interessato
Dunque, “trasparenza”… dove ho già trovato questo termine nel GDPR? Di certo nell’articolo 5 “Principi applicabili al trattamento di dati personali”. Quindi abbastanza in alto nell’indice, e per chi sa come sono strutturate le leggi, in alto di solito stanno i principi fondamentali (infatti siamo nel CAPO II – Principi).
L’art.5 al paragrafo 1 recita “I dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»)”. |
La trasparenza, quindi, è uno dei primi tre principi fondamentali che il GDPR richiama. E se avete capito qualcosa sulla reale portata dell’innovazione che il GDPR ha introdotto nello scenario Privacy, avrete sicuramente compreso che questa è costituita dall’enfasi proprio sui principi, rispetto alla precedente concezione basata sugli adempimenti. Tanto è vero che le sanzioni più rilevanti sono legate alla violazione dei principi, non ai mancati adempimenti in sé. Cominciamo quindi a capire che se la nostra informativa sarà inadeguata o peggio mancante, non saremo davanti ad un mancato adempimento (manca un pezzo di carta) ma ad una violazione di un principio fondamentale. E scusate se è una differenza da poco.
Cosa deve contenere l’informativa
Torniamo ora al nostro Capo III e cerchiamo gli articoli relativi all’informativa. Beh, questa la sanno tutti: 13 e 14. Sbagliato. Per almeno due motivi:
- in tutto il GDPR non ricorre mai la parola “Informativa” (provare per credere);
- siccome il GDPR fa invece riferimento alle “Informazioni” da rendere all’interessato, bisogna prendere in considerazione anche l’art. 12. Al di là dell’incipit “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 […]” vedrete che ci troveremo alcune indicazioni utili su come debba e possa essere costruita un’informativa.
Ma vediamo finalmente cosa dicono gli articoli 13 e 14 (che differiscono solo per un dettaglio che vedremo poi). Prima di raccogliere i dati personali, il Titolare fornisce all’Interessato informazioni chiare e semplici su:
- riferimenti del Titolare (ed eventuale DPO);
- finalità e base di legittimità del trattamento;
- eventuali destinatari dei dati (compresi i trasferimenti all’estero);
- periodo di conservazione dei dati;
- diritti dell’interessato;
- obbligo o meno di fornire i dati e conseguenze del rifiuto;
- eventuali processi di profilazione.
Dovrà essere prevista una diversa informativa per ogni categoria di interessati (candidati, dipendenti, clienti persone fisiche e giuridiche, fornitori, ecc.) e per ogni modalità di interazione con l’interessato (cartacea, on-line). Ogni informativa potrà contenere diverse tipologie di dati, e gli stessi dati potranno essere trattati per finalità diverse. Per ogni tipologia o finalità andranno indicate le basi di legittimazione, che potranno essere diverse (“esecuzione di un contratto” per i dati legati alla cessione di un bene o erogazione di un servizio, “consenso” per le finalità di marketing, ecc.) e i tempi o criteri di conservazione, che potranno essere differenti per le diverse finalità ma coerenti con le stesse. Questa è una di quelle novità “marginali” introdotte dal GDPR, che però riveste una rilevanza particolare. I criteri di retention in sé non sono affatto una novità del GDPR, ma il legislatore europeo deve essersi reso conto che era una delle disposizioni più disattese: tutti raccoglievano i dati personali, riservandosi di decidere poi per quanto tempo conservarli. Credo sia per questo che si è deciso di inserire questa informazione fra quelle da rendere in informativa, ovvero prima di iniziare il trattamento. Anche i diritti degli interessati non sono una novità, né lo è la loro presenza in informativa. Anche qui però ci sono due elementi innovativi: uno, alcuni diritti nuovi (portabilità) e altri rinforzati (cancellazione, che diventa oblio); due, ricordatelo sempre, la maggiore enfasi sui diritti che pervade tutto il GDPR, quindi, anche le informative. L’interessato ha inoltre diritto di sapere se i suoi dati saranno trattati solo dal Titolare che li sta raccogliendo oppure comunicati a terzi (indicare a chi e per quali finalità) o diffusi.
Le informazioni sotto forma di icone
Abbiamo visto che Il GDPR non parla mai di “informativa” ma delle “informazioni” che vanno rese agli interessati. L’enfasi è sui contenuti, non sul mezzo. Le modalità previste sono: per iscritto, con altri mezzi (anche elettronici), oralmente solo se richiesto dall’interessato. Sulle modalità di erogazione è possibile scegliere fra strumenti diversi. Tanto è vero che nell’art.12 (ultimi due paragrafi) si fa cenno alla questione delle icone: “7. Le informazioni da fornire agli interessati a norma degli articoli 13 e 14 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto […]”. Avete presente i cartelli che annunciano l’ingresso in un’area videosorvegliata? Beh quella è una informativa, resa appunto in forma di icona. Durante la lunga gestazione del GDPR erano circolate bozze che prevedevano icone predefinite per alcune tipologie di informative, tipicamente quelle sulle pagine web, dove un lungo testo è difficilmente collocabile. Si ipotizzavano quindi icone del tipo “faccina con cappello da poliziotto” per dire “i dati saranno trasmessi alle autorità di pubblica sicurezza per motivi di ordine pubblico” o simili. Poi in verità questa proposta si è persa per strada, ma ne è rimasta traccia nel paragrafo 8: “Alla Commissione è conferito il potere di adottare atti delegati […] al fine di stabilire le informazioni da presentare sotto forma di icona e le procedure per fornire icone standardizzate”. L’enfasi si sposta cioè dal “pezzo di carta”, troppo spesso visto come sterile adempimento, al suo contenuto, di cui si deve cogliere l’importanza come garanzia dei diritti e delle libertà delle persone e fattore legittimante il trattamento dei loro dati personali da parte del Titolare. Ricordatevi (vi avevo detto di segnarvelo) che siamo nell’ambito del Capo III del GDPR, nominato “Diritti dell’interessato”. Comprenderete quindi che il ruolo fondamentale dell’informativa è di fornire le informazioni atte a garantire questi diritti. L’assenza o l’inadeguatezza dell’informativa privacy non si configura come una inadempienza burocratica, ma fa venir meno una delle basi di legittimazione del trattamento dei dati personali, rendendo il trattamento stesso illegittimo. Le informazioni vanno rese (è ancora l’art.12) “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”. Tradotto in pratica vuol dire che è finito il tempo delle informative di tre pagine (“per stare sicuro ci metto tutto”), scritte in legalese stretto (abbiamo detto trasparente, intellegibile, linguaggio semplice e chiaro) e nascoste in una pagina inaccessibile del sito web (facilmente accessibile vuol dire che dal form on-line in cui sto per caricare i miei dati, l’informativa deve essere raggiungibile con un click; uno, non due o tre, che dopo il primo l’interessato si scoraggia). Quanto alla differenza fra informativa privacy resa ex art.13 (nei casi in cui si raccolgono i dati presso l’interessato) ed art. 14 (dati raccolti presso terzi), finalità e contenuto sono essenzialmente gli stessi, con una piccola aggiunta nel secondo caso: siccome ho raccolto i dati altrove, devo dichiarare quali dati intendo trattare (l’interessato non lo sa, a differenza del caso in cui li fornisce direttamente) e dove li ho raccolti.
Raccordare l’informativa
Abbiamo visto sin qui ruolo e finalità dell’informativa e il suo contenuto. Va tuttavia tenuto presente che non è un documento autoconsistente; al contrario, è un elemento del sistema di gestione della privacy in azienda, che deve raccordarsi con gli altri elementi. In primis, con il Registro dei trattamenti. In questo documento fondamentale sono raccolti tutti trattamenti di dati personali svolti in azienda, con l’indicazione (tra l’altro) del tipo di dati, delle categorie di interessati, delle modalità di trattamento, di eventuali destinatari esterni, dei criteri di conservazione… tutte informazioni che, come abbiamo visto, sono riportate nelle informative. Sarà quindi particolarmente rilevante garantire coerenza fra registri ed informative, per evitare che dicano cosa diverse. Ciò renderà necessario una revisione congiunta dei documenti, periodicamente ma anche ad ogni evento che modifichi le modalità del trattamento: cambio di destinatari, modifica della retention, aggiunta di nuove tipologie di dati prima non utilizzati.
Consigli pratici
Prima di chiudere alcune utili precisazioni, che potranno sembrare ovvie agli addetti ai lavori ma non sono poi sempre così chiare a chi tratta i dati personali in azienda:
- L’informativa deve essere resa prima dell’inizio del trattamento (quindi prima della raccolta dei dati); questo è il motivo per cui i cartelli della videosorveglianza vanno messi all’ingresso dell’area sorvegliata, non alla reception dopo che siete stati già ripresi. Per lo stesso motivo se si raccolgono dati personali per scaricare un’app, l’informativa dovrà essere fornita (e facilmente raggiungibile) prima del download e installazione; accontentarsi di renderla disponibile solo dopo è estremamente pericoloso: ricordatevi che in quel caso il trattamento dei dati svolto attraverso l’app risulterebbe illegittimo.
- L’informativa è obbligatoria anche quando il trattamento è basato su una condizione di liceità diversa dal consenso (contratto, legittimo interesse, obbligo di legge ecc.): se il consenso non è necessario, non sarà raccolto, ma resta necessaria l’informativa.
- Non è obbligatorio far firmare l’informativa, ma è opportuno (in termini di accountability) essere in grado di dimostrare che, al momento della raccolta dei dati (o al loro primo utilizzo, se raccolti presso terzi), l’informativa è stata presentata all’interessato. È quindi consigliabile farla firmare per presa visione (non per accettazione) in tutte le situazioni in cui possibile farlo con poco sforzo: se è allegata ad un contratto con un cliente o fornitore, che firmerà il contratto, forse potrà firmare anche l’informativa. E il dipendente che riceve l’informativa quando firma la lettera di assunzione, non dovrebbe avere difficoltà a firmare anche quella. Negli altri casi, sarà bene escogitare altre modalità per dimostrare la presa visione: una esposizione ben visibile in reception per i visitatori, un passaggio obbligatorio dalla pagina web prima di sottomettere il form con i dati, ecc.
- Informativa multilivello: come è possibile conciliare l’esigenza di concisione con la completezza delle informazioni da fornire? Due esempi aiutano a capire le informative multilivello: ancora una volta, il cartello per la videosorveglianza, che contiene alcune informazioni essenziali (chi sta trattando i dati personali e per quale finalità, più poco altro), rimandando per il resto all’informativa completa, che deve essere facilmente accessibile ad esempio in reception (non nascosta nel cassetto del responsabile sicurezza in una sede differente…); altro esempio, le pagine web in cui si raccolgono i dati personali, che indicano alcune informazioni (dati richiesti, finalità, base giuridica, eventuale necessità di un consenso) e rimandano ad una privacy policy completa di tutte le informazioni (facilmente accessibile, forse ormai lo avrete capito…).