Il GDPR è intervenuto in tema di “informativa e del consenso al trattamento dei dati”, disponendo nuove regole volte a garantire una perfetta informazione dei soggetti interessati, affinché il consenso sia sempre libero, specifico, informato e inequivocabile.
Alle aziende che trattano dati personali, è sorto pertanto, un dubbio legittimo: se dal 25 maggio 2018 debbano fornire agli interessati una nuova informativa privacy conforme agli artt. 13 e 14 del GDPR e, soprattutto, se debbano raccogliere un nuovo consenso.
Al fine di dissipare gli equivoci e avere chiarimenti in merito, il Garante per la privacy ha elaborato una prima Guida all’applicazione del Regolamento UE 2016/679 in materia di protezione dei dati personali. Con la quale ha fornito un quadro generale delle principali novità introdotte dal GDPR e ha soprattutto dato delle importanti indicazioni sulle prassi da seguire e gli adempimenti da attuare per applicare correttamente la normativa.
Informativa privacy: il consenso
Per i dati sensibili deve essere esplicito e lo stesso vale rispetto a decisioni basate su trattamenti automatizzati.
Non deve essere per forza documentato per iscritto, né è richiesta la forma scritta (anche se questa rimane la modalità più adeguata per configurare l’inequivocabilità e l’esplicitezza del consenso);
Il Titolare del trattamento deve essere in grado di dimostrare che l’interessato lo ha prestato a un specifico trattamento.
Per i minori il consenso è valido a partire dai 16 anni, prima di tale età occorre raccogliere il
Rimangono, poi, immutate le regole precedenti, per cui il consenso deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto.
Orbene, nel considerando 171 del GDPR, è stabilito che “qualora il trattamento si basi sul consenso a norma della direttiva 95/46, non occorre che l’interessato presti nuovamente il suo consenso, se questo è stato espresso secondo modalità conformi alle condizioni del presente regolamento”.
Da notare che il consenso può ritenersi espresso secondo modalità conformi alle condizioni del regolamento, se è:
- informato.
- specifico, per ciascuna finalità del trattamento.
- libero, cioè prestato senza condizionamenti e senza dover subire pregiudizi.
- inequivocabile, ovvero reso attraverso una dichiarazione o azione positiva inequivocabile.
Il Garante, nella Guida, ha precisato che “un consenso raccolto precedentemente al 25 maggio 2018 se ha tutti i requisiti sopra indicati resta valido. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica”.
Pertanto, come regola generale, il consenso non deve quindi essere rinnovato se raccolto conformemente a questi criteri e se sono disponibili meccanismi che consentano agli interessati di revocarlo facilmente.
In caso contrario (quindi se era tacito o implicito, o se i titolati non sono in grado di dimostrare che un valido consenso è stato ottenuto e di aver informato sulle modalità di revoca) deve essere nuovamente richiesto.
LEGGI ANCHE: Come si garantisce la privacy sul web?
Informativa sulla privacy
I contenuti dell'informativa sono indicati tassativamente negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento.
In particolare, il titolare deve sempre indicare:
- i contatti del DPO, se presente.
- la base giuridica del trattamento (e qual è il suo interesse legittimo se quest'ultimo costituisce la base giuridica del trattamento).
- se trasferisce i dati personali in Paesi terzi e attraverso quali strumenti.
Inoltre, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all'autorità di controllo; se il trattamento comporta processi decisionali automatizzati
Se i dati non sono raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine ragionevole, che non sia superiore ad un mese dalla raccolta, oppure al momento della registrazione dei dati.
Nel Regolamento vengono anche indicate in modo dettagliato le caratteristiche dell'informativa, che deve: avere forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; essere scritta in un linguaggio chiaro e semplice.
L’informativa, poi, dovrebbe essere consegnata per iscritto e preferibilmente in formato elettronico (anche se sono ammessi altri mezzi, potendo quindi essere fornita anche oralmente, ma nel rispetto delle caratteristiche sopra indicate).
Per quanto riguarda l’esonero dall’informativa, il Regolamento stabilisce che spetta al titolare del trattamento valutare se, in caso di dati personali raccolti da fonti diverse dall'interessato, la prestazione dell’informativa agli interessati comporti uno sforzo sproporzionato.
Informativa deve essere fornita prima della raccolata dei dati
Come in precedenza, anche con la nuova normativa si prevede che l’informativa deve essere fornita all'interessato prima di effettuare la raccolta dei dati, se raccolti direttamente presso l'interessato (art. 13 del regolamento); se i dati non sono raccolti direttamente presso l’interessato, invece, l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento (art. 14 del regolamento).
In ogni caso, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati, se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.
Da questa panoramica sulle nuove caratteristiche dell’informativa e sulle regole da rispettare nel redigerla, sembrerebbe che, per i trattamenti iniziati prima del 25 maggio, sia necessario informare nuovamente gli interessati fornendo tutte le informazioni di cui agli artt. 13 e 14 del GDPR (dovendo, ad esempio, indicare la base giuridica e il periodo di conservazione dei dati, elementi non richiesti dal Codice Privacy).
Sarebbe opportuno, dunque, che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate ai nuovi criteri indicati dalla normativa comunitarie, facendo particolare attenzione ai contenuti obbligatori e alle modalità di redazione, al fine di effettuare tutte le modifiche o le integrazioni necessarie.
LEGGI ANCHE: Privacy e sanità: le nuove regole alla luce del GDPR
Informativa privacy: chiarimenti utili
Nella attività da iniziare è previsto il trattamento di dati personali?
L'informativa è un obbligo generale che va adempiuto prima o al momento di dare avvio alla raccolta per il trattamento di dati personali.
L’obbligo, tuttavia, non scatta: quando il trattamento concerne dati che non sono personali bensì anonimi; quando il trattamento riguarda i dati di enti o persone giuridiche.
Inoltre, non è tenuta a prestare l'informativa la persona fisica che effettui il trattamento dei dati per attività a carattere esclusivamente personale e domestico.
Nel caso di raccolta presso terzi il titolare è sempre tenuto ad informare l’interessato?
Si, a meno che: l’interessato dispone già delle informazioni; comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare; i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell'Unione o degli Stati membri.
Quali sono le finalità del trattamento?
Indicazione necessaria per la corretta redazione dell’informativa. Occorre pertanto che: a ciascuna finalità del trattamento siano correlate tutte le informazioni imposte dalla normativa e che l’interessato sia messo in condizione di scegliere liberamente di prestare il consenso.
Qual è la base giuridica del trattamento?
Con cui si intende la fonte, la giustificazione del trattamento, che può individuarsi: in una norma di legge; nell’adempimento di un contratto; nella soddisfazione di una richiesta dell'interessato.
Il trattamento è necessario per perseguire un legittimo interesse del titolare o di terzi?
Se è così, e a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, è necessario che il titolare indichi esplicitamente detto interesse.
A chi saranno comunicati i dati raccolti?
La finalità della norma è rendere consapevole l’interessato della destinazione dei dati a sé riferiti e permettergli l’esercizio dei vari diritti connessi al trattamento.
Pertanto, è necessario indicare il flusso delle informazioni dal titolare verso l’esterno, dovendo far in modo che si tratti di un flusso informativo coerente con la finalità del trattamento.
Oltre alla comunicazione di dati a terzi, è necessario informare l’interessato anche dell’eventuale diffusione di detti dati, ove prevista e coerente con le finalità del trattamento.
Possibile trasferimento dei dati extra-UE o ad organizzazioni internazionali?
Se ciò è previsto, l’informativa deve chiarire: se esista o meno una decisione di adeguatezza della Commissione UE oppure, in mancanza, deve fare riferimento a garanzie appropriate e opportune e indicare i mezzi per ottenere una copia di tali dati o del luogo dove sono stati resi disponibili.
L’interessato è informato dei suoi diritti?
L'interessato ha diritto: di accesso ai dati personali; di ottenere la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano; di opporsi al trattamento; di revocare il consenso; di proporre reclamo all’autorità di controllo (Garante Privacy).
Il trattamento contempla un processo decisionale automatizzato (profilazione)?
Il titolare deve informare l’interessato dell’eventuale esistenza di un processo decisionale automatizzato, ivi inclusa la profilazione, intesa dal Regolamento “come qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica”.
