Quando si parla di informativa privacy si parla di un documento fondamentale nel panorama GDPR.

Si tratta di un documento estremamente importante per l’interessato, in quanto chiarisce le modalità del trattamento dei suoi dati personali (raccolta, gestione ed elaborazione) e i soggetti di riferimento (titolare, responsabile). Si tratta del mezzo con cui l’interessato fornisce effettivamente il consenso o meno al trattamento dei propri dati personali.

Per le aziende è fondamentale sapere come l’informativa deve essere redatta, per assicurarsi una compliance adeguata al Regolamento e rispettare il dovere di trasparenza che l’azienda stessa (il titolare del trattamento) ha nei confronti dell’interessato. Le informazioni che riporta devono essere sempre aggiornate e rappresentare in modo fedele l’azienda.

Vediamo insieme i punti principali, trattati per esteso nel GDPR negli articoli 13 e 14 e trasversalmente anche nel considerando n. 58 e nell’articolo 12.

Quando è obbligatoria e quando no

Il titolare del trattamento è tenuto a presentare l’informativa ogni volta che:

Il documento non è obbligatorio nei seguenti casi specifici:

Le tempistiche

In linea generale l’informativa deve essere presentata prima della raccolta dati o al momento stesso. Nel caso specifico della raccolta dati presso terzi (articolo 14), l’informativa deve essere presentata in un tempo ragionevole dall’ottenimento dei dati personali (al massimo entro un mese) oppure entro la prima comunicazione dei dati.

I contenuti

L’informativa privacy, per essere a norma di legge, deve contenere obbligatoriamente alcune informazioni. Gli articoli 13 e 14 del GDPR chiariscono gli elementi fondamentali.

In particolare l’articolo 13 specifica i contenuti nel caso in cui i dati siano ottenuti presso l’interessato:

L’articolo 14 regola invece l’informativa sulla raccolta dati non ottenuti presso l’interessato. I contenuti sono gli stessi elencati nell’articolo 13, con l’aggiunta della categoria dei dati personali oggetto di raccolta.

 La forma

L’informativa deve essere redatta in una forma specifica, come indicato nell’articolo 12 e nel considerando n. 58 del GDPR. In particolare deve:

L’informativa può essere redatta per iscritto (preferibilmente in formato elettronico, come attraverso un sito web) o in forma orale (in questo caso l’identità dell’interessato deve essere comprovata in un altro modo). La forma scritta può anche essere accompagnata da visualizzazioni grafiche del contenuto, ad esempio icone standardizzate.