Obblighi di informazione all’interessato
Obblighi di informazione all’interessato – Le informazioni ex artt. 13-14, GDPR
Il GDPR ha l’obiettivo principale di tutelare i diritti e le libertà fondamentali delle persone fisiche. Perciò, non stupisce che i titolari siano chiamati a descrivere agli interessati le caratteristiche del trattamento dei loro dati personali. I principi di correttezza e di trasparenza impongono che gli interessati siano informati dell’esistenza di un trattamento sui loro dati personali e delle sue finalità. Il titolare deve fornire qualsiasi altra informazione all’interessato per assicurare che il trattamento sia lecito e trasparente e dare all’interessato un quadro di insieme del trattamento previsto.
Gli interessati devono conoscere esattamente i dettagli del trattamento ed essere consapevoli del contesto del trattamento e delle circostanze dello stesso: in questo modo sono in grado di decidere se fornire i propri dati personali. Dovranno anche essere informati su quali dati devono essere obbligatoriamente conferiti e delle conseguenze laddove non siano forniti.
L’obbligo non è una novità, essendo già prescritto dalla legislazione in vigore prima del GDPR, ma si aggiungono nuovi dettagli rispetto al trattamento.
Rimane la distinzione fra le informazioni da fornire quando i dati sono raccolti direttamente dalla persona e quando sono ottenuti da terzi.
In linea di principio, quando i dati sono raccolti direttamente dall’interessato, le informazioni devono essere fornite all’atto della raccolta dei dati, non dimenticando che se il titolare intende trattare i dati per finalità diverse da quelle per le quali sono stati raccolti, dovrà informare la persona prima di procedere all’ulteriore trattamento. È buona prassi che tutte le finalità di trattamento previste siano indicate all’atto della raccolta dei dati. Ci sarà poi una condizione residuale che impone al titolare di integrare le informazioni già fornite.
D’altro canto, il GDPR (ma anche la previgente normativa) ammette di non fornire all’interessato informazioni di cui è già a conoscenza, avendole già ricevute.
Se i dati non sono ottenuti direttamente dall’interessato, il titolare dovrà indicare anche l’origine dei dati e le categorie dei dati. Quando non è possibile indicare precisamente la fonte, perché i dati sono stati attinti da varie fonti, deve essere fornita un’informazione generale. Se i dati sono ottenuti da terzi, le informazioni devono essere fornite entro un ragionevole periodo e, comunque, al più tardi entro un mese. Il titolare può fornire all’interessato le informazioni al primo contatto utile e, se è prevista la comunicazione dei dati a terzi, prima che il trasferimento abbia luogo.
Come fornire le informazioni
Le informazioni devono essere fornite in un linguaggio semplice e chiaro, facilmente accessibili e anche sinteticamente, e, ove ricorre il caso, assicurarsi che siano visualizzabili. Sono normalmente rilasciate per iscritto, ma possono essere rese anche in forma verbale, come nel caso di dati acquisiti per via telefonica, in forma sintetica, specificando gli elementi essenziali, e rimandare alla completezza delle informazioni al proprio sito Internet o mettendo a disposizione strumenti che consentano di apprendere tutti gli elementi prescritti dal GDPR. Possono essere fornite in forma elettronica, come quando indirizzate al pubblico in generale, attraverso un sito Internet. Ciò è da considerare soprattutto quando la proliferazione degli attori e la complessità delle tecnologie usate rendono difficile alla persona conoscere e capire se, da chi e per quali fini i dati sono raccolti (questo caso è da considerare specie per le forme pubblicitarie on-line).
Il GDPR prevede anche l’uso di icone standardizzate da fornire in combinazione con le informazioni in un semplice, leggibile, comprensibile e visibile formato, e se usate on-line, devono essere facilmente leggibili da qualsiasi dispositivo. Queste icone e le procedure per fornirle devono essere definite con un atto delegato della Commissione europea.
Nell’ambito delle informazioni, non deve mancare un chiaro riferimento ai diritti esercitabili dagli interessati per controllare il trattamento dei loro dati personali.
Per approfondire, clicca qui oppure consulta le FAQ oppure contattatami.