L’informativa privacy: cos’è e quali sono gli errori da evitare?

Il Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, più noto come GDPR, ha trovato applicazione lo scorso 25 maggio e, ormai, chiunque, e soprattutto chi si occupa di Privacy, ha ricevuto numerosissime informative sul trattamento dei dati personali.

L’informativa sul trattamento dei dati personali e il suo contenuto essenziale

L’informativa sul trattamento dei dati personali è il documento con il quale il titolare del trattamento, in forma scritta o orale, informa il soggetto interessato circa le finalità e le modalità del trattamento medesimo.

Indubbiamente rappresenta lo strumento atto a legittimare e a rendere trasparente la raccolta e l’utilizzo di dati personali.

I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13 e 14 del Regolamento.

L’informativa deve necessariamente indicare:

–     l’identità e dati di contatto del titolare e, ove applicabile, del suo rappresentante;

–     i dati di contatto del responsabile della protezione dei dati, ove applicabile;

–     e finalità del trattamento e la base giuridica dello stesso;

–     gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

–     ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale;

–     qualora il trattamento si basi sul legittimo interesse del titolare, quale interesse è perseguito dal titolare o da terzi.

In aggiunta, per garantire un trattamento corretto e trasparente, il titolare può anche indicare ulteriori informazioni indicate al paragrafo 2 dell’articolo 13, quali, a titolo esemplificativo ma non esaustivo, il periodo di conservazione dei dati personali, l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali, la rettifica o la cancellazione degli stessi, la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento nonché il diritto di proporre reclamo a un’autorità di controllo.

Alcuni errori da evitare assolutamente

Per descrivere il primo errore è doveroso, innanzitutto, partire dalla definizione di dato personale del Regolamento. A differenza del vecchio Codice italiano in materia di dati personali[1] in cui per dato personale si intendeva “qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione”, ai sensi del GDPR per dato personale si intende “qualsiasi informazione riguardante una persona fisicaidentificata o identificabile (interessato)”[2]. E’, pertanto, mutato l’ambito di applicazione soggettivo.

In base a tale definizione risulta subito evidente che le informative scambiate tra società commerciali non rientrano nell’ambito di applicazione del GDPR.

Eppure, sono tantissime le informative che iniziano con “Spettabile azienda”, “Spettabile fornitore” o, ancora, “Gentilissimo cliente”. Documenti di 2-3 pagine che informano la società che i dati ricevuti durante il rapporto contrattuale (ragione sociale, partita iva, fatture ecc.) verranno trattati per finalità amministrative, contabili e fiscali. Tutto evidentemente escluso dalla disciplina del GDPR.

Altrettante informative terminavano con la richiesta di una firma per presa visione e accettazione. È assolutamente errato chiedere la restituzione delle informative con la sottoscrizione del destinatario. Questa prassi è priva di qualsiasi fondamento giuridico dato che l’art. 12 stabilisce che “il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14″[3]. Il titolare del trattamento deve, appunto, fornire le informazioni e non dimostrare che l’interessato le abbia lette e accettate.

Passiamo ora alla definizione di titolare del trattamento dei dati personali. Per titolare del trattamento si intende “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”[4]. Attenzione però: “il riferimento alla persona fisica, che compare nella suddetta definizione, non riguarda coloro che amministrano o rappresentano la persona giuridica, la pubblica amministrazione o l’ente, ma concerne gli individui che effettuano un trattamento di dati a titolo personale (ad esempio il libero professionista, il piccolo imprenditore), e che assumono individualmente la piena responsabilità di un’attività. In altre parole, qualora il trattamento sia effettuato nell’ambito di una persona giuridica, di una pubblica amministrazione o di un altro organismo, il “titolare” è l’entità nel suo complesso (ad esempio la società X, il ministero o l’ente pubblico) anziché taluna delle persone fisiche che operano nella relativa struttura e che concorrono, in concreto, ad esprimerne la volontà all’esterno (ad esempio l’amministratore delegato o il legale rappresentante)”[5].

Questa distinzione non è, però, chiara alle tantissime società che hanno predisposto l’informativa indicando quale titolare del trattamento il sig. nome – cognome, in qualità di amministratore unico/legale rappresentante della società X s.p.a./s.r.l. con sede in via Y.

L’ultimo caso e forse anche il più esilarante di tutti, riguarda una società nel settore dell’industria metalmeccanica che ha inserito all’interno dell’informativa sul trattamento dei dati personali la richiesta del consenso al trattamento dei dati personali particolari e giudiziari. È vero che, ai sensi degli artt. 9 e 10 del Regolamento è lecito trattare dati personali particolari[6] e giudiziari solo previo consenso esplicito dell’interessato, ma è ancora più importante che, secondo il principio di minimizzazione dei dati, non vi è alcuna ragione affinché una società con quell’oggetto sociale tratti i dati sulla salute e sulle condanne penali dei dipendenti di una società fornitrice. Ragione, infatti, non rintracciabile tra le finalità del trattamento previste nell’informativa. In aggiunta, dato che il consenso deve essere esplicito e specifico per una o più finalità[7], questo andrebbe chiesto, come stabilito dall’art. 13, subito prima dell’evento o della situazione specifica per cui è necessario trattare il dato particolare o giudiziario. L’articolo 13 infatti stabilisce che il titolare fornisce all’interessato le informazioni, elencate nell’articolo stesso, nel momento in cui i dati personali sono ottenuti.

Tanti, tantissimi strafalcioni dovuti alla non curanza e alla totale assenza di sensibilità nei confronti di un tema che è, invece, delicatissimo e attualissimo, grazie alle note vicende di Facebook e Google Analitycs e, appunto, all’applicabilità diretta del Regolamento UE 2016/679 dal 25 maggio, e che rappresenta un diritto fondamentale dell’uomo.

Insomma, l’approccio al GDPR deve mutare profondamente: il GDPR non è solo un obbligo legale o un adempimento burocratico noioso, il GDPR è un’opportunità per le aziende.La conformità totale al Regolamento privacy rende molto più attraente un’azienda e per questo riceverà, molto probabilmente, incarichi da un numero maggiore di clienti, a discapito dei competitors non compliant.

Infatti, ai sensi dell’art. 28 del Regolamento il titolare del trattamento “ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato” e risponde anche dei responsabili dei responsabili (sub-responsabili). Da ciò risulta impensabile che un titolare si possa avvalere dei servizi di una società non curante delle prescrizioni del Regolamento sulla protezione dei dati personali, rischiando ingenti sanzioni[8] che possono arrivare fino al 4% del fatturato annuo globale.

[1]Articolo 4, comma 1, lettera b) del Decreto Legislativo 30 giugno 2003, n. 196, pubblicato nella Gazzetta Ufficiale n. 174 del 29 luglio 2003 – Supplemento Ordinario n. 123, disponibile qui: http://www.camera.it/parlam/leggi/deleghe/03196dl.htm

[2]L’articolo 4, numero 1), in forma completa, recita: “per dato personale si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”.

[3]L’articolo 12, in forma completa, recita: “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato”.

[4]L’articolo 4, numero 7, in forma completa, recita: per titolare del trattamento si intende “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”. Regolamento Generale sulla Protezione dei Dati Personali, disponibile qui: https://www.garanteprivacy.it/il-testo-del-regolamento

[5]Correzione effettuata dal Garante della Protezione dei Dati Personali intervenendo sulla Circolare n. 291/S del 13 novembre 1997 del Ministero delle Finanze, disponibile qui:

[6]L’articolo 9 del Regolamento UE 2016/679 stabilisce che sono dati particolari i dati personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche: si configurano quali dati particolari anche i dati genetici, biometrici intesi a qualificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

[7]art. 9, comma 2, lettera a) del Regolamento UE 2016/679.

[8]Simone Cedrola, La disciplina delle sanzioni previste dal GDPR, marzo 2018, disponibile qui: https://www.iusinitinere.it/disciplina-sanzioni-previste-dal-gdpr-8445