Scopo dell'obbligo di informativa a carico del titolare è mettere l'interessato nelle condizioni di conoscere le finalità e le modalità di trattamento dei dati che lo riguardano, in particolare l'uso che di questi sarà fatto, le circostanze e il contesto specifico in cui il trattamento avverrà (considerando 60 GDPR) e le modalità di esercizio dei propri diritti (art. 12 par. 1 GDPR).
Inquadramento
Il titolare del trattamento deve comunicare all'interessato determinate informazioni che riguardano le finalità e le modalità del trattamento: lo scopo è quello di rendergli noto l'uso che intende fare dei suoi dati personali e di metterlo in condizioni di esercitare eventualmente i propri diritti (art. 12 par. 1 GDPR), prendendo in considerazione anche le circostanze e il contesto specifico in cui i dati personali sono trattati (considerando 60 GDPR).
Termini
I termini entro cui comunicare l'informativa sono diversi a seconda che i dati personali:
1) siano raccolti presso l'interessato: in tal caso l'informativa deve essere fornita prima che i dati personali siano ottenuti dall'interessato (art. 13, par. 1 GDPR);
2) non siano raccolti direttamente presso l'interessato (come avviene ad esempionel caso in cui i dati siano raccolti da elenchi pubblici): in tal caso l'informativa deve essere fornita entro un termine ragionevole, che comunque non può superare 1 mese dalla raccolta dei dati, oppure deve essere fornita al momento della prima comunicazione dei dati (a terzi o all'interessato) (art. 14, par. 3 GDPR).
A tale scopo devono essere adottate anche le misure organizzative interne idonee a garantire il rispetto della tempistica.
Forma
L'informativa deve essere concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; occorre utilizzare un linguaggiochiaro e semplice e, per i minori, occorre prevedere informative idonee (art. 12, par. 1 primo periodo GDPR).
L'informativa può essere fornita sia per iscritto sia con altri mezzi (compresi anche i mezzi elettronici). Se è l'interessato a richiederlo, le informazioni possono essere forniteoralmente, purché sia provata con altri mezzi l'identità dell'interessato (art. 12 par. 1 secondo periodo GDPR).
L'informativa può essere data all'interessato in combinazione con icone standardizzate per offrire, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d'insieme del trattamento previsto. Se sono presentate elettronicamente, le icone devono essere leggibili da dispositivo automatico (art. 12, par. 1 GDPR, considerando 58, 60, 61 GDPR).
Contenuto
Il contenuto dell'informativa è diverso, a secondache idati personali siano raccolti o meno presso l'interessato. Riportiamo il contenuto nelle due tabelle che seguono.
1) Se i dati personali sono raccolti presso l'interessato:
L'informativa deveriportare:
a) l'identità e i dati di contatto del titolare e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati (DPO), se esistente;
c) le finalità del trattamento cui sono destinati i dati personali e la base giuridica del trattamento;
d) i legittimi interessi perseguiti dal titolare o da terzi (se il trattamento è necessario per il perseguimento del legittimo interesse);
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) l'eventuale intenzione del titolare di trasferire i dati personali a un Paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso di particolari trasferimenti, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia dei dati o il luogo dove sono stati resi disponibili (ad esempio si deve specificare se si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; se si utilizzano BCR di gruppo; se sono state inserite specifiche clausole contrattuali modello, ecc.).
art. 13, par. 1 GDPR
l titolare deve fornire all'interessato le seguenti ulteriori informazioni:
a) il periodo di conservazione dei dati oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l'esistenza del diritto dell'interessato di chiedere al titolare l'accesso ai dati personali, la rettifica o la cancellazione degli stessi, la limitazione del trattamento e la portabilità dei dati;
c) indicazione dell'interesse legittimo del titolare quando il trattamento ha questa base giuridica;
d) l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
e) il diritto di proporre reclamo a un'autorità di controllo;
f) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
g) l'esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, le informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste per l'interessato.
art. 13, par. 2 GDPR
2) Se i dati personali non sono raccolti presso l'interessato (ad esempio se sono stati raccolti e poi trasmessi o ceduti ad un terzo)
L'informativa deve riportare le seguenti indicazioni:
a) l'identità e i dati di contatto del titolare e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati (RPD), ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali e la base giuridica del trattamento;
d) le categorie di dati personali in questione;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, l'intenzione del titolare di trasferire dati personali a un Paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei particolari trasferimenti, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia dei dati o il luogo dove sono stati resi disponibili.
art. 14, par. 1 GDPR
Il titolare deve fornire all'interessato le seguenti ulteriori informazioni:
a) il periodo di conservazione dei dati oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l'esistenza del diritto dell'interessato di chiedere al titolare l'accesso ai dati personali, la rettifica o la cancellazione degli stessi, la limitazione del trattamento e la portabilità dei dati;
c) indicazione dell'interesse legittimo del titolare quando il trattamento ha questa base giuridica;
d) l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
e) il diritto di proporre reclamo a un'autorità di controllo;
f) la fonte dei dati personali;
g) l'esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, le informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste per l'interessato.
art. 14, par. 2 GDPR
Se dopo la prima informativa, muta uno degli elementi indicati in essa, il titolare deve fornirne una nuova oppure comunicare i mutamenti intervenuti, a tutti i clienti, fornitori e dipendenti. Se il titolare del trattamento intende trattare i dati personali per una finalità diversa o ulteriore da quella già comunicata nell'informativa, deve fornire, prima di tale ulteriore trattamento, a tutti gli interessati (clienti, fornitori, dipendenti) le informazioni relative alla diversa finalità e ogni ulteriore informazione pertinente per garantire un trattamento corretto e trasparente (artt. 13 par. 3 e 14, par. 4 GDPR).
Se vengono omessi uno o più elementi dell'informativa o se le informazioni contenute sono inidoneeil titolare è punito con una sanzione amministrativa.
Esonero dall'informativa
L'informativa non è dovuta (artt. 13 par. 4 e 14, par. 5 GDPR):
a) se i dati sono raccolti presso l'interessato, quando l'interessato dispone già delle informazioni;
b) se i dati sono raccolti presso terzi:
— l'interessato dispone già delle informazioni;
— la comunicazione di tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato;
— l'ottenimento o la comunicazione sono espressamente previsti dal diritto della UE o dello Stato membro cui è soggetto il titolare e che prevede misure appropriate per tutelare gli interessi legittimi dell'interessato;
— i dati personali devono rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto della UE o degli Stati membri, compreso un obbligo di segretezza previsto per legge.
È fatta salva, in presenza di specifiche condizioni, l'esistenza di specifiche disposizioni normative (art. 23, par. 1 GDPR).
Lo sforzo sproporzionato può verificarsi, ad esempio, nei trattamenti eseguiti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici: in tali casi si può tener conto del numero di interessati, dell'antichità dei dati e di eventuali garanzie adeguate in essere (art. 14, par. 5 lett. b) GDPR, considerando 62 GDPR). Spetta in ogni caso al titolare del trattamento valutare se la prestazione dell'informativa comporti uno sforzo sproporzionato: a tale scopo può essere utile fare riferimento ai criteri evidenziati nei provvedimenti del Garante Privacy in cui è stata riconosciuta l'esistenza di tale sproporzione (Provv. Garante Privacy 19 febbraio 2015, n. 3864423 e Provv. Garante Privacy 26 novembre 1998, n. 39624).
Vuoi leggere tutti i contenuti?
Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter continuare a
leggere questo e tanti altri articoli.
