I contenuti dell’informativa
I contenuti dell’informativa sono elencati in modo dettagliato negli articoli 13 (paragrafo 1) e 14 (paragrafo 1) e sono più ampi rispetto al codice.
Il titolare deve sempre specificare i dati del contatto RPD-DPO (Responsabile della Protezione dei Dati – Data Protection Officer) e, qualora esistente, la base giuridica del trattamento, in quanto interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e tramite quali strumenti (se si tratta ad es. di un Paese terzo giudicato adeguato dalla Commissione Europea).
Il regolamento prevede anche ulteriori informazioni in quanto necessarie per garantire un trattamento corretto e trasparente, va, infatti, specificato il periodo di conservazione dei dati, i criteri seguiti per la conservazione, il tempo di conservazione dei dati, nonché il periodo in cui è possibile presentare un reclamo all’autorità di controllo.
Se il trattamento comporta processi decisionali automatizzati (anche una eventuale profilazione dell’utente), l’informativa deve specificarlo e deve anche indicare la logica di tali processi decisionali, nonché le conseguenze previste per l’interessato.
Quali sono i tempi della normativa?
Nel caso in cui i dati personali non fossero raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve essere fornite entro un termine ragionevole, che in ogni caso non deve superare un mese dalla raccolta o dal momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato) (diversamente da quanto prevede attualmente l’art. 13, comma 4, del Codice).
Quali sono le modalità dell’informativa?
Il regolamento specifica più in dettaglio rispetto al Codice le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice; nel caso di minori è necessario prevedere informative idonee.
L’informativa è data per iscritto o, preferibilmente, in formato elettronico (soprattutto per quel che riguarda i servizi online: art. 12, paragrafo 1); sono ammessi, però, anche “altri mezzi”, di fatti l’informativa può essere fatta anche “oralmente” anche se nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1).
Il regolamento ammette anche l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma unicamente in combinazione con l’informativa estesa (art. 12, paragrafo 7), queste icone saranno definite prossimamente dalla Commissione Europea.
I requisiti che il regolamento fissa per l’esonero dell’informativa (art. 13 – paragrafo 4, art. 14 – paragrafo 5 del regolamento, oltre a quanto previsto dall’art. 23 paragrafo 1), anche se occorre specificare che spetta al titolare, in caso di dati personali raccolti da fonte diverse dall’interessato, valutare se la prestazione dell’informativa agli interessati comporti uno sforzo sproporzionato.
Non cambia, invece, l’informativa (disciplinata negli art. 13 e 14 del regolamento) che deve essere fornita all’interessato prima di effettuare la raccolta dei dati (se raccolti direttamente presso l’interessato – art. 13 del regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento.
Il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esite un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.
E’ bene sottolineare che ogni qualvolta le finalità del regolamento cambi è obbligatorio informare l’interessato prima di procedere al trattamento ulteriore.
Alcune raccomandazioni utili
E’ opportuno che i titolari del trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori ed alla modalità di redazione, in modo da apportare le eventuali modifiche prima del 25 Maggio 2018.
I titolari potranno, una volta adeguata l’informativa nei termini sopra indicati, continuare o iniziare ad utilizzare queste modalità per la presentazione dell’informativa, comprese le icone che l’Autorità ha in questi anni suggerito nei suoi provvedimenti (videosorveglianza, banche, ecc…), in attesa della definizione di icone standardizzate da parte della Commissione Europea.
Dovranno essere adottate misure organizzative interne idonee a garantire il rispetto della tempistica: il termine di 1 mese per l’informativa all’interessato è chiaramente un termine massimo, ed occorre ricordare che il regolamento menziona in primo luogo che il termine deve essere “ragionevole”.
Hai bisogno di aiuto?