GDPR Regole e protezione – l’informativa sulla privacy Needfile Team 06/07/2024

GDPR Regole e protezione – l’informativa sulla privacy

Proseguiamo nell’analisi del GDPR con il secondo argomento della serie e questa volta affrontiamo l’informativa sulla privacy.

L’articolo 12 del regolamento la definisce come una dichiarazione o un documento legale attraverso il quale un’azienda o servizio digitale raccoglie, gestisce ed elabora i dati dei propri clienti e visitatori.
Più precisamente il titolare (soggetto giuridico che gestisce i dati) deve fornire agli interessati le informazioni richieste dalle norme in base alle finalità del trattamento con cui il titolare stesso si pone.
Trattandosi di una comunicazione rivolta all’interessato (soggetto giuridico proprietario dei dati trattati dal titolare) l’informativa serve a rendere edotta una qualsiasi persona sulle finalità e le modalità dei trattamenti operati dal titolare prima che diventi un interessato, quindi prima che i suoi dati vengano trattati oppure nel momento in cui si inizia a raccogliere i dati dell’interessato.

Si rispetta il diritto dell’interessato ad essere informato.

Il titolare è obbligato ad assicurare e a garantire nei fatti la trasparenza e la conformità del trattamento fin dalla sua progettazione e nel corso dello stesso dimostrandone la sua correttezza in qualsiasi momento secondo il principio, detto di accountability, con il quale viene definito il principio di responsabilizzazione del titolare del trattamento. Tramite l’informativa l’interessato rende valido il proprio consenso dato al titolare purchè quest’ultimo lo richieda ai sensi della base giuridica del trattamento; in questo modo viene legittimato il trattamento stesso.

E’ necessario, tuttavia, distinguere il caso in cui i dati sono raccolti direttamente dall’interessato da quello in cui questi vengono acquisiti da terzi. L’informativa deve essere messa a disposizione all’interessato dal titolare entro un termine che non deve superare un mese dalla raccolta dei dati; in alternativa deve essere già disponibile nel momento in cui si comunicano i dati a terzi.

Nel caso del curriculum vitae, qualora venga inviato di propria iniziativa dal candidato, l’informativa deve essere resa disponibile al candidato fin dal primo contatto utile come già, tra l’altro, stabiliva l’art. 111-bis del D.Lgs 196/2003, ovvero la convocazione per il colloquio nel caso qui proposto. Secondo gli articoli 13 e 14 del GDPR l’informativa deve tassativamente riportare i seguenti contenuti:

  • le categorie a cui appartengono i dati trattati e le finalità del trattamento, non le modalità;
  • se i dati trattati verranno trasferiti all’estero e, se si, è necessario indicare gli strumenti necessari a tale migrazione;
  • la base giuridica del trattamento, ovvero se il trattamento è basato sul consenso dell’interessato oppure è giustificato da leggi o dal legittimo interesse;
  • la definizione obbligatoria oppure facoltativa del conferimento dei dati riportando anche le conseguenze di un eventuale rifiuto di accettazione dell’informativa. E’ necessario specificare i trattamenti a cui l’interessato può rifiutarsi come quelli a fini di marketing diretto;
  • se il titolare intende utilizzare i dati con propositi diversi da quelli per i quali si richiedono;
  • i destinatari ai quali i dati si possono comunicare e l’ambito all’interno del quale questi vengono diffusi;
  • se il titolare intende trasferire dati in paesi che non sono dell’Eurozona purché garantiscano un grado di protezione in linea rispetto agli standard stabiliti dalla Commissione UE;
  • il periodo di conservazione dei dati;
  • i diritti dell’interessato tra cui l’accesso ai dati personali, l’ottenimento di una rettifica o cancellazione degli stessi e la possibilità di ottenere una limitazione sul trattamento applicato sui suoi dati, di non accettare alcun trattamento, di revocarne il consenso, di richiedere un reclamo all’autorità di controllo e un eventuale diritto alla portabilità;
  • i dati identificativi (nome, denominazione o ragione sociale nel caso d’impresa, domicilio o sede) del titolare del trattamento e i dati di contatto, quindi non il nome ma un recapito, del responsabile per la protezione dei dati (il DPO o Data Protection Officer) qualora questo venga designato;
  • eventuali processi decisionali automatizzati come la profilazione insieme alla logica con cui sono stati stabiliti e le conseguenze che possono avere sull’interessato.

Nell’informativa bisogna indicare anche i cookie che impiega il sito, il modo con cui è possibile disabilitarli e, con cookie di terze parti, il link alle pagine delle privacy policy relative ai servizi forniti dalle terze parti. L’informativa dei cookie è una sezione di quella privacy e non è un documento a sé stante; ciò significa che può essere una pagina diversa da quella dell’informativa privacy con quest’ultima che deve richiamare quella cookie.

Ogni informativa deve essere concisa e comprensibile per l’interessato, soprattutto se minorenne.

In questo caso si usano immagini o icone conformi a quanto stabilito dalla UE. L’informativa può essere scritta o distribuita per via digitale tramite posta elettronica. Qualora lo richieda l’interessato l’informativa può essere orale, anche se viene preferita una forma scritta che ne confermi l’esistenza per le autorità di vigilanza.

 

Esiste anche il caso in cui il titolare non è obbligato a proporre l’informativa nel caso in cui i dati da sottoporre a trattamento siano anonimi oppure relativi ad enti o persone giuridiche dal momento che, per questi ultimi, il regolamento non prevede la loro tutela. A questa eccezione appartiene anche la persona fisica che svolge il trattamento dei dati per attività di tipo personale e domestico.
In generale possiamo riassumere nei seguenti punti i casi in cui non esiste l’obbligo di presentazione dell’informativa:

  • si dispongono già le informazioni di un interessato perchè ha già sottoscritto l’informativa nel momento in cui ha accettato il servizio offerto;
  • ci sono problemi nel comunicare le informazioni dell’interessato o richiederebbe un dispendio sproporzionato di risorse;
  • l’ottenimento o la comunicazione risultano già previsti dal diritto dell’Unione Europea o di un suo stato membro all’interno del quale è soggetto il titolare;
  • ogni dato personale rimane personale causa segreto professionale il quale viene disciplinato dal diritto della stessa UE e dei suoi stati membri;

Anche il Garante privacy italiano ha ribadito la non obbligatorietà dell’informativa quando:

  • i dati devono essere trattati secondo un obbligo previsto da legge, regolamento o normativa comunitaria;
  • il trattamento dei dati è necessario per lo svolgimento di indagini investigative da parte delle autorità preposte, stando all’articolo 38 delle norme di attuazione del codice di procedura penale (c.p.p.). Tale deroga viene estesa nel caso in cui si debba difendere un diritto in sede giudiziaria purchè questo non si protragga oltre il tempo necessario. In tale caso l’informativa diventa obbligatoria.

Sempre il Garante per la privacy italiano ha inoltre emanato alcuni provvedimenti che consentono l’esenzione dall’obbligo di informativa, ovvero:

  • nel caso in cui servano strumenti evidentemente sproporzionati;
  • per il trattamento dei dati usati nello svolgimento di un’attività d’impresa.

Un’informativa mancante o non conforme al GDPR può comportare un’indagine da parte dell’autorità di controllo con possibile blocco dei dati raccolti e trattati dal titolare del trattamento.

Altri articoli con approfondimenti dedicati al GDPR:

> GDPR Regole e protezione – La liceità del tracciamento

 

Post Views: 868
Needfile Team

Gruppo di lavoro del team di Needfile uniti per la stesura di articoli.

All author posts
YOU MAY ALSO LIKE Related Posts
Write a comment
Your email address will not be published. Required fields are marked *

Questo sito è protetto da reCAPTCHA, ed è soggetto alla Privacy Policy e ai Termini di utilizzo di Google.