Il Regolamento UE 2016/679, relativo meglio noto come GDPR, ha trovato applicazione lo scorso 25 maggio e, ormai, a distanza da un anno dalla sua entrata in vigore, chiunque ha sicuramente ricevuto o ha avuto modo di imbattersi con delle informative sul trattamento dei dati personali.

Ma cos’è un’informativa privacy?

Il GDPR prevede che, in base alla finalità del trattamento, il titolare del trattamento debba fornire agli interessati, prima del trattamento, le informazioni richieste dalle norme (art. 12). Ciò avviene tramite l’informativa.

Essa pertanto rappresenta il documento con il quale il titolare del trattamento, in forma scritta o orale, informa il soggetto interessato circa le finalità e le modalità del trattamento medesimo. Ovvero rappresenta lo strumento atto a legittimare e a rendere trasparente la raccolta e l’utilizzo di dati personali.

E’ una condizione, non tanto del rispetto del diritto individuale ad essere informato, quanto del dovere del titolare del trattamento di garantire la lealtà del trattamento.

L’informativa ha anche lo scopo di permettere che l’interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento. In questo caso l’informativa non è solo dovuta in base al principio di trasparenza e correttezza, ma è anche una condizione di legittimità del consenso.

Cosa deve contenere un’informativa?

Le informazioni minime che deve contenere un’informativa sono elencati negli art.13 e 14 del GDPR, in particolare:

  • l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  • i dati di contatto del responsabile della protezione dei dati, ove applicabile;
  • le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
  • qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  • gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  • ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
  • il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  • qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  • il diritto di proporre reclamo a un’autorità di controllo;
  • se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Ulteriori requisiti

Oltre ai contenuti suddetti, un’informativa idonea deve inoltre essere concisa, trasparente, intellegibile per l’interessato e facilmente accessibile (Considerando 39). Deve avere in un linguaggio chiaro e semplice. E’ data in linea di principio per iscritto e preferibilmente in formato elettronico, formo restando che sono ammessi altri mezzi compresa la forma orale.

L’informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati o, se questi non sono raccolti direttamente presso l’interessato, deve comprendere anche le categorie dei dati  personali oggetto di trattamento.

Una violazione in materia di informazione agli utenti può avere come conseguenza l’indagine da parte dell’autorità di controllo, la quale può imporre delle sanzioni e anche il blocco di tutti i dati raccolti ed elaborati in violazione delle norme.

Inoltre, gli utenti possono avviare un’azione per il risarcimento dei danni contro il titolare del trattamento.