Privacy - Come si costruisce un'informativa

Posted on Jul 20, 2018 by Administrator

Privacy - Come si costruisce un'informativa

Nota 3.9 del 12/07/2018 in merito a Concessione Come si costruisce un’informativa e cosa va messo

1. La base giuridica del consenso informato

I contenuti dell´informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del regolamento e in parte sono più ampi rispetto al Codice. In particolare, il titolare DEVE SEMPRE specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest´ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).

Il consenso rimane una delle sei basi legittime per trattare i dati personali, come disposto dall’articolo 6 del regolamento1. Prima di avviare attività che implicano il trattamento di dati personali, il titolare del trattamento deve sempre valutare con attenzione la base legittima appropriata per il trattamento.

Ma vedremo questo e molto altro nella nota che invieremo sul consenso.

Però il fatto che sia o meno previsto il consenso non toglie che sia necessario adempiere all’obbligo di fornire l’informativa sul trattamento.

Quindi, a prescindere dal consenso l'informativa deve essere sempre data, in quanto non vi sono eccezioni

Quando è dovuta

L'informativa è dovuta ogni qual volta vi sia un trattamento di dati. L'obbligo di informare gli interessati va adempiuto prima o al massimo al momento di dare avvio alla raccolta dei dati. Non sussiste obbligo di fornire l'informativa se il trattamento riguarda dati anonimi (es. aggregati).

La persona fisica che effettua il trattamento dei dati per attività a carattere esclusivamente personale e domestico, non è tenuta a fornire l'informativa. 

Nel caso in cui i dati non siano raccolti direttamente presso l'interessato (art. 14 del Regolamento), l'informativa deve essere fornita entro un termine ragionevole, e comunque non oltre un mese dalla raccolta dei dati. Oppure va fatta al momento della comunicazione dei dati a terzi. Non occorre informare l'interessato quando:

  • si dispone già delle informazioni;
  • comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato;
  • l'ottenimento o la comunicazione sono espressamente previsti dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare;
  • i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell'Unione o degli Stati membri. 

Il Garante privacy italiano, ha ricordato che in alcuni casi non è necessaria l'informativa, quando: 
- i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria (vedi basi giuridiche del trattamento); 

- il trattamento è connesso allo svolgimento delle "investigazioni difensive" in materia penale (art. 38 norme di attuazione del c.p.p.) o alla difesa di un diritto in sede giudiziaria (a meno che il trattamento si protragga per un periodo superiore a quello strettamente necessario al perseguimento di tali finalità o sia svolto per ulteriori scopi). 

Il Garante ha anche emanato alcuni provvedimenti in materia di esenzione all'informativa: 

  • Esonero dall'obbligo dell'informativa nel caso siano necessari mezzi manifestamente sproporzionati - 26 novembre 1998
  • Esonero per l'obbligo dell'informativa per il trattamento dei dati utilizzati nello svolgimento dell'attività d'impresa - 19 febbraio 2015

2. Gli art. 13 e 14 del RGPD

Con l’acronimo R.G.P.D. si intende il Regolamento Generale sulla Protezione dei Dati, cioè quello che formalmente si chiama: “REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE ”.

Prima di rivedere l’informativa ci sembra “logico” rileggere i due articoli del RGPD che parlano di informativa.

Articolo 13 - Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato

1. In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f ), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2. In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un’autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;

f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

3. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.

4. I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l’interessato dispone già delle informazioni.

Articolo 14 - Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato

1. Qualora i dati non siano stati ottenuti presso l’interessato, il titolare del trattamento fornisce all’interessato le seguenti informazioni:

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) le categorie di dati personali in questione;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un destinatario in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie adeguate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2. Oltre alle informazioni di cui al paragrafo 1, il titolare del trattamento fornisce all’interessato le seguenti informazioni necessarie per garantire un trattamento corretto e trasparente nei confronti dell’interessato:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f ), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

c) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano e di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

d) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prima della revoca;

e) il diritto di proporre reclamo a un’autorità di controllo;

f) la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico;

g) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

3. Il titolare del trattamento fornisce le informazioni di cui ai paragrafi 1 e 2:

a) entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;

b) nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato; oppure

c) nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.

4. Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati ottenuti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni informazione pertinente di cui al paragrafo 2.

5. I paragrafi da 1 a 4 non si applicano se e nella misura in cui:

a) l’interessato dispone già delle informazioni;

b) comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all’articolo 89, paragrafo 1, o nella misura in cui l’obbligo di cui al paragrafo 1 del presente articolo rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, anche rendendo pubbliche le informazioni;

c) l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure appropriate per tutelare gli interessi legittimi dell’interessato; oppure

d) qualora i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge.

3. La e-policy o internet policy

Cosa diversa, in parte, è la comunicazione che un po’ tutti i siti e i gestori di dati “telematici” fanno, anche se non raccolgono dati personali, relativamente alla “logica” delle loro strategie di comunicazione elettronica.

Da una parte c’è la raccolta di dati personali, anche quelli profilati in automatico dal sistema, che va regolamentata dalla normativa sulla privacy. Ad esempio: per accedere al sito mi chiedono una password e un ID; per darmi un’informazione tramite “app” chiedono la mia registrazione e “mi seguono” con una satellitare, tutti dati personali.

Dall’altra c’è una serie di meccanismi che, mentre navigo in internet e visito il sito, mi porta su un altro sito o mi “spara” della pubblicità, ma senza alcuna profilazione o richiesta di dati personali.

In questo caso siamo nel campo della “politica” del gestore del sito relativa alla comunicazione pubblica”; la competenza in questa materia non è del Garante della Privacy, ma dell’A.G.COM. (Agenzia per le Garanzie nelle Comunicazioni).

5. La Cookie Policy

A metà tra la e-policy e l’informativa della privacy, ce la “ Cookie Policy”. Sul sito dell’A.G.Com. possiamo leggere quanto segue.

I cookie sono stringhe di testo di piccole dimensioni che i siti visitati dall'utente inviano al suo terminale tramite il browser utilizzato per aprire e consultare le pagine web, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla successiva visita del medesimo utente. Nel corso della navigazione su un sito, l'utente può ricevere sul suo terminale anche cookie che vengono inviati da siti o da web server diversi (c.d. "terze parti"), sui quali possono risiedere alcuni elementi (quali, ad esempio, immagini, mappe, suoni, specifici link a pagine di altri domini) presenti sul sito che lo stesso sta visitando.

Per default quasi tutti i browser web sono impostati per accettare automaticamente i cookie.

Nel provvedimento n. 229 dell'8 maggio 2014 il Garante per la protezione dei dati personali ha individuato le seguenti macro-categorie di cookie.

1. Cookie tecnici: sono quelli utilizzati al solo fine di "effettuare la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell'informazione esplicitamente richiesto dall'abbonato o dall'utente a erogare tale servizio" (cfr. art. 122, comma 1, del D.Lgs. n. 196/2003, anche Codice Privacy). Essi non vengono utilizzati per scopi ulteriori e sono normalmente installati direttamente dal titolare o gestore del sito web.

Possono essere suddivisi in:

  • cookie di navigazione o di sessione , che garantiscono la normale navigazione e fruizione del sito (permettendo, ad esempio, di realizzare un acquisto o autenticarsi per accedere ad aree riservate);
  • cookie analytics, assimilati ai cookie tecnici laddove utilizzati direttamente dal gestore del sito per raccogliere informazioni, in forma aggregata, sul numero degli utenti e su come questi visitano il sito stesso;
  • cookie di funzionalità, che permettono all'utente la navigazione in funzione di una serie di criteri selezionati (ad esempio, la lingua, i prodotti selezionati per l'acquisto) al fine di migliorare il servizio reso allo stesso.

Per l'installazione di tali cookie non è richiesto il preventivo consenso degli utenti, mentre resta fermo l'obbligo di dare l'informativa ai sensi dell'art. 13 del Regolamento (UE) n. 2016/679, che il gestore del sito, qualora utilizzi soltanto tali dispositivi, potrà fornire con le modalità che ritiene più idonee.

2. Cookie di profilazione: sono volti a creare profili relativi all'utente e vengono utilizzati al fine di inviare messaggi pubblicitari in linea con le preferenze manifestate dallo stesso nell'ambito della navigazione in rete.

In ragione della particolare invasività che tali dispositivi possono avere nell'ambito della sfera privata degli utenti, la normativa europea e italiana prevede che l'utente debba essere adeguatamente informato sull'uso degli stessi ed esprimere così il proprio valido consenso.

Ad essi si riferisce l'art. 122 del Codice Privacy laddove prevede, al comma 1, che " l'archiviazione delle informazioni nell'apparecchio terminale di un contraente o di un utente o l'accesso a informazioni già archiviate sono consentiti unicamente a condizione che l'utente abbia espresso il proprio consenso dopo essere stato informato con le modalità semplificate di cui all'articolo 13, comma 3 ".

6. Modalità dell’informativa

Secondo il Garante della Privacy “ Il regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee.

L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: si vedano art. 12, paragrafo 1, e considerando 58), anche se sono ammessi "altri mezzi", quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1). Il regolamento ammette, soprattutto, l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo "in combinazione" con l’informativa estesa (art. 12, paragrafo 7); queste icone dovranno essere identiche in tutta l’Ue e saranno definite prossimamente dalla Commissione europea.

Sono inoltre parzialmente diversi i requisiti che il regolamento fissa per l´esonero dall´informativa (si veda art. 13, paragrafo 4 e art. 14, paragrafo 5 del regolamento, oltre a quanto previsto dall´articolo 23, paragrafo 1, di quest´ultimo), anche se occorre sottolineare che spetta al titolare, in caso di dati personali raccolti da fonti diverse dall´interessato, valutare se la prestazione dell´informativa agli interessati comporti uno sforzo sproporzionato (si veda art. 14, paragrafo 5, lettera b) ) – a differenza di quanto prevede l´art. 13, comma 5, lettera c) del Codice”.

A questo punto, viste le premesse sorge spontanea una domanda, come si fa a fare un’informativa semplice e chiara, in assenza di linee guida?

 

7. Un fac-simile di informativa

La risposta alla domanda è semplicissima:” possiamo prendere spunto da quella del Garante della Privacy”. Nel prosieguo abbiamo provato ad adattare un’informativa da modificare per qualsiasi esigenza.

INFORMAZIONI SUL TRATTAMENTO DEI DATI PERSONALI ESEGUITI DA:

[PERSONALIZZARE]

ai sensi dell'articolo 13 del Regolamento (UE) 2016/679

PERCHÉ QUESTE INFORMAZIONI

Ai sensi del Regolamento (UE) 2016/679 (di seguito "Regolamento"), questa pagina descrive le modalità di trattamento dei dati personali eseguiti sia in modalità elettronica che cartacea da questa società.

TITOLARE DEL TRATTAMENTO

Titolare del trattamento è [PERSONALIZZARE].

RESPONSABILE DELLA PROTEZIONE DEI DATI

Il Responsabile della Protezione dei Dati (RPD) è raggiungibile alla seguente email: [PERSONALIZZARE].

BASE GIURIDICA DEL TRATTAMENTO

Questa società esegue trattamenti di dati personali nel rispetto dalla seguente base giuridica: [PERSONALIZZARE].

TIPI DI DATI TRATTATI E FINALITÀ DEL TRATTAMENTO

[PERSONALIZZARE: In questa sezione è necessario indicare quali sono i tipi di dati trattati e le finalità del trattamento che potete recuperare sul registro trattamenti]

DESTINATARI DEI DATI

Sono destinatari dei dati raccolti i seguenti soggetti designati da questa società, ai sensi dell'articolo 28 del Regolamento, quali responsabili del trattamento:

[PERSONALIZZARE] .

I dati personali raccolti sono altresì trattati dal personale della società, che agisce sulla base di specifiche istruzioni fornite in ordine a finalità e modalità del trattamento medesimo.

I dati sono trattati [PERSONALIZZARE: nella comunità Europea, Fuori dalla comunità Europea]

DIRITTI DEGLI INTERESSATI

Gli interessati hanno il diritto di ottenere da questa società, nei casi previsti, l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi al trattamento (artt. 15 e ss. del Regolamento). L'apposita istanza a questa società è presentata contattando il Responsabile della protezione dei dati

[PERSONALIZZARE: da modificare con ulteriori diritti come diritto alla portabilità solo nel caso in cui il trattamento di basi sul consenso o sul contratto] .

DIRITTO DI RECLAMO

Gli interessati che ritengono che il trattamento dei dati personali a loro riferiti effettuato direttamente dagli uffici dell’amministrazione avvenga in violazione di quanto previsto dal Regolamento hanno il diritto di proporre reclamo al Garante della Privacy, come previsto dall'art. 77 del Regolamento stesso, o di adire le opportune sedi giudiziarie (art. 79 del Regolamento).

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

RACCOMANDAZIONI (dal Garante)

 

E´ opportuno che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie ai sensi del regolamento.

 

Il regolamento supporta chiaramente il concetto di informativa "stratificata", più volte esplicitato dal Garante nei suoi provvedimenti [si veda http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1712680 relativo all´utilizzo di un´icona specifica per i sistemi di videosorveglianza con o senza operatore; http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1246675 contenente prescrizioni analoghe rispetto all´utilizzo associato di sistemi biometrici e di videosorveglianza in istituti bancari], in particolare attraverso l´impiego di icone associate (in vario modo) a contenuti più estesi, che devono essere facilmente accessibili, e promuove l´utilizzo di strumenti elettronici per garantire la massima diffusione e semplificare la prestazione delle informative.

 

I titolari potranno, dunque, una volta adeguata l´informativa nei termini sopra indicati, continuare o iniziare a utilizzare queste modalità per la prestazione dell´ informativa, comprese le icone che l´Autorità ha in questi anni suggerito nei suoi provvedimenti (videosorveglianza, banche, ecc.) – in attesa della definizione di icone standardizzate da parte della Commissione.

Dovranno essere adottate anche le misure organizzative interne idonee a garantire il rispetto della tempistica: il termine di 1 mese per l´informativa all´interessato è chiaramente un termine massimo, e occorre ricordare che l´art. 14, paragrafo 3, lettera a), del regolamento menziona in primo luogo che il termine deve essere "ragionevole".

 

Poiché spetterà al titolare valutare lo sforzo sproporzionato richiesto dall´informare una pluralità di interessati, qualora i dati non siano stati raccolti presso questi ultimi, e salva l´esistenza di specifiche disposizioni normative nei termini di cui all´art. 23, paragrafo 1, del regolamento, sarà utile fare riferimento ai criteri evidenziati nei provvedimenti con cui il Garante ha riconosciuto negli anni l´esistenza di tale sproporzione (si veda, in particolare, il provvedimento del 26 novembre 1998 –  http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/39624; più di recente, fra molti, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3864423 in tema di esonero dagli obblighi di informativa).

No tags added.

New blog posts

Privacy - Concessione di Contributi economici
Privacy - Concessione di Contributi economici

Jul 20, 2018 by Administrator

Nota 3.8 del 05/07/2018 in merito a...

TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO
TITOLARE, RESPONSABILE, INCARICATO DEL TRATTAMENTO

Jul 20, 2018 by Administrator

1. Chi è il titolare dei trattamenti...

Privacy - Come si costruisce un'informativa
Privacy - Come si costruisce un'informativa

Jul 20, 2018 by Administrator

Nota 3.9 del 12/07/2018 in merito a...

View all blog entries →