Informativa e consenso, due adempimenti importanti e obbligatori ma non sempre necessari: linee guida

L’informativa è un documento che deriva da quanto definito dagli art. 13 e 14 del GDPR 2016/679, e arricchisce quanto già a noi noto attraverso il precedente art. 13 D.lgs. 196/2003 abrogato dal D.lgs. 101/2018.

Non dovrebbe quindi risultare come una novità che al momento della raccolta di dati^[1] di persone fisiche occorra intervenire tempestivamente con la produzione e consegna di documenti informativi, in modo da rendere informato il soggetto interessato in merito al trattamento dei suoi dati.

Informativa e consenso: novità imposte dal GDPR

La principale novità consiste in quanto richiesto dall’art. 12 GDPR 2016/679, ossia nella produzione di informazioni in forma “concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”^[2].

Occorre quindi fare in modo di produrre documenti che facilitino la comprensione da parte dei soggetti interessati, e che siano soprattutto concisi^[3], evitando la produzione di informative così eccessive nella descrizione che determinino (o sollecitino) lo scarseggiare di interesse da parte di soggetti interessati, portando quindi ad un’agevole raccolta di prove di presa visione.

Il GDPR 2016/679 propone anche l’uso di icone standardizzate^[4] producendo un quadro grafico descrittivo del trattamento, in modo che risulti visibile, intelligibile e chiaramente leggibile lo stesso testo informativo.

Questo sarà possibile solo in seguito ad un provvedimento della Commissione Europea, ma chiarisce qual è l’intenzione del GDPR 2016/679 relativo alla richiesta di documenti con linguaggio semplice e chiaro.

Un’altra novità importante è determinata dall’obbligo di fornire informative a soggetti interessati anche se i dati non vengono raccolti direttamente nei loro confronti, ma da altri soggetti (ex art. 14 GDPR 2016/679); in tal caso occorre procedere entro un mese dal momento di raccolta, ma solo se:

• i soggetti interessati non ne sono già stati informati al riguardo da altri titolari del trattamento (coloro che trasmettono i dati a chi li riceve ad esempio);
• nel caso in cui la comunicazione dell’informativa risulti impossibile o con sforzo sproporzionato;
• l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
• i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri.

Le informative sono quindi documenti estremamente importanti da fornire per applicare la conformità con gli articoli sopra indicati, nonché per documentare l’applicazione del principio di accountability previsto dal GDPR 2016/679, dimostrando la distribuzione di informazione richiesta dallo stesso Regolamento UE.

Chi deve produrre informative e in quali casi

L’informativa deve essere prodotta dai soggetti che raccolgono i dati, quindi dai titolari del trattamento, salvo quanto indicato da art. 14 GDPR 2016/679; ma non quando vengono raccolti i dati di qualsiasi soggetto, bensì unicamente al momento di raccolta di dati di persone fisiche come personale in forza, clienti diretti (settore B2C, Business to Consumer), utenti di servizi eccetera.

In tal caso, quindi, esattamente in fase anteriore o contestualmente all’inizio della raccolta dei dati occorre fare in modo che il soggetto interessato dal trattamento ne risulti a conoscenza, e possa liberamente decidere se procedere con la consegna dei propri dati richiesti, ossia con il suo consenso (ex art. 7 GDPR 2016/679).

In altri casi in cui vengano raccolti solo dati di altre aziende (quindi nel settore B2B, Business to Business) o di enti, come ragioni sociali o denominazioni, sedi lavorative o legali, o dati simili, non occorre produrre e distribuire documenti informativi in quanto si tratta di dati relativi a soggetti non oggetto di tutela da parte del GDPR 2016/679.

In alcuni casi di questo tipo potrebbe rendersi necessaria la produzione di documenti informativi, ma solo laddove vengano raccolti dati di persone fisiche in qualità di referenti aziendali come dati anagrafici privati o contatti privati, e nel caso risultino necessari per l’esecuzione del contratto.

In tal caso non occorrerebbe comunque produrre informativa destinata all’azienda (o ente) parte di contratto, ma da rendere disponibile unicamente al soggetto interessato che rientra nello svolgimento dell’attività.

Al momento della raccolta dei dati occorre fare in modo di poter dimostrare l’esistenza del documento informativo e la presa visione da parte del soggetto interessato, come forma di tutela in caso di necessità di controllo da parte dell’autorità di vigilanza; ma questo non è da confondere con la necessità di espressione di consenso.

Modalità di informativa e sua distribuzione

I documenti informativi vengono prodotti abitualmente in forma scritta, ma non è l’unica possibilità autorizzata dal GDPR 2016/679.

Tali documenti possono innanzitutto consistere in altri mezzi^[5], anche elettronici; si può procedere quindi con la pubblicazione di testi informativi su dispositivi elettronici (notebook, PC, device) in favore del personale in forza, oppure nei casi necessari da esporre nel punto di ingresso in azienda in favore degli ospiti della stessa.

L’importante è che risulti possibile unire tale documento alla raccolta di presa di visione del documento, o di consenso laddove risultasse necessario.

È possibile pubblicare anche on line alcuni casi di informative, nei confronti di clienti diretti (B2C) o soprattutto verso referenti di aziende clienti laddove risulti necessario raccogliere i loro dati per l’esecuzione del contratto.

L’art. 12 par.1 GDPR 2016/679 prevede infine la possibilità di produrre informative anche in forma orale, quindi ad esempio con descrizione vocale del trattamento da parte del personale autorizzato che effettua la raccolta di dati, o attraverso l’ascolto di voci preregistrate rese disponibili al momento di raccolta dei dati.

Tutto questo solo in seguito a richieste effettuate dagli stessi soggetti interessati, ed in seguito alla conferma dell’identità degli stessi richiedenti.

I contenuti dell’informativa

I documenti informativi non possono risultare di libera composizione, ma devono almeno contenere quanto indicato dagli art. 13 e 14 GDPR 2016/679:

• le categorie di dati richiesti al soggetto interessato, e finalità del trattamento ossia i motivi di raccolta degli stessi;
• dati identificativi del titolare del trattamento, nonché del Responsabile per la protezione dei dati (DPO) in caso risultasse designato;
• la base giuridica del trattamento, quindi se si tratta di dati che possono essere raccolti in seguito a presa visione del documento informativo perché si tratta di un trattamento derivante da leggi o legittimi interessi, o solo in caso di espressione di consenso da parte di soggetto interessato;
• la natura obbligatoria o facoltativa del conferimento dei dati, e le conseguenze di un rifiuto;
• i soggetti destinatari, o categorie di destinatari, verso ai quali il Titolare necessita comunicare o diffondere i dati raccolti;
• la necessità di trasferimento dei dati raccolti in paesi extra UE, ed in tal caso in che cosa consistono le decisioni di conformità della Commissione UE;
• l’indicazione dei diritti del soggetto interessato (diritto di accesso dell’interessato, diritto di rettifica, diritto alla cancellazione o “oblio”, diritto di limitazione del trattamento, diritto alla portabilità dei dati, diritto di opposizione), con indicazione delle modalità di esercizio dei diritti;
• la descrizione della eventuale presenza di trattamenti automatizzati dei dati rientranti nel trattamento descritto dal documento informativo, compresi anche eventuali casi di profilazione degli stessi.

Un’importanza in particolare è da destinare anche all’obbligo di descrizione del periodo di conservazione dei dati all’interno del documento informativo, se non l’eventuale spiegazione dei criteri utilizzati per determinarlo.

Questa è una novità importante richiesta dal GDPR 2016/679, in quanto rende necessario per ogni titolare del trattamento di valutare:

• le misure temporali necessarie per ogni trattamento;
• quando i dati non risultino più indispensabili per i motivi di raccolta;
• da quale momento risulti necessario procedere provvedendo senza ritardo alla cancellazione o alla anonimizzazione dei dati raccolti^[6].

Scaduto il termine di conservazione occorre procedere con una nuova richiesta di consenso.

Tutto quanto indicato relativamente alla conservazione dei dati deve risultare realmente applicato per dimostrare la conformità con il principio di accountability.

Che cos’è il consenso

Il consenso è la manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato^[7], attraverso la quale è possibile dimostrare che egli acconsente al trattamento relativo ai dati a lui richiesti. Deve trattarsi di un consenso inequivocabile, espresso attraverso dichiarazione scritta, anche attraverso mezzi elettronici, o orale^[8].

Oltre alla raccolta di dichiarazioni firmate, lo stesso Considerando 32 permette anche l’uso di caselle nei siti web (flag), se non impostazioni tecniche per servizi della società dell’informazione, qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto.

Il consenso può quindi risultare rilasciato in forma implicita, ma non equivocabile; devono quindi essere escluse delle caselle preselezionate o form precompilati, in quanto originerebbero un dubbio circa l’espressione di volontà del soggetto interessato.

Il consenso deve invece risultare sempre espresso in forma esplicita^[9] in caso di trattamenti di categorie particolari^[10] di dati, o in caso di profilazione di dati personali.

Il consenso deve risultare rilasciato liberamente^[11] dal soggetto interessato, rendendo possibile che lo stesso possa valutare se l’esecuzione di un contratto o di un servizio sia condizionata dal rilascio di un consenso non necessario all’esecuzione dello stesso contratto.

Occorre quindi impostare correttamente le richieste di consenso in ambito commerciale ad esempio, o qualsiasi altro trattamento che non risultasse necessario per il contratto e quindi il trattamento di origine della raccolta dei dati.

Inoltre, occorre richiedere in maniera specifica^[12] l’espressione di consenso da parte del soggetto interessato, distinguendo quindi le varie finalità di richiesta presentate al suddetto. Occorre quindi permettere che il soggetto interessato possa scegliere liberamente se acconsentire che i propri dati forniti per le finalità necessarie all’esecuzione del contratto vengano utilizzati per finalità diverse rispetto a quella di raccolta degli stessi, come iniziative di marketing diretto, profilazione, geolocalizzazione, o altro. Questo è possibile solo attraverso una suddivisione dei motivi di richiesta di consenso presentati al soggetto interessato, registrando l’espressione del soggetto interessato.

Occorre infine fare in modo che il consenso possa risultare revocabile^[13] da parte del soggetto interessato, in maniera agevole così come la stessa espressione.

È quindi necessario adottare procedure per consentire la richiesta agevole di revoche, e sempre agevole loro concessione. È quindi necessario informare il soggetto interessato in merito alla revoca richiesta, prima di procedere con interruzione dello specifico trattamento.

Il consenso è sempre necessario?

Perché sia lecito, il trattamento di dati personali dovrebbe fondarsi sul consenso dell’interessato o su altra base legittima prevista per legge dal presente regolamento o dal diritto dell’Unione o degli Stati membri, come indicato nel presente regolamento, tenuto conto della necessità di ottemperare all’obbligo legale al quale il titolare del trattamento è soggetto o della necessità di esecuzione di un contratto di cui l’interessato è parte o di esecuzione di misure precontrattuali adottate su richiesta dello stesso.^[14]

Con quanto indicato dal Considerando 40 la richiesta di uno specifico consenso non è sempre necessaria, e dipende dal principale trattamento che genera la necessità di raccolta dei dati.

Questo è definito anche da art. 7 par.1 lettera b GDPR 2016/679, che appunto riconosce la liceità di un trattamento anche se unicamente derivante dalla necessità dell’esecuzione di un contratto di cui è parte il soggetto interessato (si veda “Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni: […]”).

Ad esempio, se vengono raccolti unicamente i dati estremamente necessari per l’esecuzione del contratto o prestazione dell’attività, in tal caso si rientra in un trattamento di dati necessario per l’esecuzione di un contratto di cui il soggetto interessato è parte.

In questo modo il trattamento di tali dati è legato all’accettazione di contratto e senza di essa non si può procedere con il trattamento dei dati raccolti.

Se si intendono promuovere servizi aggiuntivi rispetto alle attività oggetto di contratto (marketing diretto, profilazione, geolocalizzazione, altro) e se si intendono raccogliere ulteriori dati personali aggiuntivi rispetto a quelli necessari per il contratto di base, in tutti questi casi occorre procedere con la raccolta di singoli consensi inequivocabili, espliciti, espressi liberamente, specifici e revocabili così come sopra descritto.

Occorre anche fare in modo di informare chiaramente il soggetto interessato in merito alle attività proposte in forma aggiuntiva rispetto alle principali attività oggetto di contratto, permettendo di operare una scelta effettiva e senza subire intimidazioni o raggiri.

Perché informativa e consenso sono legati

L’informativa è un documento da presentare al momento di raccolta dei dati presso l’interessato^[15], mentre il consenso è una manifestazione di assenso al trattamento descritto nell’informativa^[16]; ciò rende necessario che il titolare del trattamento possa dimostrare che la raccolta dei dati è avvenuta in seguito alla descrizione del trattamento e solo in seguito all’espressione di consenso laddove necessario.

È quindi consigliabile unificare i due elementi in un solo documento cartaceo, o nello stesso contesto in caso di strumenti digitali per consegna di informative e raccolta di consenso.

Nel documento cartaceo informativo ciò può essere organizzato attraverso un testo informativo seguito da una richiesta di consenso; in un documento pubblicato su dispositivi elettronici o strumenti on line si può procedere con la richiesta dell’inserimento di flag in text box richiedenti il consenso.

NOTE

1. Considerando 61 ↑
2. Art. 12 par.1 GDPR 2016/679 ↑
3. Art. 12 par.1 GDPR 2016/679 ↑
4. Considerando 60 ↑
5. Art. 12 par.1 GDPR 2016/679 ↑
6. Considerando 39 ↑
7. Art.4 GDPR 2016/679 ↑
8. Considerando 32 ↑
9. Art.9 par.2 GDPR 2016/679 ↑
10. Dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona (Art. 9 GDPR 2016/679) ↑
11. Art. 7 par.4 GDPR 2016/679 ↑
12. Considerando 32 ↑
13. Art.7 par.3 GDPR 2016/679 ↑
14. Considerando 40 ↑
15. Considerando 61 ↑
16. Art.4 GDPR 2016/679 ↑