Sul finire di aprile 2017 il Garante per la protezione dei dati personali (aka Garante privacy) ha opportunamente messo in rete (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6302257) una prima Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali.
“Opportunamente” perché, nella selva selvaggia delle interpretazioni, illazioni, asperrime critiche e pensose perplessità sul nuovo Regolamento UE sulla data protection (Regolamento n. 679/2016 alias GDPR- General Data Protection Regulation) si può finalmente iniziare a fare i conti con una posizione autorevole.
Posizione che, si noti bene, è espressamente “soggetta a integrazioni e modifiche alla luce dell’evoluzione della riflessione a livello nazionale ed europeo” ma che comunque “intende offrire un panorama delle principali problematiche che imprese e soggetti pubblici dovranno tenere presenti in vista della piena applicazione del Regolamento”, prevista –come ormai molti sanno, e come anche qui abbiamo ricordato- per il 25 maggio 2018.
Lo scopo della Guida è, dunque, di fornire -attraverso raccomandazioni specifiche- “alcune azioni che possono essere intraprese sin d’ora perché fondate su disposizioni precise del Regolamento che non lasciano spazi a interventi del legislatore nazionale”.
Sono, inoltre, “segnalate alcune delle principali novità introdotte dal Regolamento rispetto alle quali sono suggeriti possibili approcci in modo da arrivare all’appuntamento del 25 maggio 2018 con le idee più chiare.”
La Guida è suddivisa in paragrafi tematici: ecco alcuni passaggi salienti (con ovvio rinvio al testo integrale, per chiunque volesse approfondire…).
Oggi vedremo insieme come dovrà essere acquisito il consenso privacy e come dovrà essere resa l’informativa all’interessato a norma del GDPR.
LA FORMA DEL CONSENSO AL TRATTAMENTO
Ribadito che i fondamenti di liceità del trattamento sono indicati all’art. 6 del Regolamento e coincidono, in linea di massima, con quelli previsti attualmente dal Codice (es: consenso, adempimento obblighi contrattuali, interessi vitali della persona interessata o di terzi, obblighi di legge cui è soggetto il titolare, interesse pubblico o esercizio di pubblici poteri, interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati), il Garante si concentra sul consenso ed in particolare sul consenso per il trattamento dei dati “sensibili” (che, ad onor del vero, il nuovo Regolamento indica sub “categorie particolari di dati personali”; cfr. art. 9, peraltro citato proprio dallo stesso Garante…).
Ora, il consenso al trattamento di tali dati deve essere “esplicito“; non deve però essere necessariamente “documentato per iscritto”, né è richiesta la “forma scritta” (tali essendo, come si ricorderà, nell’attuale “Codice privacy” italiano le due uniche forme lecite di consenso). Ovviamente la forma “scritta” o “documentata per iscritto” è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito”.
Il titolare deve in ogni caso essere in grado di dimostrare che l’interessato ha prestato il consenso a uno specifico trattamento.
Si intravede, pertanto, l’opportunità di valorizzare più la sostanza che la forma del consenso, superando finalmente –si spera!- una certa … rigidità imposta, oggi, dalle norme vigenti.
Quanto ai minori, il loro consenso è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
I CONSENSI GIA’ RACCOLTI PRIMA DEL 25 MAGGIO 2018
Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate.
In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il Regolamento, se si vuole continuare a fare ricorso a tale base giuridica.
In particolare, occorre verificare che la richiesta di consenso sia chiaramente distinguibile da altre richieste o dichiarazioni rivolte all’interessato, per esempio all’interno di modulistica. Prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali.
UN FONDAMENTO DI LICEITA’ DEL TRATTAMENTO DIVERSO DAL CONSENSO: L’INTERESSE LEGITTIMO PREVALENTE DI UN TITOLARE O DI UN TERZO
Una notevole novità introdotta dal nuovo Regolamento riguarda il cd. “balance of interests” ossia il bilanciamento fra legittimo interesse del titolare o del terzo e diritti e libertà dell’interessato.
Tale balance, a tutt’oggi di stretta competenza delle Autorità Garanti, dal 25 maggio 2018, spetterà invece (solo) al titolare del trattamento; si tratta di una delle principali espressioni del principio di “responsabilizzazione” introdotto dal nuovo pacchetto protezione dati (cd. accountability).
L’INFORMATIVA PRIVACY
Il Garante si concentra, poi, su uno dei “classici” adempimenti privacy: l’informativa, introdotta fin dalle primissime norme in materia e successivamente sempre ribadita (pur con qualche ritocco e/o distinguo) nelle disposizioni succedutesi nel tempo.
CONTENUTI DELL’INFORMATIVA
I contenuti dell’informativa –ricorda l’Autorità- sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento e in parte sono più ampi rispetto al Codice privacy. In particolare, il titolare deve sempre:
- specificare i dati di contatto del DPO (cioè il Data Protection Officer, nuova figura introdotta proprio dal GDPR) ove esistente
- dettagliare la la base giuridica del trattamento e, nel caso, chiarire qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento
- precisare se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti
- specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione
- informare sul diritto di presentare un reclamo all’autorità di controllo.
- Indicare se il trattamento comporta processi decisionali automatizzati (anche la profilazione), altresì illustrando, in tal caso, la logica di tali processi decisionali e le conseguenze previste per l’interessato.
Il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.
TEMPI DELL’INFORMATIVA
In caso di raccolta dei dati presso l’interessato, l’informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati.
Nel caso di dati personali non raccolti direttamente presso l’interessato (es: conferiti da terzi) l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (NON della registrazione) dei dati (a terzi o all’interessato).
Sul punto, in modo forse più chiaro, il Regolamento (art. 14) dispone che, in caso di dati personali non raccolti presso l’interessato, l’informativa debba essere resa:
– nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato; oppure
– nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.
MODALITÀ DELL’INFORMATIVA
La Guida del Garante sottolinea il fatto che “il Regolamento specifica molto più in dettaglio” rispetto al Codice privacy “le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee
L’informativa è data:
- in linea di principio, per iscritto e preferibilmente in formato elettronico;
- sono però ammessi “altri mezzi“, quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche già dette;
- anche mediante “icone” (di prossima definizione), utili per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (art. 12, paragrafo 7);
Anche in questo caso, il principio di accountability impone che, a differenza del regime attuale, spetti al titolare, in caso di dati personali raccolti da fonti diverse dall’interessato, valutare autonomamente se la prestazione dell’informativa agli interessati comporti uno sforzo sproporzionato.