Diritti interna

Doveri interna

ricerca avanzata

Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali - INFORMATIVA

Guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali - INFORMATIVA

Guida all´applicazione del Regolamento europeo in materia di protezione dei dati personali

(La presente Guida è soggetta a integrazioni e modifiche alla luce dell´evoluzione della riflessione a livello nazionale ed europeo)

 

La Guida intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del regolamento, prevista il 25 maggio 2018.

 

Attraverso raccomandazioni specifiche vengono suggerite alcune azioni che possono essere intraprese sin d´ora perché fondate su disposizioni precise del regolamento che non lasciano spazi a interventi del legislatore nazionale (come invece avviene per altre norme del regolamento, in particolare quelle che disciplinano i trattamenti per finalità di interesse pubblico ovvero in ottemperanza a obblighi di legge).

 

Vengono, inoltre, segnalate alcune delle principali novità introdotte dal regolamento rispetto alle quali sono suggeriti possibili approcci in modo da arrivare all´appuntamento del 25 maggio 2018 con le idee più chiare.

 

La presente Guida è soggetta a integrazioni e modifiche alla luce dell´evoluzione della riflessione a livello nazionale ed europeo.

 

Indice

   
       


Fondamenti di liceità del trattamento

    Titolare, responsabile, incaricato del trattamento  

       


Informativa

    Approccio basato sul rischio del trattamento e misure di accountability di titolari e responsabili  
       


Diritti degli interessati

    Trasferimenti internazionali di dati  

 

 

 

    INFORMATIVA

 

Cosa cambia?  

Contenuti dell´informativa

 

I contenuti dell´informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice. In particolare, il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest´ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).

 

Il regolamento prevede anche ulteriori informazioni in quanto "necessarie per garantire un trattamento corretto e trasparente": in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all´autorità di controllo.

 

Se il trattamento comporta processi decisionali automatizzati (anche la profilazione), l´informativa deve specificarlo e deve indicare anche la logica di tali processi decisionali e le conseguenze previste per l´interessato.

 

Tempi dell´informativa

 

Nel caso di dati personali non raccolti direttamente presso l´interessato (art. 14 del regolamento), l´informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (NON della registrazione) dei dati (a terzi o all´interessato) (diversamente da quanto prevede attualmente l´art. 13, comma 4, del Codice).

 

Modalità dell´informativa

 

Il regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell´informativa, che deve avere forma concisa, trasparente, intelligibile per l´interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee (si veda anche considerando 58).

 

L´informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: si vedano art. 12, paragrafo 1, e considerando 58), anche se sono ammessi "altri mezzi", quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1). Il regolamento ammette, soprattutto, l´utilizzo di icone per presentare i contenuti dell´informativa in forma sintetica, ma solo "in combinazione" con l´informativa estesa (art. 12,  paragrafo  7); queste icone dovranno essere identiche in tutta l´Ue e saranno definite prossimamente dalla Commissione europea.

 

Sono inoltre parzialmente diversi i requisiti che il regolamento fissa per l´esonero dall´informativa (si veda art. 13, paragrafo 4 e art. 14, paragrafo 5 del regolamento, oltre a quanto previsto dall´articolo 23, paragrafo 1, di quest´ultimo), anche se occorre sottolineare che spetta al titolare, in caso di dati personali raccolti da fonti diverse dall´interessato, valutare se la prestazione dell´informativa agli interessati comporti uno sforzo sproporzionato (si veda art. 14, paragrafo 5, lettera b) ) – a differenza di quanto prevede l´art. 13, comma 5, lettera c) del Codice.

 

Cosa non cambia?  


L´informativa (disciplinata nello specifico dagli artt. 13 e 14 del regolamento) deve essere fornita all´interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l´interessato – art. 13 del regolamento). Se i dati non sono raccolti direttamente presso l´interessato (art. 14 del regolamento), l´informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento. In tutti i casi, il titolare deve specificare la propria identità e quella dell´eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.

 

NOTA: ogni volta che le finalità cambiano il regolamento impone di informarne l´interessato prima di procedere al trattamento ulteriore.

 


RACCOMANDAZIONI

 

E´ opportuno che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie ai sensi del regolamento.

 

Il regolamento supporta chiaramente il concetto di informativa "stratificata", più volte esplicitato dal Garante nei suoi provvedimenti [si veda http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1712680 relativo all´utilizzo di un´icona specifica per i sistemi di videosorveglianza con o senza operatore; http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1246675 contenente prescrizioni analoghe rispetto all´utilizzo associato di sistemi biometrici e di videosorveglianza in istituti bancari], in particolare attraverso l´impiego di icone associate (in vario modo) a contenuti più estesi, che devono essere facilmente accessibili, e promuove l´utilizzo di strumenti elettronici per garantire la massima diffusione e semplificare la prestazione delle informative.

 

I titolari potranno, dunque, una volta adeguata l´informativa nei termini sopra indicati, continuare o iniziare a utilizzare queste modalità per la prestazione dell´ informativa, comprese le icone che l´Autorità ha in questi anni suggerito nei suoi provvedimenti (videosorveglianza, banche, ecc.) – in attesa della definizione di icone standardizzate da parte della Commissione.

Dovranno essere adottate anche le misure organizzative interne idonee a garantire il rispetto della tempistica: il termine di 1 mese per l´informativa all´interessato è chiaramente un termine massimo, e occorre ricordare che l´art. 14, paragrafo 3, lettera a), del regolamento menziona in primo luogo che il termine deve essere "ragionevole".

 

Poiché spetterà al titolare valutare lo sforzo sproporzionato richiesto dall´informare una pluralità di interessati, qualora i dati non siano stati raccolti presso questi ultimi, e salva l´esistenza di specifiche disposizioni normative nei termini di cui all´art. 23, paragrafo 1, del regolamento, sarà utile fare riferimento ai criteri evidenziati nei provvedimenti con cui il Garante ha riconosciuto negli anni l´esistenza di tale sproporzione (si veda, in particolare, il provvedimento del 26 novembre 1998 –  http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/39624; più di recente, fra molti, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3864423 in tema di esonero dagli obblighi di informativa).