Con il nuovo Regolamento Europeo 2016/679, ispirato ad una maggiore trasparenza nella gestione dei dati e finalizzato a dare un maggiore controllo ai cittadini sull’utilizzo dei propri dati personali, sembra che – finalmente – il legislatore comunitario abbia deciso di porre un freno alla smisurata raccolta dei dati posta in essere dalle società situate oltreoceano (ndr. Google, Facebook e co.) che hanno fatto di tale attività il proprio core business. Nello scorso articolo avevo ritenuto opportuno soffermarmi sul concetto di trasparenza nelle operazioni, oggi vorrei invece fornire una metodologia di compliance alla nuova normativa, in relazione ad un caso concreto.
Il trattamento dei dati personali inizia con la fase di raccolta, che può essere svolta solo dopo aver predisposto un’adeguata informativa. Per questo motivo ho ritenuto indispensabile un confronto tra le disposizioni contenute ex art. 13 del D.Lgs. 196/2003 e l’informativa che – dal 25 maggio 2018 – dovrà essere resa ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (il GDPR). Innanzitutto vediamo le esenzioni, oggi non è tenuto a prestare l’informativa:
- La persona fisica che effettui il trattamento dei dati per fini esclusivamente personali (a patto che i dati non siamo destinati alla diffusione)
- Il titolare che riceva CV trasmessi spontaneamente dall’interessato
Il GDPR invece prevede un’esenzione esclusivamente per la persona fisica che effettui il trattamento per attività a carattere esclusivamente personale e domestico. In merito ai contenuti dell’informativa occorre inoltre sottolineare l’ampliamento previsto dalla nuova normativa che – oltre all’indicazione delle categorie dei dati personali oggetto del trattamento – richiede di:
- Specificare i dati di contatto del DPO ove esistente, l’identità del titolare e del responsabile del trattamento;
- Chiarire le finalità di raccolta dei dati;
- Precisare l’eventuale trasferimento dei dati personali in Paesi terzi;
- Specificare il periodo di conservazione dei dati;
- Informare sul diritto di presentare un reclamo all’autorità di controllo;
- Indicare se il trattamento comporta processi decisionali automatizzati.
Al fine di chiarire l’intento del Garante si ritiene opportuno citare il provvedimento in materia di videosorveglianza dell’8 aprile 2010. Proprio in questa occasione il Garante esprime con lucida fermezza l’intenzione di rendere un’informativa il più chiara e concisa possibile, mediante l’utilizzo di icone predisposte ad hoc. Sul sito del Garante della privacy è possibile inoltre prendere atto del fatto che le violazioni amministrative contestate sono per la maggior parte dovute ad omessa o inidonea informativa.
| Violazioni amministrative contestate | |
| Omessa o inidonea informativa (art. 161 del Codice) |
311 |
| Omessa o incompleta notificazione (art. 163 del Codice) |
12 |
| Omessa informazione o esibizione di documenti al Garante (art. 164 del Codice) |
15 |
| Totale |
338 |
| Somme versate a titolo di pagamento ridotto (in euro) | 1.061.843 |
Riterrei opportuno articolare l’informativa su più livelli, in modo da garantire che:
- le informazioni di base siano di immediata lettura e comprensione per gli interessati
- vi siano diversi profili di utenti, distinti per categorie, ciascuna potenzialmente caratterizzata da differenti trattamenti dei dati personali
- per i trattamenti che presentino un alto profilo di rischio sia previsto un esplicito consenso (ad esempio potrebbe essere utile seguire il modello della disciplina prevista per le clausole vessatorie).
Leggi tutti gli articoli della rubrica Road to GDPR
© RIPRODUZIONE RISERVATA
