INFORMATIVA GDPR

INFORMATIVA GDPRINFORMATIVA GDPR

Come fare un’informativa GDPR corretta?

On line ormai sull’argomento si trova di tutto, la prova ne sono le migliaia di informative scritte nelle maniere più disparate, tralasciando quelle totalmente sbagliate, molte hanno però hanno il difetto di essere state scritte seguendo opinioni più che il dettato della normativa relativa all’informativa GDPR.

Prima passo da fare quando si deve applicare una norma nuova, ancora prima di correre su google e digitare “informativa privacy fac-simile” o modello informativa privacy”, è quello di trovare magari un contributo autorevole che dica quale siano le norme di riferimento e leggerle.

Riguardo all’informativa GDPR le norme di riferimento sono gli artt. da 12 a 14 del GDPR, dove l’art. 12 primo comma prescrive: “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato”.

Come si vede dall’art. 12 l’informativa GDPR serve per fornire le informazioni prescritte dagli art.13 e 14 di cui si dirà a breve, ed  il punto su cui personalmente si batte chi scrive il presente articolo è quello della scrittura in maniera concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare quando destinate ai minori. Questo cosa vuol dire? Che la maggior parte dei papiri che si trovano in giro sui siti o nelle informative consegnate brevi manu (manualmente) ai cittadini non sono a norma, detto in altre parole quelle “belle” informative GDPR di pagine e pagine zeppe di riferimento normativi dove a volte non viene riportato neanche la rubrica dell’articolo non sono a norma, mentre con riferimento a quelle che riportano informazioni ridondanti, ovvero in eccesso, qualora nel complesso rendano non facile o chiara né tantomeno intelligibile l’informativa GDPR anche queste dovranno essere tacciate come documenti non a norma.

Sul punto mi permetto di sottolineare ulteriormente la ratio di tutto ciò, ovvero che l’obbligo di chiarezza ed intelligibilità dell’informativa GDPR trae origine dalla necessità di aiutare il cittadino, l’uomo comune, compresi i soggetti meno istruiti, a comprendere i propri diritti, anzi possiamo dire che questo tipo di obblighi (obbligo informativo da una parte e corrispondente diritto ad averla dall’altra) esistono proprio per tutelare i soggetti deboli del rapporto, quindi una informativa GDPR che possa essere compresa solo da un avvocato manca totalmente il suo scopo, viola la ratio della norma, cioè informare la parte più debole del rapporto, in questo caso l’interessato.

Premesso ciò quindi che fare per scrivere una informativa GDPR  norma?

Come detto all’inizio questo articolo andando a leggere la norma di riferimento, ovvero gli artt. 13-14 si avrà la risposta, dove il primo dei due prescrive la lista obbligatoria di informazioni che l’informativa GDPR  deve contenere, quando i dati si raccolgono presso l’interessato, vediamola di seguito:

a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;

b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;

c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;

d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;

e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;

f)ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.

2.In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:

a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;

c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;

d) il diritto di proporre reclamo a un’autorità di controllo;

e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Questa è la lista da rispettare per scrivere un’informativa corretta, niente di più niente di meno, anche il troppo come detto sopra rischia di essere nemico della semplicità e chiarezza in merito alla quale si segnala la chiarezza dell’informativa Apple ad esempio, la quale grazie all’uso sapiente delle icone rende facilmente comprensibile i vari argomenti trattati dall’informativa GDPR.

Quanto invece all’articolo 14 riprende il contenuto suddetto però con riferimento alla raccolta dati effettuata non presso l’interessato, che detto in altre parole riguarda i casi di acquisto di database oppure dati inviati da altri soggetti, o ancora di database talmente vecchi di cui non si riesce a capire l’origine con esatta certezza (motivo per il quale il 25 maggio scorso il mondo è stato inondato da una marea di spam GDPR).

Riassumendo, la maniera migliore per scrivere una informativa GDPR a norma sotto tutti i punti di vista deve contenere tutte le informazioni indicati nella lista  sopra in maniera chiara, semplice ed intelligibile lasciando stare tecnicismi e virtuosismi giuridici che a volte sembrano più essere scritti con l’intento di compiacere chi la scrive (il consulente di turno) piuttosto che agevolare l’interessato nella comprensione  (obbligo di legge).

Se hai trovato interessante questo articolo metti like oppure condividilo sui social. Grazie!
Se hai bisogno di consulenza sull’argomento, scrivimi, sarò lieto di aiutarti.

 

GDPR – Il registro dei trattamenti

GDPR – IL REGISTRO DEI TRATTAMENTI
Il registro dei trattamenti istituto con il nuovo regolamento privacy ex art 30 GDPR è una delle più grandi novità previste dal testo della norma.
A tal proposito sono molte le domande e i dubbi delle imprese e degli enti riguardo alla sua redazione in maniera conforme al GDPR.

Cominciamo con il sottolineare che esistono due tipi di registro per il GDPR, quello del titolare del trattamento e quello del responsabile del trattamento, mentre con riferimento al soggetto obbligato alla sua tenuta l’ultimo paragrafo dell’art. 30 GDPR stabilisce che gli obblighi di cui ai primi due paragrafi (cioè obbligo alla tenuta del registro rispettivamente da parte del titolare e del responsabile), non si applicano alle imprese o organizzazioni con meno di 250 dipendenti.
Tuttavia, in seguito tale norma pone le seguenti eccezioni, ovvero che il registro è obbligatorio a meno che il trattamento:

i. possa presentare un rischio per i diritti e le libertà dell’interessato,
ii. non sia occasionale o
iii. includa il trattamento di categorie particolari di dati di cui all’articolo 9, paragrafo 1, o
iv. i dati personali relativi a condanne penali e a reati di cui all’articolo 10.

Detto in altre parole basta avere un dipendente che l’obbligo di tenuta di tenuto del registro dei trattamenti ricompare, difatti è sufficiente la presenza ad esempio dei certificati di malattia o infortuni per riconfigurare l’obbligo.
Quanto al soggetto tenuto a gestirlo sia il titolare che il responsabile qualora abbiano provveduto alla sua nomina possono affidare la gestione al DPO.
Quanto alla sua conformazione è un documento con un contenuto minimo indicato dal regolamento (art.30), tuttavia nulla impedisce, anzi è consigliato, provvedere ad arricchirlo con altre informazioni.
Ciò perché l’istituzione di un registro ben fatto può costituire non solo la dimostrazione di quell’accountability richiesta dal GDPR, ma costituisce un’ottima base per procedere alla redazione del documento di valutazione d’impatto sul trattamento dei dati (DPIA).
Difatti, qualora il registro venisse arricchito con tutte le informazioni relative ai trattamenti dati effettuati, procedere con la loro analisi ai fini della valutazione del rischio, risulterebbe molto più agevole.
Fatte le dovute considerazioni di carattere generale, vediamo il contenuto minimo che il registro del titolare (o quello de rappresentante ove applicabile) deve avere:
a)il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
b) le finalità del trattamento;
c) una descrizione delle categorie di interessati e delle categorie di dati personali;
d) le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
e) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
f) ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
g) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.
Mentre il contenuto minimo del registro del responsabile (o quello de rappresentante ove applicabile) deve prevedere:
a) il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
b) le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1.

Quanto agli strumenti da usare, oltre ai software più o meno validi presenti sul mercato, esistono delle utilità gratuite messe a disposizione da autorità garanti straniere oppure da varie associazioni.
A questo proposito si riporta come l’autorità belga abbia provveduto a pubblicare un modello che si sostanzia in un foglio Excel in cui incasellare, secondo i criteri di classificazione ritenuti più opportuni al caso dal titolare, i contenuti minimi obbligatori richiesti dalla norma.
Altra precisazione doverosa, il registro come detto è il primo strumento dì accountability, pertanto, in caso d’ispezione da parte dell’autorità competente (ad esempio in seguito a una segnalazione), sarà il primo documento che chiederà di visionare.
Sempre rimanendo nel campo dell’accountability si ritiene che questa non vada considerata solo come principio imposto dal legislatore europeo foriero di nuovi adempimenti e responsabilità ma possa essere, ribaltandone l’accezione negativa che certi soggetti al momento gli stanno attribuendo (l’ennesimo adempimento burocratico!) un vantaggio competitivo nei confronti dei concorrenti se sapientemente comunicato.
Salvatore Familiari

Benvenuti su DP4EU

Benvenuti su DP4EU

Il sito che che andrete a consultare mira a fornire informazioni e chiarimenti sul complesso mondo della data protection.

Perche DP4EU?

Con l’entrata in vigore del nuovo GDPR  è diventato evidente anche ai più scettici che la nuova dimensione della privacy è europea, non si può fare a meno che guardarla da un punto di vista internazionale, quindi non sarà più possibile creare de microcosmi normativi, la disciplina si svilupperà da ora in poi su base europea, lasciando agli stati nazionali solo alcuni aspetti (difesa, particolari categorie di dati, definizione interessi legittimi, etc..), però a parte ciò il grosso della discliplina e di best practice avrà un respiro europeo.

Tutto ciò non solo è il vantaggio perseguito dalla UE nell’emanare il Regolamento n. 679/2016, ma è un vantaggio per imprese e interpreti, infatti le prime se con proiezione europea non dovranno più confrontarsi con decine di discipline nazionali differenti, i secondi potranno usufruire delle esperienze degli altri paesi.

il blog è aperto a qualunque contributo costruttivo utile ad approfindire sia la materia della privacy, argomento del momento, sia delle nuove tecnologie (come Blockchain, Smart Contract, Intelligenza Artificiale, Smart Cities..).