LA GUIDA

Stesura informativa privacy: regole, contenuti e modalità



Indirizzo copiato

L’informativa rappresenta senza dubbio uno dei principali adempimenti richiesti ai titolari del trattamento dalla normativa in materia di protezione dei dati personali: approfondiamo regole, contenuti e modalità per la stesura e il rilascio dell’informativa privacy

Pubblicato il 5 ott 2023

Lorenzo Giannini

Consulente legale privacy e DPO



Non-disclosure agreement, Cyber,Security,And,Data,Privacy,Protection,Concept,With,Icon,Of

Tra i vari adempimenti richiesti ai titolari del trattamento dal GDPR in materia di protezione dei dati personali, uno tra i principali – nonché tra i più conosciuti da ciascuno di noi – è senza dubbio rappresentato dall’informativa privacy. Vediamo come scriverla.

Introduzione all’informativa privacy: importanza e finalità

L’articolo 12 della normativa europea stabilisce come il titolare del trattamento debba fornire un insieme di informazioni agli interessati (ovvero alle persone fisiche i cui dati personali sono oggetto del trattamento) relative al trattamento che andrà a compiere. Ciò avviene per il tramite dell’informativa, la cui finalità è proprio quella di informare – come appunto suggerisce il suo nome – i soggetti interessati del trattamento dei propri dati personali. L’importanza di tale adempimento può essere colta sotto due angoli prospettici. Quello degli interessati, dato che attraverso questa comunicazione si dà loro modo di esercitare un preventivo “diritto alla conoscibilità” circa le finalità, i mezzi del trattamento e gli altri elementi di cui si dirà in seguito e che compongono l’informativa.

Dall’altro lato quello del titolare, secondo il quale l’obbligo di sottoporre l’informativa all’attenzione degli interessati rappresenta uno specifico dovere, che affonda le proprie radici nel necessario rispetto dei principi di correttezza e trasparenza, nonché di rendicontazione (c.d. accountability) di cui, rispettivamente, agli articoli 5 e 24 GDPR.

Informativa privacy, le regole

Sono proprio i principi il punto di partenza per procedere alla corretta stesura dell’informativa. Prima ancora degli specifici contenuti da rinvenire al suo interno, appare fondamentale cogliere l’essenza e lo scopo di tale adempimento, che è appunto quello di portare a conoscenza dell’interessato l’insieme delle informazioni riferite al trattamento dei dati personali che lo riguardano.

Appare logica conseguenza, in questa prospettiva, il richiamo a principi quali la correttezza e la trasparenza, così come all’obbligo di rendicontazione posto in capo al titolare. Alla luce dell’articolo 24 del regolamento europeo, viene infatti richiesto a quest’ultimo non solo di garantire ma anche e soprattutto di dimostrare che i trattamenti da lui effettuati sono conformi al regolamento stesso.

Ciò trova concreta attuazione – oltre che negli ulteriori adempimenti previsti dal GDPR – nel rilascio del modello di informativa agli interessati che, come diremo a breve, per raggiungere nella sostanza il suo scopo dovrà quanto mai essere resa in una forma accessibile e chiara, soprattutto laddove gli interessati siano soggetti minori.

Contenuti essenziali dell’informativa privacy: quali informazioni includere

Passando ai contenuti essenziali dell’informativa che, come tali, non possono mancare al suo interno, questi ultimi sono espressamente indicati all’interno degli articoli 13 e 14 GDPR.

Occorre far riferimento all’articolo 13 nel caso in cui i dati personali che riguardano l’interessato siano raccolti presso di esso; all’opposto, l’articolo 14 fornisce l’elenco delle informazioni da fornire all’interessato qualora i dati non siano raccolti presso di esso.

Riferendoci solo alla prima ipotesi per ragioni di sintesi espositiva, prima della raccolta o, al più, contestualmente ad essa, il titolare deve fornire[1] all’interessato un’informativa che contenga i seguenti elementi[2]:

  • L’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  • I dati di contatto del responsabile della protezione dei dati (o DPO, Data Protection Officer), laddove ne sia stato designato uno;
  • Le finalità del trattamento, nonché la base giuridica[3];
  • I legittimi interessi perseguiti dal titolare, nel caso in cui il trattamento trovi fondamento su tale base giuridica;
  • Gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • Ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’indicazione delle relative condizioni di cui al capo V del regolamento;
  • I tempi di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • La possibilità per l’interessato di esercitare i diritti di cui agli articoli 15 e seguenti del regolamento, nonché il diritto di proporre reclamo all’autorità di controllo;
  • Laddove il trattamento sia basato sul consenso, la possibilità di revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • Il diritto di proporre reclamo a un’autorità di controllo;
  • La circostanza per cui la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  • L’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22 commi 1 e 4 GDPR e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Modalità di presentazione e accessibilità dell’informativa privacy

Se da un lato l’articolo 12 GDPR prevede la necessità di fornire l’informativa “per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici”, dall’altro è altrettanto chiaro nel concedere al titolare la possibilità di fornire le informazioni “oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato”.

In entrambi i casi il comune denominatore è rappresentato dall’esigenza che la forma utilizzata per il rilascio delle informazioni sia “concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”.

Nel caso in cui, dunque, il titolare si rivolga a soggetti stranieri, il rilascio di un’informativa nella sola lingua italiana non potrebbe dirsi intelligibile e accessibile per gli interessati, dovendo pertanto prevedere almeno una versione tradotta in lingua inglese. Invero, al fine di accrescere l’accessibilità alle informazioni rese e di renderle maggiormente comprensibili, il regolamento europeo suggerisce la possibilità di fornire l’informativa inserendovi delle “icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto”[4]. In questa prospettiva si è inserita l’iniziativa da parte dell’Autorità Garante privacy “Informative chiare” con cui, al termine di un contest che ha visto principalmente la partecipazione di figure quali studenti universitari, legali e designer, è stato rilasciato un set di simboli e icone da poter utilizzare dai titolari del trattamento nelle proprie informative.

Comunicare in modo efficace le informazioni privacy

Fermo restando quanto osservato, sotto il profilo comunicativo appare utile anche l’iniziativa di rendere disponibile l’informativa sul proprio sito web, laddove il professionista o l’organizzazione ne sia dotata. Ponendoci nell’ipotesi di un’azienda, quest’ultima potrebbe prevedere un’apposita “area privacy” all’interno del sito nella quale conservare i vari modelli di informativa (es. informativa ai clienti, ai fornitori, etc.), in modo da renderli sempre disponibili e accessibili agli interessati.

Vi sono casi, inoltre, in cui è fatta espressa richiesta di prevedere specifiche modalità di rilascio dell’informativa. Il riferimento è ai trattamenti in materia di videosorveglianza, dov’è prevista[5] la necessità di utilizzare un’informativa “minima” (ossia apposita cartellonistica, di cui l’European Data Protection Board – EDPB ha reso disponibile un modello semplificato) che poi faccia rinvio a un modello di informativa estesa.

Medesimo schema è osservabile, ad esempio, con riferimento alla geolocalizzazione satellitare dei veicoli aziendali[6], per i quali è richiesta la collocazione di apposite vetrofanie all’interno dei mezzi recanti la dizione “veicolo sottoposto a localizzazione” (avvalendosi volendo del modello messo a disposizione dal Garante privacy) per poi prevedere anche la versione completa di un’apposita informativa.

Infine, anche in merito ai cookie implementati sui siti web, le modalità di comunicazione dell’informativa sono ben delineate dalle recenti Linee guida sui cookie dell’Autorità Garante[7], che prevedono specifiche indicazioni per la strutturazione e la presentazione del cookie banner (ai fini informativi e di raccolta del consenso) in caso di cookie diversi e ulteriori rispetto a quelli “tecnici” adottati all’interno del sito web.

Adattamento dell’informativa privacy alle diverse tipologie di dati

Talvolta, inoltre, l’informativa deve essere strutturata in ragione della diversa tipologia di dati personali trattati. Nel caso in cui il trattamento abbia a oggetto dei dati personali particolari di cui all’articolo 9, comma 1, GDPR (conosciuti ai più come “dati sensibili”) e il trattamento si basi sul consenso come stabilito dalla lettera a) del secondo comma del medesimo articolo 9, in calce all’informativa sarà da prevedere un’apposita parte da dedicare alla raccolta del consenso, nel caso in cui ciò avvenga per iscritto.

È utile ricordare, infatti, come il consenso deve essere dimostrabile, tanto in virtù della specifica previsione di cui al Considerando 42 e all’art. 7, comma 1, GDPR (a norma del quale, “qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso […]”), quanto in ragione del requisito di “verificabilità” che lo connota[8].

Informativa privacy per i minori: considerazioni e adempimenti specifici

Da quanto fin qui emerso non è difficile comprendere come i caratteri della semplicità e della chiarezza giocano un ruolo ancora più importante nel caso in cui il rilascio delle informazioni sia rivolto a soggetti minori. Alla luce della maggior vulnerabilità di tali soggetti, il primo comma dell’articolo 12 GDPR richiede che l’aspetto dell’accessibilità e della chiarezza lessicale siano ancor più accresciuti nel caso in cui l’interessato sia un minore.

In tale ottica, maggiore importanza appare da riservare all’utilizzo di elementi iconografici atti ad agevolare la comprensione del testo scritto, il quale dovrà essere semplificato pur senza tradire il contenuto sostanziale dell’informativa.

Aggiornamento e revisione periodica dell’informativa privacy: quando e come farlo

L’interpretazione sostanziale e non meramente formale da assicurare alla lettura della normativa in materia di protezione dei dati personali impone di redigere, gestire, integrare e aggiornare l’intera documentazione privacy in ragione delle effettive esigenze dettate dal contesto operativo. Non fanno eccezione le informative, che dovranno essere mantenute aggiornate rispetto alle concrete caratteristiche dei trattamenti a cui si riferiscono. Così, ad esempio, nel caso in cui siano mutate le modalità del trattamento o i tempi di conservazione, il titolare deve provvedere ad aggiornare il modello.

Inoltre, lo stesso articolo 13, al comma 3, sottolinea come “qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente […]”.

Coinvolgimento degli interessati nella stesura dell’informativa privacy

Infine, per quanto spetti senza dubbio al titolare la stesura e il rilascio dell’informativa agli interessati – e, prima ancora, le decisioni in merito a finalità e mezzi del trattamento – ciò non di meno l’informativa può rappresentare, talvolta, uno strumento per raccogliere un (seppur indiretto) feedback da parte degli interessati. Nel caso di una campagna di marketing, laddove il titolare veda negato il consenso alla ricezione di newsletter o continue richieste di disiscrizione da parte dei già iscritti, potrebbe orientare diversamente le proprie scelte in merito allo svolgimento delle suddette attività e, di riflesso, dei relativi trattamenti.

In questo modo, di conseguenza, sarebbe chiamato a dover ricalibrare il contenuto dell’informativa che, come abbiamo visto, deve rendicontare fedelmente e in totale trasparenza tutti gli elementi che caratterizzano il trattamento dei dati personali degli interessati.

_______

Note


[1] Come indicato al Considerando 62 GDPR (cfr. altresì art. 13, comma 4, GDPR) “non è necessario imporre l’obbligo di fornire l’informazione se l’interessato dispone già dell’informazione, se la registrazione o la comunicazione dei dati personali sono previste per legge o se informare l’interessato si rivela impossibile o richiederebbe uno sforzo sproporzionato. Quest’ultima eventualità potrebbe verificarsi, ad esempio, nei trattamenti eseguiti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. In tali casi si può tener conto del numero di interessati, dell’antichità dei dati e di eventuali garanzie adeguate in essere”.

[2] Nel caso in cui i dati personali vengano raccolti presso un soggetto diverso dall’interessato (art. 14 GDPR), oltre agli elementi di cui all’art. 13 GDPR, occorre fornire indicazioni relativamente alle categorie dei dati personali e alla fonte da cui hanno origine (con indicazione, se del caso, che i dati provengano da fonti accessibili al pubblico).

[3] Per base giuridica del trattamento si fa riferimento alle condizioni di liceità da porre alla base del trattamento, così come indicate all’articolo 6 GDPR.

[4] Cfr. art. 12, comma 7, e Considerando 60 GDPR.

[5] Cfr. par. 3.1 provvedimento del Garante privacy in materia di videosorveglianza dell’8 aprile 2010, nonché FAQ del Garante privacy in materia di videosorveglianza del dicembre 2020. Per approfondire sul tema: www.agendadigitale.eu/sicurezza/privacy/lavoro-sistemi-videosorveglianza-guida/.

[6] Si veda il provvedimento dell’Autorità Garante privacy in materia di sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro del 4 ottobre 2011. Per approfondire sul tema: www.agendadigitale.eu/sicurezza/privacy/sistemi-di-geolocalizzazione-dei-veicoli-aziendali-guida-pratica-alla-compliance/.

[7] Linee guida cookie e altri strumenti di tracciamento, Provvedimento n. 231 del 10 giugno 2021.

[8] Cfr. par. 51., punto 106, Linee guida 5/2020 sul consenso dell’EDPB. Per approfondire sul punto: www.agendadigitale.eu/cultura-digitale/consenso-al-trattamento-dei-dati-personali-guida-alla-raccolta-e-relativa-gestione/.

EU Stories - La coesione innova l'Italia

Tutti
Social
Iniziative
Video
Analisi
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2