Obblighi di informazione all’interessato
Obblighi di informazione all’interessato – Le informazioni ex artt. 13-14, GDPR
Il GDPR ha l’obiettivo principale di tutelare i diritti e le libertà fondamentali delle persone fisiche. Perciò, non stupisce che i titolari siano chiamati a descrivere agli interessati le caratteristiche del trattamento dei loro dati personali. I principi di correttezza e di trasparenza impongono che gli interessati siano informati dell’esistenza di un trattamento sui loro dati personali e delle sue finalità. Il titolare deve fornire qualsiasi altra informazione all’interessato per assicurare che il trattamento sia lecito e trasparente e dare all’interessato un quadro di insieme del trattamento previsto.
Gli interessati devono conoscere esattamente i dettagli del trattamento ed essere consapevoli del contesto del trattamento e delle circostanze dello stesso: in questo modo sono in grado di decidere se fornire i propri dati personali. Dovranno anche essere informati su quali dati devono essere obbligatoriamente conferiti e delle conseguenze laddove non siano forniti.
Incontrovertibilmente, le informazioni devono specificare i diritti degli interessati e come possono essere esercitati e la possibilità di proporre reclamo all’autorità di controllo.
L’obbligo non è una novità, essendo già prescritto dalla legislazione in vigore prima del GDPR, ma si aggiungono nuovi dettagli rispetto al trattamento.
Rimane la distinzione fra le informazioni da fornire quando i dati sono raccolti direttamente dalla persona e quando sono ottenuti da terzi.
Le informazioni da fornire quando i dati sono raccolti dall’interessato
È il caso più comune e si presenta quando il titolare raccoglie i dati dell’interessato tramite modulistica cartacea o elettronica: gli interessati conferiscono direttamente al titolare i propri dati personali. Alcuni esempi: raccolta di dati per sottoscrivere un servizio, per eseguire un ordine, per presentare la propria candidatura di impiego, per richiedere informazioni sulle attività commerciali del titolare.
Le informazioni da fornire non possono essere generiche e di libera scelta ma il titolare deve rispettare gli elementi che sono definiti dall’art. 13, GDPR.
In linea di principio, quando i dati sono raccolti direttamente dall’interessato, le informazioni devono essere fornite «all’atto della raccolta dei dati», non dimenticando che se il titolare intende trattare i dati per finalità diverse da quelle per le quali sono stati raccolti, dovrà informare la persona «prima di procedere all’ulteriore trattamento». È buona prassi che tutte le finalità di trattamento previste siano indicate all’atto della raccolta dei dati. Ci sarà poi una condizione residuale che impone al titolare di integrare le informazioni già fornite.
Se i dati sono raccolti dall’interessato, il titolare deve fornire all’interessato le seguenti informazioni. Sono indicati alcuni esempi per meglio comprendere:
a. l’identità e i dati di contatto del titolare e, ove applicabile, del suo rappresentante. I riferimenti del rappresentante sono da indicare quando il trattamento dei dati riguarda interessati che si trovano nell’Unione europea ed è eseguito da un titolare che non ha sede in territorio UE e l’offerta di beni o servizi è rivolta a interessati nell’UE oppure se esegue monitoraggio del loro comportamento se tale comportamento avviene nell’UE
b. i dati di contatto del Responsabile della protezione dei dati («Data Protection Officer»), ove applicabile
c. le finalità del trattamento e la base giuridica del trattamento. Per esempio, se i dati sono trattati per eseguire un ordine (finalità), la base giuridica è l’esecuzione di obblighi contrattuali assunti verso l’interessato
d. qualora il trattamento si basi sul legittimo interesse perseguito dal titolare o da terzi: specificare quale è il legittimo interesse. Può essere l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria del titolare o di un terzo
e. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali: per esempio, se i dati devono essere forniti a enti istituzionali, il titolare dovrà indicare tali enti o le categorie di enti che riceveranno i dati
f. ove applicabile, l’intenzione del titolare di trasferire dati personali a un Paese terzo o a organizzazioni internazionali e le garanzie che consentono tale trasferimento: per esempio, quando i dati sono trasferiti a un responsabile in Cile per attività di telemarketing, le garanzie possono essere rappresentate dalle clausole contrattuali standard adottate dalla Commissione europea
g. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo. Se i dati sono trattati per fini fiscali, è possibile indicare il periodo di 10 anni imposto dalla normativa fiscale
h. l’esistenza del diritto di chiedere l’accesso ai dati, la rettifica o la cancellazione degli stessi o la limitazione del trattamento o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati: sono i fondamentali diritti degli interessati per poter mantenere controllo sul contesto del trattamento dei dati e prendere le decisioni al riguardo anche dopo la fornitura dei dati
i. qualora il trattamento sia basato sul consenso, l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca. In ogni momento e gratuitamente, l’interessato può ritirare il consenso dapprima concesso. I trattamenti basati sul consenso dapprima prestato rimangono leciti
j. il diritto di proporre reclamo a un’autorità di controllo: è un nuovo diritto di immediata applicabilità; l’interessato può proporre a un’autorità di controllo reclamo per far valere i diritti sulla protezione dei dati (autorità dello Stato UE dove l’interessato abitualmente vive o lavora o ove presume sia stato violato il diritto alla riservatezza)
k. se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati: per esempio, se nel contesto di un ordine è richiesto il dato sulla professione, il dato deve essere indicato come facoltativo e se non fornito la persona ha diritto all’evasione dell’ordine. Tale informazione non è necessaria per evadere l’ordine
l. l’esistenza di un processo decisionale automatizzato, compresa la profilazione e informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. Evidente l’esempio dei cookies di profilazione per attività di marketing su di un sito Internet: l’utente deve esserne a conoscenza per poter esprimere o negare il proprio consenso a tale forma di profilazione.
Come già la previgente normativa, anche il GDPR stabilisce che il titolare può non fornire le informazioni se l’interessato le ha già ricevute. Le modifiche alle informazioni già disponibili all’interessato devono essere comunicate all’interessato.
Le informazioni da fornire quando i dati personali non sono ottenuti presso l’interessato
I dati possono essere anche forniti o ottenuti da terzi: quando i dati non sono direttamente forniti dalla persona a cui i dati sono riferiti, ma da altre persone fisiche o entità giuridiche. Per esempio, un cliente può indicare che la consegna dei prodotti ordinati sia fatta a un vicino di casa oppure un donatore può indicare nome e cognome e dati di contatto (es.: e-mail) di un amico che potrebbe essere interessato a donare a favore di una determinata organizzazione senza scopo di lucro.
Quando i dati non sono raccolti direttamente dall’interessato, l’obbligo di informazione deve essere rispettato:
a. entro un termine ragionevole dall’ottenimento dei dati personali, ma «al più tardi entro un mese»
b. nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, «al più tardi al momento della prima comunicazione all’interessato»; oppure
c. nel caso sia prevista la comunicazione ad altro destinatario, «non oltre la prima comunicazione dei dati».
Le informazioni da fornire sono:
a. l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante
b. i dati di contatto del responsabile della protezione dei dati («Data Protection Officer»), ove applicabile
c. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento
d. le categorie di dati personali
e. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali
f. ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e le garanzie che consentono tale trasferimento
g. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo
h. qualora il trattamento si basi sul legittimo interesse, i legittimi interessi perseguiti dal titolare o da terzi
i. l’esistenza del diritto di chiedere l’accesso ai dati, la rettifica, la cancellazione o la limitazione del trattamento e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati (diritti degli interessati)
j. qualora il trattamento sia basato sul consenso, l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca
k. il diritto di proporre reclamo a un’autorità di controllo
l. la fonte da cui hanno origine i dati e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico
m. l’esistenza di un processo decisionale automatizzato, compresa la profilazione e informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Gli esempi forniti nel paragrafo precedente possono essere utili, laddove appropriati considerando il contesto della raccolta, anche per questa fattispecie.
È importante rilevare che se i dati non sono ottenuti dall’interessato, le informazioni da fornire devono contenere anche le categorie dei dati e la fonte da cui sono stati raccolti. Se non è possibile definire la fonte, perché i dati sono stati raccolti da più fonti, è possibile dare un’indicazione generica.
Se la persona dispone già delle informazioni, questo obbligo non è applicabile. Viceversa, se ci sono variazioni, il titolare deve informare l’interessato di tali variazioni.
Come fornire le informazioni
Le informazioni devono essere fornite in un linguaggio semplice e chiaro, facilmente accessibili e anche sinteticamente, e, ove ricorre il caso, assicurarsi che siano visualizzabili. Sono normalmente rilasciate per iscritto, ma possono essere rese anche in forma verbale, come nel caso di dati acquisiti per via telefonica, in forma sintetica, specificando gli elementi essenziali, e rimandare alla completezza delle informazioni al proprio sito Internet o mettendo a disposizione strumenti che consentano di apprendere tutti gli elementi prescritti dal GDPR. Possono essere fornite in forma elettronica, come quando indirizzate al pubblico in generale, attraverso un sito Internet. Ciò è da considerare soprattutto quando la proliferazione degli attori e la complessità delle tecnologie usate rendono difficile alla persona conoscere e capire se, da chi e per quali fini i dati sono raccolti (questo caso è da considerare specie per le forme pubblicitarie on-line).
Il GDPR prevede anche l’uso di icone standardizzate da fornire in combinazione con le informazioni in un semplice, leggibile, comprensibile e visibile formato, e se usate on-line, devono essere facilmente leggibili da qualsiasi dispositivo. Queste icone e le procedure per fornirle devono essere definite con un atto delegato della Commissione europea.
Per approfondire, consulta le FAQ oppure contattatami.