Informativa e consenso privacy on line: le indicazioni pratiche della ISO/IEC 29184:2020

Condizione necessaria per il legittimo trattamento dei dati personali degli interessati è rappresentata dall’obbligo per i titolari del trattamento di fornire un’idonea informazione (o informativa ex Dlgs 196/2003) sul trattamento dei dati personali e sui diritti /doveri dell’interessato.

L’informazione (informativa) è stata sempre prevista dalla legislazione in materia sin dalle sue prime applicazioni. Il GDPR ha ribadito questa impostazione enfatizzando l’importanza di questo passaggio e promuovendone la fruibilità, chiarezza e leggibilità auspicando l’adozione di un linguaggio alla portata di tutti gli interessati (si può fare riferimento anche a “Informative chiare”: i vincitori del contest lanciato dal Garante privacy). Quindi, una corretta gestione dei dati personali parte necessariamente, anche, da una “corretta” informazione.

Ma come deve essere predisposta una corretta informazione?

Informativa e consenso privacy on line: la ISO/IEC 29184:2020

Il GDPR nei suoi articoli e considerando fornisce sicuramente un elenco dei contenuti, ma necessariamente generici e descritti in modo non completamente sistematico.

Modo sistematico che caratterizza, per definizione, le norme tecniche, quali possono essere classificate le Norme ISO (International Standard Organization).

E proprio la ISO nel 2020 ha pubblicato la norma ISO/IEC 29184:2020 “Information technology — Online privacy notices and consent”.

Questa norma:

• fornisce le indicazioni per la predisposizione dell’informativa e del consenso online;
• viene incontro all’esigenza di disporre di strumenti chiari e per predisporre informative e consensi migliori ovvero “più robusti”;
• descrive requisiti e fornisce contestualmente una linea guida per l’informazione e la raccolta e gestione dei consensi on-line;
• è stata pubblicata nel giugno del 2020 ed è acquistabile sui siti ufficiali ISO e UNI.

La norma non fa esplicito riferimento al REG: EU 2016/679 (GDPR), ma molti dei contenuti trattati possono essere facilmente estesi a tale ambito come verrà illustrato nell’articolo.

L’informazione (informativa): come strutturarla

L’informazione è, in prima battuta un documento semplice da predisporre; l’art. 13 del REG. EU 2016/679, supportato dai considerando C60 e C62, fornisce un elenco che guida chi la deve redigere in modo pedissequo.

Nonostante la sua apparente semplicità, basta leggere le informative disponibili e facilmente accessibili, quale quelle sul WEB, per accorgersi subito dell’evidente difficoltà di applicazione dei principi che questi documenti devono rispettare. Il tema è così d’attualità che recentemente il Garante ha pubblicato l’esito di un contest per individuare “informative chiare”.

I principi base che strutturano la logica dell’informativa, secondo il GDPR sono:

• condizionalità;
• obbligatorietà;
• strumentalità.

Il titolare del trattamento che intende trattare dati personali altrui deve fornire agli interessati, prima del trattamento, delle specifiche informazioni relative al trattamento stesso.

L’informativa è di regola sempre dovuta, anche quando non è richiesto il consenso dell’interessato o quando questi è tenuto a fornire propri dati per un obbligo di legge.

L’informativa deve essere fornita con strumenti idonei (scritto, oralmente, per icone ecc.) ad assolvere al fine per cui il suo obbligo è stabilito ed accessibili all’interessato.

I principali articoli relativi agli obblighi di informativa (e relativi considerando) sono:

• Art. 12 – Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato; Misure appropriate (C58-C60, C64);
• Art. 13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato; Informazioni per il trattamento legittimo (C60-C62);
• Art. 14 – Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato. (C60-C62).

Quanto previsto dai singoli articoli appena citati riprende il contenuto dei considerando e in particolare:

• considerando C58 che richiama tra le modalità di messa a disposizione delle informazioni anche gli strumenti elettronici;
• considerando C59 che richiama l’uso del canale elettronico per l’esercizio dei diritti;
• considerando 60 che richiama tra l’altro, le modalità per fornire una chiara informazione utilizzando specifiche icone per le interfaccia che utilizzano canali ICT;
• considerando 64 che richiama la necessità di identificare l’interessato, aspetto assai importante nel caso di interfaccia sul Web.

L’informazione deve, pertanto, fornire all’interessato le informazioni che gli sono necessarie e contemporaneamente, sulla base di tali informazioni, il titolare deve valutare i rischi del trattamento con riferimento a:

• tipologia di dati;
• finalità per cui i dati sono trattati;
• terzi con cui i dati sono condivisi.

L’interessato deve avere la “conoscenza necessaria” per poter fornire il consenso e per esercitare i suoi diritti. Tali informazioni sono diverse da quelle ipotetiche; infatti, un’informativa non deve fornir informazioni:

• sovrabbondanti (troppo dettagliate, oscure e tecniche);
• insufficienti (rispetto alla complessità dei dati raccolti);
• per un trattamento di dati per finalità ulteriori e diverse (aggregazione di dati; big data; dati raccolti in ambienti intelligenti; dati processati in modo automatico; decontestualizzazione; ciclo di vita del dato).

Che c’è da sapere sul consenso

Il consenso non è sempre richiesto, a differenza dell’informativa. Il tema è trattato negli artt. 4, 7, 8 e 9 – di cui l’art. 8 relativo ai minori – supportati rispettivamente dai considerando C 32-C33, C42-C43, C38 e C51-52.

Il consenso dell’interessato, come definito dal Regolamento è “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento”. Anche il consenso può essere manifestato mediante uno scritto, una dichiarazione verbale o una elettronica. Il Considerando 32 specifica, tra le modalità “la selezione di un’apposita casella in un sito web, la scelta di impostazioni tecniche per servizi della società dell’informazione o qualsiasi altra dichiarazione o qualsiasi altro comportamento che indichi chiaramente in tale contesto che l’interessato accetta il trattamento proposto”.

I dettagli della ISO/IEC 29184

La norma ISO/IEC 29184 fa riferimento ad altre norme ISO in materia di tutela dei dati personali, in particolare: ISO/IEC 29100 “Information technology – Security techniques – Privacy framework” adottata EN nel 2020. e disponibile sul Sito UNI.

Questa norma fornisce un quadro di riferimento per la privacy, come riportato nella parte di presentazione del sito della UNI, che:

• specifica una terminologia comune relativa alla privacy;
• definisce gli attori e i loro ruoli nel trattamento dei dati personali;
• fornisce riferimenti a principi conosciuti in materia di privacy per le tecnologie informatiche.

E torniamo alla norma ISO/IEC 29184:2020; essa è applicabile in tutti quei casi in cui una organizzazione ha necessità di:

• specificare;
• acquistare;
• disegnare;
• progettare;
• sviluppare;
• testare;
• manutenere;
• amministrare;
• gestire;

i sistemi o i servizi ICT che prevedono controlli sul trattamento di dati personali.

La ISO/IEC 29184 fornisce dettagli su come implementare i principi 1 (Consent and Choice) e 7 (Openess, transaparency and notice) della citata ISO/IEC 29100.

Lo scopo della ISO/IEC 29184:2020

Lo scopo della ISO/IEC 29184:2020 è quello di indicare il contenuto (minimo) e la struttura dell’informativa e del consenso al trattamento dei dati on line oltre a indicare gli elementi fondamentali che devono essere presenti nel processo di gestione dell’ informativa e richiesta del consenso per raccogliere ed elaborare dati personali degli interessati.

La norma è applicabile in qualsiasi contesto online in cui un Titolare del trattamento o qualsiasi altra entità che effettuata il trattamento come ad esempio contitolari e responsabili e sub-responsabili che agiscono per conto del titolare.

La ISO/IEC 29184:2020 supporta l’organizzazione a:

• implementare i principi privacy 1 e 7 della ISO/IEC 29100;
• fornire la base per presentare informazioni chiare e facilmente comprensibili alle persone su come i loro dati personali sono raccolti, su come l’organizzazione elabora tali dati (ad esempio, quando fornisce servizi ai consumatori o nell’ambito di un rapporto di lavoro) e ottenere il consenso degli interessati in modo equo, dimostrabile, trasparente, inequivocabile e con modalità revocabile (ritirabile);
• presentare agli interessati le possibilità di scelta se permettere o meno il trattamento delle informazioni personali identificabili che lo riguardano, tranne i casi in cui l’interessato non possa negare liberamente il consenso o laddove la legge applicabile consenta specificamente il trattamento delle informazioni personali identificabili senza il consenso della persona fisica. La scelta dell’interessato deve essere fornita in modo libero, specifico ed informato;
• ottenere il consenso espresso (opt-in) dall’interessato per raccogliere e trattare i suoi dati personali sensibili tranne i casi in cui norme di legge specifiche permettono di trattare i dati personali sensibili senza il consenso dell’interessato;
• informare gli interessati, prima di ottenere il consenso, circa i diritti definiti dal principio di accesso e partecipazione;
• fornire alle persone, le informazioni indicate dal principio di trasparenza, comunicazione;
• spiegare agli interessati le implicazioni della concessione o della negazione del consenso;
• illustrare politiche, le procedure e le regole applicate dal Titolare del trattamento nella gestione delle informazioni personali identificabili;
• ricomprendere nella informazione il fatto che i dati personali saranno trattati, lo scopo per il quale questi devono essere forniti, il tipo di altri soggetti a cui i dati personali saranno divulgate, e l’identità del Titolare del trattamento incluse le informazioni di contatto dello stesso;
• definire la comunicazione sottoposta agli interessati delle scelte e dei mezzi offerti dal Titolare agli interessati ai fini della limitazione del trattamento e per l’accesso, la rettifica e la rimozione delle loro informazioni personali identificabili;
• fornire agli interessati l’informazione quando si verificano importanti cambiamenti nelle procedure di gestione dei dati personali.

Dato che, come richiesto dal Regolamento UE, deve essere incoraggiato, da parte di tutti gli stakeholder “… l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del regolamento…”, in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese, l’adozione della ISO/IEC 29184:2020 può dare evidenza dell’impegno e della responsabilizzazione del Titolare del trattamento in materia idi informazione e modalità di raccolta del consenso quando sono usati sistemi on-line.

Conseguentemente, predisporre informative e richieste di consenso basate su tale standard non può essere che considerata una misura di accountability.

La struttura della ISO/IEC 29184:2020

La norma è costruita con una parte mandatoria, requisiti (controlli) che contengono il verbo «Shall» e pertanto è una norma certificabile.

Dato che la Norma ISO/IEC 29184:2020 è una norma di prodotti/processi/servizi, lo schema dello standard non è quello dei Sistemi di gestione a cui si è più avvezzi (certificabili a fronte della ISO/IEC 17021/1) ma ha una impostazione peculiare. Infatti lo standard è certificabile a fronte della norma ISO/IEC 17065:2012 – Valutazione della conformità. Requisiti per organismi che certificano prodotti, processi e servizi così come indicato dall’art. 42 “Certificazione” comma 1 lettera b) del REG. Eu 2016/679.

Di seguito il contenuto della norma (nota: libera traduzione a cura degli autori):

1. Campo di applicazione
2. Riferimenti normative
3. Termini e definizioni
4. Simboli e termini abbreviate
5. Requisiti generali e raccomandazioni
    5.1 Obiettivo generale
   5.2 Informazione
   5.3 Contenuto dell’informazione
   5.4 Consenso
   5.5 Modifica delle Condizioni
6. Annex A Esempio di interfaccia utente per ottenere il consenso di un Interessato su PC e smartphone
7. Annex B Esempio di ricevuta del consenso o registrazione del consenso
8. Contenuto degli Allegati
9. Annex A Esempio di interfaccia utente per ottenere il consenso di un Interessato su PC e smartphone: riporta degli esempi con figure delle modalità applicative di somministrazione delle informative su dispositivi Mobili.
10. Annex B Esempio di ricevuta del consenso o registrazione del consenso: fornisce degli esempi su come predisporre delle ricevute dello stato del consenso prestato da un interessato.

Conclusioni

La norma fornisce una serie di elementi che aiutano le organizzazioni a rendere disponibili informative e consensi che rispecchiano quanto richiesto dal GDPR nell’ambito di un frame internazionale quale è la ISO/IEC 29100. Le stesse organizzazioni possono conformare il/i propri modelli di informativa e consenso anche basandosi su un sottoinsieme dei requisiti previsti, per quanto non possono dichiarare la conformità allo standard è evidente anche, in questo caso, che stanno applicando una misura di accountability.

È quindi auspicabile che le Autorità Garanti della protezione dei dati personali europee promuovano l’adozione di tale norma anche nel rispetto di quanto previsto dal GDPR all’art.40 (Codici di condotta) comma 2 lettere e) e g).

In ogni caso in attesa delle decisioni delle Autorità Garanti, i titolari potranno trovare in questa norma uno strumento pratico e riferito ad uno standard internazionale per verificare la robustezza delle informazioni on line che devono predisporre per gestire i trattamenti dei dati personali quando questo avviene tramite tale modalità.