Informativa sulla privacy e consenso al trattamento dei dati personali: gli obblighi per le imprese
Quando sono obbligatorie l’informativa sulla privacy e il consenso al trattamento dei dati personali? Dalle caratteristiche della documentazione alle condizioni che determinano l’obbligo.
Negli ultimi anni l’attenzione al tema della protezione dei dati personali è cresciuta notevolmente, sia da parte delle aziende che singoli individui.
Con l’adozione di normative stringenti come il Regolamento Generale sulla Protezione dei Dati, GDPR, nell’Unione europea le organizzazioni devono garantire che il trattamento dei dati personali avvenga in modo trasparente, sicuro e conforme alla legge.
Un elemento cardine per il rispetto dei principi che regolano la raccolta e la gestione dei dati personali è l’ottenimento del consenso informato da parte degli utenti, che avviene attraverso un documento per il consenso al trattamento dei dati personali.
Cos’è l’informativa sulla privacy? Il contenuto minimo
Il Regolamento UE 2016/679, ovvero il GDPR (General Data Protection Regulation), ha portato diverse novità in tema di Privacy.
Due tra gli aspetti essenziali affrontati nelle regole applicabili dal 25 maggio 2018 riguardano la definizione di informativa e di consenso.
Per informativa si intende quella comunicazione che fornisce tutte le informazioni utili che l’interessato deve conoscere quando decide di dare il suo consenso al trattamento dei dati personali.
Per consenso si intende invece la libera manifestazione dell’interessato ad acconsentire al trattamento dei suoi dati personali. Il soggetto deve essere stato informato in precedenza in merito a finalità, modalità e altri aspetti.
Tali informazioni sono ottenibili attraverso la specifica documentazione. In linea generale non si tratta di documenti standardizzati che devono essere firmati dall’interessato, anche se tale forma è la più comunemente utilizzata.
In linea generale l’informativa deve contenere specifiche informazioni:
- l’identità e i contatti del titolare del trattamento e del suo rappresentante;
- contatti del Responsabile della protezione dei dati, nei casi in cui è previsto;
- le finalità del trattamento cui sono destinati i dati personali e la base giuridica del trattamento;
- nei casi in cui tale trattamento sia necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
- le categorie di destinatari dei dati personali;
- nel caso in cui sia presente, l’intenzione del titolare del trattamento al trasferimento dei dati personali a un paese terzo o a un’organizzazione internazionale (con eventuale esistenza di una decisione di adeguatezza della Commissione).
Una volta raccolti i dati, il titolare del trattamento è chiamato a fornire informazioni:
- sul periodo di conservazione dei dati;
- sull’eventuale intenzione del titolare del trattamento di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale;
- sull’eventuale esistenza di un processo automatizzato, ad esempio la profilazione, e l’indicazione delle logiche utilizzate, dell’importanza e delle conseguenze del trattamento;
- sul diritto dell’interessato di proporre reclamo a un’autorità di controllo;
- sul diritto di accesso ai dati da parte dell’interessato;
- sul diritto alla portabilità;
- sul diritto di rettifica e di cancellazione;
- sulla limitazione del trattamento o sull’opposizione allo stesso;
- sul diritto di revoca del consenso.
In linea generale, quindi, l’informativa è un documento legale che informa i soggetti su come i dati personali saranno raccolti, utilizzati, conservati e protetti. Ha l’obiettivo di tutelare l’utente e l’organizzazione che gestisce i dati e serve a garantire che l’utente sia consapevole dei propri diritti e delle modalità con cui i suoi dati verranno trattati.
All’interno dell’informativa devono essere indicate anche le tipologie di dati che sono raccolti, ad esempio i dati identificativi, finanziari, sensibili e altri.
Dovrà inoltre essere specificata la finalità del trattamento, ad esempio l’esecuzione di un contratto, le comunicazioni, il miglioramento di un servizio.
Tra le informazioni da inserire nel documento c’è anche la base giuridica del trattamento, che legittima la raccolta di dati e la finalità di tale raccolta.
Devono inoltre essere esplicitate le modalità di trattamento e di conservazione dei dati, ad esempio le misure di sicurezza, il periodo di tempo in cui i dati sono conservati e le modalità di accesso agli stessi.
Analogamente devono essere indicati anche i diritti dell’interessato, tra cui rientrano il diritto di accesso, il diritto di rettifica, il diritto di trasferimento dei dati a un altro titolare del trattamento, il diritto di cancellazione, il diritto di opposizione (ad esempio nei confronti di specifici scopi), il diritto di revoca del consenso.
L’informativa è sempre obbligatoria ed è un documento separato rispetto a quello per la raccolta del consenso.
Consenso al trattamento dei dati personali: quando è obbligatorio
Prima di specificare quali sono i casi in cui è obbligatorio il documento per la raccolta del consenso al trattamento dei dati personali è opportuno soffermarsi sulle caratteristiche che tale consenso deve avere.
Nello specifico deve essere:
- libero, il soggetto non deve essere obbligato a fornire il consenso come condizione per l’accesso a un servizio;
- specifico, ovvero relativo a determinate finalità;
- informato, quando cioè l’utente ha la possibilità di ottenere le informazioni relative al trattamento dei dati;
- esplicito, ossia inequivocabile.
Sono previste regole diverse nei casi in cui i dati siano raccolti dall’interessato o siano acquisiti da soggetti terzi.
Il documento per la raccolta del consenso è obbligatorio quando è presente un trattamento di dati. Le informazioni devono essere fornite al più tardi al momento dell’avvio della raccolta.
Se il trattamento riguarda dati anonimi, ad esempio aggregati, o dati di enti o persone giuridiche non è previsto l’obbligo di tale documentazione.
Non si applica l’obbligo di informare l’interessato nei seguenti casi:
- se l’interessato ha già le informazioni;
- se la comunicazione delle informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato;
- se l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare;
- se i dati personali devono rimanere riservati per un obbligo di segreto professionale, secondo le regole dell’Unione o degli Stati membri;
- se i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria.
Le modalità per fornire l’informativa sulla privacy
L’informativa sulla privacy deve essere chiara, concisa e facilmente comprensibile. Si tratta di un documento che deve poter essere letto e capito da chi riceve i servizi per cui vengono raccolti i dati: si dovrà quindi utilizzare un linguaggio chiaro e semplice.
Così come per il documento che raccoglie il consenso al trattamento dei dati, in linea generale è preferibile la forma scritta in formato elettronico. Tale modalità è la più facile per la conservazione dei documenti firmati.
Sono ammessi anche altri mezzi, l’informativa può essere fornita anche a mezzo di posta elettronica o oralmente, nel rispetto delle caratteristiche indicate. Ovviamente l’ultima ipotesi presentata rappresenta una situazione limite. La conservazione del formato elettronico è la forma più efficiente, che garantisce anche l’impresa in caso di contenzioso.
Nel caso in cui le informazioni vengano fornite online, dovrà essere predisposta anche una modalità alternativa per i soggetti che non hanno la possibilità di accesso. Tuttavia, si tratta di situazioni marginali visto l’ampio processo di digitalizzazione che coinvolge le aziende.
Le misure di sicurezza relative al trattamento dei dati personali
Nel rispetto della normativa, il titolare e il responsabile del trattamento sono obbligati ad adottare misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio del trattamento. La finalità è quella di evitare la distruzione accidentale o illecita, così come la perdita, la modifica e gli accessi non autorizzato.
Tra le misure che devono essere adottate ci sono la pseudonimizzazione e la cifratura dei dati.
Ulteriori misure devono garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
Ci sono poi le azioni per avere la possibilità di tempestivo ripristino della disponibilità dei dati.
Infine devono essere adottate procedure per la verifica e la valutazione ad intervalli regolari dell’efficacia delle stesse misure di sicurezza.
Nel complesso le misure da adottare devono essere valutate dal titolare e dal responsabile, tenendo in considerazione i rischi specifici delle attività svolte.
È prevista anche la possibilità di utilizzare l’adesione a specifici codici di condotta o a schemi di certificazione per l’attestazione di adeguati sistemi di sicurezza.