GDPR: Come fornire un’informativa corretta all’interessato (Guida al GDPR 3.1)

Il GDPR (acronimo di “General Data Protection Regulation” o Regolamento europeo sulla protezione dei dati personali, n. 2016/679) detta nuove e più stringenti regole per ciò che riguarda le informazioni che devono essere fornite all’interessato da parte del soggetto titolare del trattamento dei dati personali e che vengono riportate in un documento comunemente denominato “informativa privacy”.

Le norme che vengono in considerazione sono innanzitutto gli artt. 13 (“Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”) e 14 (“Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato”) del GDPR, i quali delineano in modo tassativo quelli che devono essere i contenuti di una corretta informativa. Le informazioni richieste dal GDPR peraltro risultano essere più ampie rispetto a quelle finora necessarie ai sensi del Codice Privacy: questo comporta che le informative predisposte nel rispetto del Codice, a partire dal 25 maggio non saranno più valide e dovranno essere integrate con gli ulteriori elementi necessari.

In particolare, dovranno essere sempre precisati:

  • i dati di contatto (sempre) del titolare del trattamento, nonché, se presente, del suo rappresentante sul territorio europeo e (se nominati) del responsabile e del DPO (Data Protection Officer): l’interessato infatti deve essere messo nelle condizioni di identificare chiaramente e di poter contattare i soggetti a cui spetta il trattamento dei propri dati personali (e a cui spetta garantirne la legittimità);
  • la base giuridica del trattamento (quindi, le condizioni di liceità su cui il trattamento si basa: consenso, interesse legittimo del terzo, interesse pubblico, ecc.) e le finalità (ovvero lo scopo della raccolta o dell’elaborazione dei dati);
  • i destinatari o le categorie di destinatari dei dati personali: quindi, a chi saranno comunicati quei dati o con chi verranno condivisi, anche semplicemente per poter effettuare un servizio richiesto dallo stesso interessato;
  • se vi sia l’intenzione del titolare del trattamento di trasferire i dati personali a un paese terzo (cioè extra europeo) o a un’organizzazione internazionale: in poche parole, bisogna far sapere all’interessato se i suoi dati verranno diffusi al di fuori del territorio dell’Unione Europea;
  • il periodo di conservazione dei dati o i criteri utilizzati per determinarlo: periodo che sarà strettamente correlato allo scopo perseguito con il trattamento: quando la finalità sarà stata raggiunte, i dati non potranno più rimanere in possesso del titolare. E, come è facilmente intuibile, si tratta di una valutazione che non è sempre possibile fare con certezza a priori: in questi casi, però, si dovrà quanto meno comunicare all’interessato al verificarsi di quali condizioni i dati raccolti saranno cancellati, in modo che lo stesso possa successivamente verificare la correttezza del trattamento effettuato;
  • l’esistenza, in capo all’interessato, di una serie di diritti che dovrebbero permettergli di controllare e gestire consapevolmente il flusso dei propri dati e, in particolare: (i) diritto di accesso ai dati, (ii) il diritto di chiederne la rettifica, la cancellazione, o la limitazione del trattamento, (iii) il diritto di opporsi al trattamento, (iv) il diritto alla portabilità dei dati, (v) il diritto di revocare il consenso al trattamento, in qualsiasi momento e (vi) il diritto di proporre reclamo all’autorità di controllo: è infatti compito del titolare far conoscere all’interessato quali siano questi diritti e come procedere per esercitarli concretamente (oltre a predisporre delle procedure semplici ed efficaci per darvi esecuzione);
  • se la comunicazione dei dati personali sia un obbligo legale, contrattuale, oppure un requisito necessario per la conclusione di un contratto, e se l’interessato abbia l’obbligo di fornire i dati oltre alle conseguenze dell’eventuale mancata comunicazione: il titolare quindi deve dire all’interessato se la raccolta di quei dati sia necessaria o meno per poter fornire un servizio o dare esecuzione a una richiesta rivolta dall’interessato stesso oppure se sia direttamente la legge ad imporla. Inoltre, occorre spiegare all’interessato cosa succede nell’ipotesi in cui lo stesso non voglia comunicare i dati richiesti (il che, per lo più, consisterà nell’impossibilità di fornire il servizio in oggetto): ad esempio, per un servizio di newsletter il titolare richiederà l’indirizzo di posta elettronica all’interessato; bisognerà quindi informarlo che, se non darà questa informazione, quel servizio non potrà essergli eseguito;
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione, aggiungendo in questo caso informazioni che consentano all’interessato di capire in cosa consista nella pratica quel trattamento: quindi, ad esempio, informazioni sugli strumenti utilizzati, sulla portata del trattamento così effettuato, sulla diffusione dei dati che ne può conseguire e così via;
  • le categorie di dati personali in questione (ad esempio, se sono raccolti dati sensibili) e, nel caso in cui i dati personali non siano stati ottenuti direttamente dall’interessato, la fonte da cui arrivano e l’eventualità che provengano da fonti accessibili al pubblico (ad esempio, elenchi pubblici a cui chiunque può avere accesso).

Un secondo punto sul quale il GDPR si è soffermato è quello dei termini entro i quali bisogna fornire l’informativa ovvero quando queste informazioni devono essere comunicate agli interessati. In particolare, nel caso in cui si tratti di dati che sono stati raccolti direttamente presso l’interessato (cioè forniti dall’interessato e non ottenuti da altre fonti, come può avvenire, ad esempio, quando l’interessato dà il consenso affinché i propri dati siano utilizzati per finalità di marketing da partner commerciali del titolare), l’informativa dovrà essere fornita prima che quei dati vengano raccolti. Nel caso in cui, invece, i dati personali non siano stati ottenuti presso l’interessato, ma ricevuti da terzi, l’informativa dovrà essere resa non più all’atto della registrazione dei dati come previsto dal Codice Privacy, ma entro un termine ragionevole (a seconda delle particolari circostanze e della tipologia di dati e di trattamento) dall’ottenimento dei dati stessi (e che comunque non può essere superiore a un mese), oppure al momento della prima comunicazione dei dati all’interessato o al terzo. Ad esempio, se ho in precedenza acconsentito all’utilizzo dei dati per finalità di marketing da soggetti terzi, quando riceverò la loro prima comunicazione promozionale, ad essa dovrà essere accompagnata una adeguata informativa riguardante il trattamento che questi soggetti terzi stanno effettuando dei miei dati.

Non meno importanti, infine, sono le modalità con cui l’informativa dovrà essere fornita agli interessati, espressamente richiamate dal GDPR (per maggiori approfondimenti sul tema, si veda l’articolo intitolato “Come si garantisce la trasparenza”). Come emerge dall’art. 12, paragrafo 1, infatti, le informazioni da trasmettere all’interessato dovranno essere date in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro (eventualmente utilizzando immagini, icone standardizzate o informative brevi, in modo tale da fornire un quadro d’insieme facilmente comprensibile).

FocusGDPRNormativaPrivacy e sicurezza Informatica
marzo 19, 2018
gdprprivacyRegolamento europeo
logo fclex nero

Scopri anche

intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto
guadagnare con marchio e licenza

Licensing e modelli di Business: 5 licenze per monetizzare il tuo marchio

18 Gen
Leggi tutto

Ultimi aggiornamenti

password garante

Linee guida del Garante Privacy in materia di Funzioni Crittografiche e Conservazione delle Password

Con il provvedimento n. 9962283 del 7 dicembre 2023, il Garante per la Protezione dei Dati Personali e l’Agenzia per la cybersicurezza nazionale (ACN) hanno emanato alcune Linee Guida in materia “Funzioni Crittografiche e Conservazione delle Password”. Successivamente, con un comunicato del 1° marzo 2024, il […]
aprile 4, 2024
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

Avv. Giuseppe Croari – Dott.ssa Francesca Gattarello Ad oggi sono notoriamente risaputi i vantaggi che l’intelligenza artificiale ha apportato anche nel mondo del lavoro (a tal proposito vi segnaliamo questo articolo). A ciò si aggiunga la maggiore consapevolezza che la società ha acquisito, negli ultimi anni, […]
marzo 28, 2024
Leggi tutto
contratto vendere webinar

Il Contratto come strumento per vendere di più

Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
marzo 15, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it