L'informativa sulla privacy ex art. 13 GDPR

L’informativa sulla privacy e il modo in cui devono essere informati i consumatori su come sono trattati i propri dati personali in conformità con la legge

 

Cos’è l’informativa sulla privacy

Ogni qualvolta accediamo ad un sito web o ci iscriviamo ad una nuova piattaforma[1], spesso ci viene chiesto di dichiarare di aver letto ed approvato Privacy Policy e Termini e Condizioni di utilizzo. Ma di cosa si tratta? Entrambi i documenti costituiscono degli accordi giuridicamente vincolanti, tuttavia:

• Il documento “Termini e Condizioni” è volto a tutelare il titolare del sito web o App a cui accediamo ed è il documento con cui quest’ultimo può definire le condizioni di utilizzo del proprio servizio, serve quindi a tutelare la proprietà intellettuale, ad evitare abusi all’interno del sito/App, a definire diritti ed obblighi nei confronti degli utenti;
• L’informativa sulla privacy è richiesta per legge, nello specifico dal GDPR, ed è volto a tutelare gli utenti che, tramite tale documento, vengono informati sul modo in cui sono trattati i loro dati personali in conformità con la legge.

 

In particolar modo, l’informativa sulla privacy o privacy policy è disciplinata dall’art. 13 GDPR “Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”.

Nello specifico il GDPR (“General Data Protection Regulation”), è il Regolamento europeo n. 2016/679, entrato in vigore il 24 maggio 2016, ma si è iniziato ad attuare solo a partire dal 25 maggio 2018[2]. Tale regolamento ha l’obiettivo di chiarire in che modo i dati personali devono essere raccolti, utilizzati e condivisi per poter garantire una maggiore protezione dei dati e delle informazioni personali dei cittadini europei.

Ma quando è dovuta l’informativa sulla privacy? Essa è sempre dovuta ogni volta vi sia un trattamento di dati, a meno che non si tratti di dati anonimi o dati di enti o persone giuridiche (i cui dati non sono soggetti alla tutela prevista dal regolamento europeo) o comunque di dati raccolti per attività a carattere esclusivamente personale.

Il titolare del trattamento dati ha l’obbligo di fornire ad ogni utente, prima ancora che diventi interessato, ovvero prima ancora che inizi il trattamento dei suoi dati, una comunicazione denominata appunto informativa sulla privacy che ha lo scopo di fornire le informazioni richieste dal GDPR sulla maniera in cui opera il titolare stesso, in particolar modo quali dati vengono raccolti, quali sono le basi giuridiche e le finalità del trattamento e quali sono i diritti e obblighi degli interessati.

 

I principi generali alla base della protezione dei dati

L’informativa sulla privacy è dovuta agli utenti nel rispetto dei sei principi che sono alla base della protezione dei dati personali e che sono individuati all’art. 5 del GDPR:

• Principio di liceità, trasparenza e correttezza: tramite l’informativa viene garantito il diritto individuale di ogni utente ad essere informato in maniera chiara e trasparente su come vengono trattati i suoi dati raccolti;
• Principio di limitazione della finalità: all’interno dell’informativa devono essere espressamente indicati quali sono gli scopi per cui si raccolgono e conservano i dati di ogni utente; pertanto, il trattamento di tali dati potrà avvenire solo in maniera compatibile ai fini esplicitamente indicati nell’informativa;
• Principio di minimizzazione dei dati: il titolare del trattamento può elaborare solo le categorie di dati personali espressamente indicati nell’informativa e strettamente necessarie al raggiungimento delle finalità per i quali sono trattati;
• Principio di esattezza: i dati trattati devono essere sempre accurati e aggiornati e nel caso di inesattezza devono essere tempestivamente cancellati o rettificati;
• Principio di limitazione della conservazione: i dati raccolti devono essere conservati unicamente nell’arco di tempo necessario al conseguimento delle finalità per i quali sono trattati;
• Principio di integrità e riservatezza: i dati personali di ogni utente devono essere trattati in modo da garantirne un’adeguata protezione e sicurezza;
• Principio di accountability o di responsabilizzazione del titolare: tramite l’informativa il titolare del trattamento dati ha l’obbligo di rendere conto agli utenti del proprio operato.

 

Contenuto e modalità dell’informativa privacy

L’art. 13 del GDPR individua il contenuto minimo che deve essere presente all’interno dell’informativa.

In primo luogo, devono essere indicati i dati identificativi (nome o denominazione e domicilio o sede) del titolare del trattamento e i dati di contatto del DPO, ovvero il Data Protection Officer che è la figura responsabile per la protezione dei dati degli utenti.

È inoltre obbligatorio indicare quali sono esattamente le categorie di dati trattati, quali sono le finalità del trattamento (mentre non è necessario specificare quali sono le modalità del trattamento stesso) e quale è il periodo di conservazione dei dati.

Fondamentale è specificare quale sia la base giuridica del trattamento ai sensi dell’art. 6 del GDPR; infatti, la raccolta e l’utilizzo dei dati personali possono essere:

• Basati sul consenso dell’interessato, in questo caso l’informativa sulla privacy non è solo dovuta in base al principio di trasparenza e correttezza, ma ha anche lo scopo di permettere che l’interessato possa dare validamente il proprio consenso ed è quindi condizione di legittimità del trattamento stesso;
• Giustificati dall’adempimento di obblighi contrattuali e/o obblighi di leggi ai quali è soggetto il titolare del trattamento;
• Necessari per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
• Fondati su interessi legittimi del titolare, i quali devono essere espressamente indicati all’interessato;
• Essenziali per l’esecuzione di un’attività di pubblico interesse.

 

Tra le informazioni necessarie da indicare all’interno dell’informativa sulla privacy vi è anche l’individuazione dei soggetti destinatari ai quali i dati possono essere comunicati e questa indicazione non può essere mai generica, ma tali soggetti terzi devono sempre essere specificatamente individuati.

Inoltre, all’interno dell’informativa deve essere precisato se il conferimento dei dati ha natura obbligatoria o facoltativa e quali sono le conseguenze di un eventuale rifiuto al trattamento e se il titolare ha intenzione di attuare un trasferimento transfrontaliero di dati, ovvero di salvare e utilizzare i dati in paesi extra-UE.

In aggiunta, è doveroso elencare quali sono i diritti dell’interessato, deve infatti essere garantito ad ogni utente il diritto di accesso ai propri dati personali e di ottenere la rettifica o la cancellazione dei dati stessi, ogni interessato ha il diritto di chiedere una limitazione del trattamento dati o di opporsi ad esso, può in ogni momento revocare il proprio consenso ed ha la facoltà di presentare reclamo all’autorità di controllo.

Infatti, in caso di violazione in materia di informazione agli utenti, l’autorità di controllo può procedere con un’indagine e può eventualmente sanzionare il titolare anche con il blocco di tutti i dati raccolti ed elaborati in violazione delle norme, inoltre, gli utenti possono avviare un’azione per chiedere il risarcimento danni contro il titolare del trattamento.

Infine, per quanto riguarda le modalità con cui deve essere resa l’informativa sulla privacy, quest’ultima deve avere forma concisa, deve essere chiara, facilmente accessibile ed intellegibile per l’interessato nel rispetto del principio di trasparenza. Inoltre, l’informativa deve essere resa per iscritto o con altri mezzi che siano comunque idonei a comprovare l’esistenza dell’informativa stessa e a consentire alle autorità di vigilanza di verificarne completezza e correttezza.