Quando si parla di informativa privacy si parla di un documento fondamentale nel panorama GDPR.
Si tratta di un documento estremamente importante per l’interessato, in quanto chiarisce le modalità del trattamento dei suoi dati personali (raccolta, gestione ed elaborazione) e i soggetti di riferimento (Titolare, responsabile). Si tratta del mezzo con cui l’interessato fornisce effettivamente il consenso o meno al trattamento dei propri dati personali.
Per le aziende è fondamentale sapere come l’informativa deve essere redatta, per assicurarsi una compliance adeguata al Regolamento e rispettare il dovere di trasparenza che l’azienda stessa (il Titolare del trattamento) ha nei confronti dell’interessato. Le informazioni che riporta devono essere sempre aggiornate e rappresentare in modo fedele l’azienda.
Vediamo insieme i punti principali, trattati per esteso nel GDPR negli articoli 13 e 14 e trasversalmente anche nel considerando n. 58 e nell’articolo 12.
Quando è obbligatoria e quando no
Il Titolare del trattamento è tenuto a presentare l’informativa ogni volta che:
- vengono trattati dati personali riferiti a persone fisiche;
- l’azienda che tratta i dati personali ha sede nell’Unione Europea oppure tratta dati di cittadini (persone fisiche) che risiedono negli Stati membri dell’UE.
Il documento non è obbligatorio nei seguenti casi specifici:
- il trattamento è di carattere personale o domestico;
- i dati sono trattati in base ad un obbligo previsto dalla legge;
- il trattamento dei dati personali è connesso a investigazioni difensive in materia penale o alla difesa di un diritto in sede giudiziaria.
Le tempistiche
In linea generale l’informativa deve essere presentata prima della raccolta dati o al momento stesso. Nel caso specifico della raccolta dati presso terzi (articolo 14), l’informativa deve essere presentata in un tempo ragionevole dall’ottenimento dei dati personali (al massimo entro un mese) oppure entro la prima comunicazione dei dati.
I contenuti
L’informativa privacy, per essere a norma di legge, deve contenere obbligatoriamente alcune informazioni. Gli articoli 13 e 14 del GDPR chiariscono gli elementi fondamentali.
In particolare l’articolo 13 specifica i contenuti nel caso in cui i dati siano ottenuti presso l’interessato:
- l’identità e i dati di contatto del Titolare del trattamento;
- se nominato, i dati di contatto del Responsabile della Protezione dei Dati (Data Protection Officer, DPO);
- le finalità del trattamento;
- la base giuridica del trattamento;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- se previsto, l’eventuale trasferimento dei dati ad un Paese terzo o a un’organizzazione internazionale;
- il periodo di conservazione dei dati;
- i diritti dell’interessato (accesso ai dati, rettifica o cancellazione dei dati, limitazione del trattamento, opposizione al trattamento, portabilità dei dati);
- la possibilità di presentare reclamo all’Autorità di Controllo (che in Italia è il Garante Privacy).
L’articolo 14 regola invece l’informativa sulla raccolta dati non ottenuti presso l’interessato. I contenuti sono gli stessi elencati nell’articolo 13, con l’aggiunta della categoria dei dati personali oggetto di raccolta.
La forma
L’informativa deve essere redatta in una forma specifica, come indicato nell’articolo 12 e nel considerando n. 58 del GDPR. In particolare deve:
- possedere un linguaggio chiaro;
- essere concisa e trasparente;
- essere intelligibile e facilmente accessibile.
L’informativa può essere redatta per iscritto (preferibilmente in formato elettronico, come attraverso un sito web) o in forma orale (in questo caso l’identità dell’interessato deve essere comprovata in un altro modo). La forma scritta può anche essere accompagnata da visualizzazioni grafiche del contenuto, ad esempio icone standardizzate.
