Il 25 maggio 2018 sarà applicabile in tutti gli Stati
Membri il nuovo regolamento europeo in materia di protezione dei dati
personali, con il quale si darà inizio a
una nuova era per la tutela del diritto alla privacy dei cittadini europei
nei rapporti con le pubbliche amministrazioni e le imprese.
Abbiamo già Affrontato in una prima Pillola ( Articolo Online del 20 Marzo ) la tematica relativa al Consenso.
La pillola di oggi riguarda: L'INFORMATIVA
Il GDPR evidenzia come Il
titolare del trattamento debba adottare misure appropriate per fornire
all'interessato tutte le informazioni relative al trattamento in forma concisa,
trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice
e chiaro con maggiore attenzione alle fattispecie afferenti ai casi di informazioni destinate specificamente ai
minori.
Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato.
Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l'identità dell'interessato.
Cosa cambia per l’informativa:
Il GDPR introduce 2 tipi di novità
in ordine al contenuto dell’informativa e alle modalità con le quali deve
essere redatta e fornita.
Il contenuto
•
I contenuti dell’informativa sono elencati in modo
tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e
in parte sono più ampi rispetto al Codice.
In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).
In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).
•
Il regolamento prevede anche ulteriori informazioni in
quanto “necessarie per garantire un trattamento corretto e trasparente”: in
particolare, il titolare deve specificare il periodo di conservazione dei dati
o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto
di presentare un reclamo all’autorità di controllo.
•
Se il trattamento comporta processi decisionali
automatizzati (anche la profilazione), l’informativa deve specificarlo e deve
indicare anche la logica di tali processi decisionali e le conseguenze previste
per l’interessato.
Le modalità
• Il regolamento specifica molto più
in dettaglio rispetto al Codice le caratteristiche dell’informativa, che deve
avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile;
occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre
prevedere informative idonee (si veda anche considerando 58 GDPR).
• L’informativa è data, in linea di
principio, per iscritto e preferibilmente in formato elettronico (soprattutto
nel contesto di servizi online: si vedano art. 12, paragrafo 1, e considerando
58), anche se sono ammessi “altri mezzi”, quindi può essere fornita anche
oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12,
paragrafo 1). Il regolamento ammette, soprattutto, l’utilizzo di icone per
presentare i contenuti dell’informativa in forma sintetica, ma solo “in
combinazione” con l’informativa estesa (art. 12, paragrafo 7); queste icone
dovranno essere identiche in tutta l’Ue e saranno definite prossimamente dalla
Commissione europea.
• Sono inoltre parzialmente diversi
i requisiti che il regolamento fissa per l’esonero dall’informativa (si veda
art. 13, paragrafo 4 e art. 14, paragrafo 5 del regolamento, oltre a quanto
previsto dall’articolo 23, paragrafo 1, di quest’ultimo), anche se occorre
sottolineare che spetta al titolare, in caso di dati personali raccolti da
fonti diverse dall’interessato, valutare se la prestazione dell’informativa
agli interessati comporti uno sforzo sproporzionato (si veda art. 14, paragrafo
5, lettera b) ) – a differenza di quanto prevede l’art. 13, comma 5, lettera c)
del Codice.
• L’informativa (disciplinata nello
specifico dagli artt. 13 e 14 del regolamento) deve essere fornita
all’interessato prima di effettuare la raccolta dei dati (se raccolti
direttamente presso l’interessato – art. 13 del regolamento). Se i dati non
sono raccolti direttamente presso l’interessato (art. 14 del regolamento),
l’informativa deve comprendere anche le categorie dei dati personali oggetto di
trattamento. In tutti i casi, il titolare deve specificare la propria identità
e quella dell’eventuale rappresentante nel territorio italiano, le finalità del
trattamento, i diritti degli interessati (compreso il diritto alla portabilità
dei dati), se esiste un responsabile del trattamento e la sua identità, e quali
sono i destinatari dei dati.
NOTA: ogni volta che le finalità
cambiano il regolamento impone di informarne l’interessato prima di procedere
al trattamento ulteriore.
Cosa Fare?
Il consiglio che proporremo in tutte
le pills sarà quello di rivolgersi ad
uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare
situazioni di panico proporremo alcune semplici idee per poter approcciare alle
novità del GDPR
Un primo esempio di come adeguare il
proprio sistema di protezione dei dati personali è quello di prevedere uno
studio delle categorie di dati che vengono trattati e creare un’informativa ad hoc per ciascuna categoria da
allegare ai contratti con i quali nascono i singoli rapporti giuridici.
Un secondo consiglio per le informative presentate su pagine web è di inserire
all’interno della pagina una finestra di testo scorribile dove riportare
esclusivamente l’informativa, oltre ad inserirla all’interno dei Termini di
Servizio, ed eventualmente consentire la prosecuzione della navigazione
esclusivamente dopo la lettura della stessa.
Da ultimo, una rotta
che potrebbe portare ad un adeguamento sereno, potrebbe essere quella di
prevedere, per ciascuna informativa di cui al primo consiglio, una scheda
riassuntiva con le informazioni essenziali accompagnate da riferimenti grafici
in modo da centrare la “forma concisa,
trasparente, intelligibile per l’interessato e facilmente accessibile”.
A cura di:
Avv. Fabio Maggesi
Ulteriori informazioni o Articolo completo sul blog di www.meplaw.net
Nessun commento:
Posta un commento