Il Regolamento UE 679/2016 (GDPR) impone a tutti gli operatori di riesaminare, quanto prima possibile, il modello di informativa attualmente in uso perché, dal 25 maggio 2018, il GDPR prevede una serie di cambiamenti a tale documento, alcuni dei quali molto importanti ed indifferibili.
Cosa cambia, esattamente, dal 25 maggio 2018?
Cerchiamo di fare sinteticamente il punto, anche alla luce delle prime indicazioni offerte dal nostro Garante Privacy.
Il GDPR ribadisce, in primo luogo, in linea di continuità con il passato, che l’informativa deve essere concisa, trasparente, intelligibile, facilmente accessibile e deve usare un linguaggio semplice e chiaro.
L’informativa può essere rilasciata all’interessato anche in formato elettronico (art. 12), che è da preferirsi al formato cartaceo anche se questa seconda modalità, comunque, rimane un’alternativa valida e consentita.
Indipendentemente dal mezzo (tradizionale o elettronico) scelto per fornire l’informativa, è fondamentale che il titolare del trattamento possa sempre dimostrare di aver fornito l’informativa all’interessato: tale prova, infatti, non potrà essere data tramite indici presuntivi (quali, ad esempio, comportamenti concludenti del cliente incompatibili con la volontà di negare il consenso).
Ricordo, inoltre, che il GDPR richiede il consenso degli esercenti la potestà (quindi, di norma, il consenso dei genitori) per i minori di anni 16.
- Per quanto riguarda i cambiamenti rispetto al passato, ve ne sono di importanti e da non sottovalutare:
in caso di raccolta di dati sensibili e di attività di profilazione, il consenso deve essere esplicito; - il consenso raccolto ai fini privacy deve, inoltre, essere chiaramente distinguibile da altre dichiarazioni e/o richieste rivolte all’interessato: non si potranno, quindi, più cumulare, in un unico documento, svariate dichiarazioni di contenuto diverso per acquisire, con un unica firma, l’assenso dell’interessato su più aspetti del rapporto contrattuale (ad esempio, consenso privacy, dichiarazioni previste dalla normativa antiriciclaggio, informative sull’organizzazione interna dell’impresa e dei responsabili di determinate funzioni, etc.);
- quando è presente la figura del DPO (Data Privacy Officer) nell’informativa dovranno essere sempre indicati i suoi dati di contatto;
- l’impresa dovrà, inoltre, sempre specificare chiaramente la base giuridica del trattamento: questo aspetto è molto importante perché il Regolamento vieta di raccogliere dati personali in eccesso (c.d. principio di minimizzazione dei dati) rispetto alla finalità dichiarata. Pertanto, in caso di accertamenti da parte dell’Autority sulle modalità di trattamento, quanto verrà dichiarato dall’azienda su questo aspetto sarà rilevante nella valutazione di congruità e di correttezza del trattamento;
- dovrà, inoltre, essere specificato chiaramente il periodo di conservazione dei dati (che, secondo il GDPR, deve essere il più breve possibile), nonché il diritto dell’interessato di presentare reclamo all’autorità di controllo (cioè, al Garante);
- se, poi, è previsto il trasferimento di dati all’estero (sia in ambito UE sia in ambito Extra UE), dovrà essere sempre indicato con quale strumento avviene detto trasferimento e, in base all’art. 15 del GDPR, quali processi sono stati o saranno adottati a garanzia della sicurezza del trasferimento dei dati all’estero e della loro integrità presso i destinatari. Quest’ultimo profilo riveste particolare importanza sia sotto il profilo tecnico sia sotto quello contrattuale: infatti, per le aziende che utilizzano una significativa rete di fornitori/filiali in diversi Paesi, sarà vitale – soprattutto per evitare le sanzioni elevate previste dal Regolamento – inserire nei contratti con i terzi specifiche clausole per imporre ai destinatari dei dati adeguate ed opportune misure di sicurezza (policy, codici di autocondotta, certificazioni, etc.). La finalità è, ovviamente, quella di ottenere in tutti i Pesi UE un elevato standard di sicurezza, senza distinzioni in dipendenza del luogo dove i dati sono trattati. E’, quindi, importante riesaminare subito i contratti con terze parti alla luce di questo importante profilo, prevedendo, dove necessario, i relativi adeguamenti e imponendo alle vostre controparti contrattuali l’adozione di adeguate misure di protezione per evitare di incorrere nelle sanzioni previste dal Regolamento;
- se l’azienda attua la profilazione della clientela, oltre ad essere esplicitato nell’informativa questo tipo di trattamento, dovrà anche essere indicata la logica dei processi di profilazione (tale requisito è finalizzato, evidentemente, a poter eseguire un controllo ex post in ordine alla conformità tra quanto dichiarato dall’impresa e quanto effettivamente verificato dall’Autorità di controllo).
Le verifiche da compiere per adeguare il documento informativo da rilasciare all’interessato sono, quindi, molte e, in alcuni casi, complesse e dispendiose, anche in termini di tempo (per esempio, come visto, in caso di trasferimento di dati personali all’estero a molteplici soggetti).
E’, dunque, importante svolgere questa attività di adeguamento fin da ora per evitare di trovarsi impreparati alla scadenza del 25 maggio 2018.
Se avete domande, commenti o interventi che volete sottopormi sulla nuova disciplina dell’informativa privacy, non esitate a compilare il form qui in basso. Vi risponderò al più presto.