INFORMATIVA PRIVACY: COS’È E COSA DEVE CONTENERE?

Lo scopo dell’articolo è quello di spiegare in modo semplice cosa sono le informative che ci vengono sottoposte ogni qual volta diamo i nostri dati personali.

COS’È L’INFORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI

Come dice la parola stessa l’informativa ha lo scopo di informare i soggetti interessati sui dati che vengono presi, del motivo per il quale vengono acquisiti, come vengono trattati, chi li tratta, i probabili destinatari, come e per quanto vengono conservati.

Essa è espressione del dovere del titolare del trattamento di assicurare la trasparenza e la correttezza dei trattamenti e di essere in grado di provarlo in qualunque momento. Ha anche lo scopo di permettere all'interessato di esprimere un valido consenso, se richiesto come base giuridica del trattamento. In questo caso l'informativa non è solo dovuta in base al principio di trasparenza e correttezza, ma è anche una condizione di legittimità del consenso.

L’informativa deve essere redatta dai Titolari del trattamento in quanto deve rispecchiare l’attività svolta dagli stessi e a cui sono connessi i dati personali raccolti.

I contenuti obbligatori dell’informativa sul trattamento dei dati personali sono specificati negli artt. 13 e 14 del GDPR 2016/679.

Preliminarmente è necessario definire i soggetti richiamati:

-       Il soggetto interessato è la persona fisica a cui si riferiscono i dati personali acquisiti;

-       Il titolare del trattamento è il soggetto, persona fisica e/o giuridica, che tratterà i dati dell’interessato. I dati e i recapiti del Titolare del Trattamento devono essere riportati nell’informativa.

-       Il DPO (Data Protection Officer) o Responsabile della Protezione dei Dati Personali è un consulente tecnico e legale, interno o esterno all’azienda, che ha il compito informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dalla normativa relativa alla protezione dei dati; sorvegliarne l’osservanza; fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati; cooperare con l’autorità di controllo. Questa è una figura presente solo in specifici casi indicati dalla norma (art. 37 GDPR) ma in tali casi i suoi riferimenti e contatti devono essere riportati nell’informativa.

MODALITÀ DELL'INFORMATIVA

L'informativa deve avere forma coincisa, deve essere chiara, facilmente accessibile ed intellegibile per l'interessato. L'informativa deve essere resa per iscritto o con altri mezzi, anche elettronici, come per es., la posta elettronica. L'informativa va data oralmente solo se richiesto dall'interessato.

L’informativa è obbligatoria anche quando il trattamento è basato su una condizione di liceità diversa dal consenso come ad esempio un contratto, il legittimo interesse, o un obbligo di legge. Anche se il consenso non è necessario e quindi non sarà raccolto resta necessaria l’informativa. Non è obbligatorio far firmare l’informativa, ma è necessario essere in grado di dimostrare che, al momento della raccolta dei dati l’informativa è stata presentata all’interessato. È quindi consigliabile farla firmare per presa visione.

IL CONTENUTO

Oggetto del Trattamento: Il titolare indica la tipologia di dati che andrà a raccogliere e trattare, cioè i dati personali, identificativi ad esempio, nome, cognome, ragione sociale, indirizzo, telefono, e-mail, riferimenti bancari e di pagamento; i dati particolari quali orientamento sessuale, condizioni di salute, origine razziale ed etnica, convinzioni religiose, filosofiche, opinioni politiche, adesione a partiti, sindacati, organizzazioni di varia natura; le informazioni giudiziarie, che possono rivelare l'esistenza di provvedimenti giudiziari e anche i dati legati alle nuove tecnologie dati relativi alle comunicazioni elettroniche telefoniche e internet come l’indirizzo IP, i dati che permettono di geolocalizzare una persona, quelli genetici e biometrici.

Finalità del trattamento: il titolare del trattamento spiega come e per quali finalità tratterà i dati personali dell’interessato. 

La base giuridica del trattamento: è la motivazione che giustifica il trattamento dei dati, ogni organizzazione deve necessariamente identificare le basi su cui si fondano la raccolta e il trattamento dei dati, che deve essere documentata e aggiornata.

Modalità di trattamento: il titolare informerà che il trattamento sarà realizzato per mezzo delle operazioni indicate all’art. 4 Codice Privacy e all’art. 4 n. 2) GDPR e precisamente: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati. Le modalità, inoltre, comportano un trattamento cartaceo e/o elettronico e/o automatizzato.

Operazioni automatizzate, come la profilazione: La profilazione dei dati personali è la raccolta di informazioni su un individuo o un gruppo di individui per analizzarne le caratteristiche e inserirli in categorie o gruppi e poterne fare delle valutazioni o previsioni. Quindi l’informativa deve spiegare che i dati verranno utilizzati per questa finalità in modo chiaro, completo ed esaustivo.

Accesso ai dati: il titolare deve indicare a quali soggetti i dati verranno comunicati come a dipendenti e collaboratori del titolare, nella loro qualità di incaricati e/o responsabili interni del trattamento e/o amministratori di sistema; oppure a società terze o altri soggetti (per esempio istituti di credito, studi professionali, consulenti, etc.) che svolgono attività in outsourcing per conto del titolare, nella loro qualità di responsabili esterni del trattamento.

Trasferimento dati: il titolare del trattamento deve comunicare se i dati vengono trasferiti extra-UE.

Conservazione: L’informativa deve indicare come e per quanto tempo vengono conservati i dati che sono stati utilizzati per le finalità indicate. 

 Natura del conferimento dei dati e conseguenze del rifiuto di rispondere: l’informativa specifica che il conferimento dei dati per le finalità indicate è obbligatoria, in quanto in loro assenza, non potranno essere garantiti i servizi forniti dal titolare. Fanno eccezione le finalità di marketing per il quale è necessario un consenso apposito dell’interessato.

Diritti dell’interessato: L’informativa deve indicare anche i diritti dell’interessato quali:

-       il diritto a essere informati su come e perché vengono trattati i suoi dati;

-       il diritto di accedere ai propri dati;

-       il diritto di poter correggere i propri dati, chiederne l'aggiornamento, la rettificazione, l'integrazione dei dati;

-       il diritto alla cancellazione dei dati da parte del titolare e dei responsabili;

-       il diritto alla portabilità dei dati, cioè chiedere che i dati vengano o trasferiti direttamente ad un'altra azienda, quando è possibile tecnicamente;

-       il diritto all'obiezione, cioè di chiedere all’organizzazione che elabora i dati personali - sulla base di un proprio legittimo interesse o come parte di un'attività di interesse pubblico o per un'autorità ufficiale – di non utilizzarli;

-       il diritto a non essere oggetto di scelte automatizzate, come la profilazione.

Questi sono i contenuti che il GDPR chiede di rispettare nel fornire una informativa privacy, chiara e completa per il soggetto interessato.