EntiOnLine
Categorie
indietro
29/11/2017 Trasparenza: Informazioni da fornire all'interessato - articoli 13 e 14

Trasparenza: Informazioni da fornire all'interessato - articoli 13 e 14

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

17/IT
WP260 rev.01

Linee guida sulla trasparenza ai sensi del regolamento 2016/679

Adottate il 29 novembre 2017

Versione emendata adottata l’11 aprile 2018

IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, visti gli articoli 29 e 30 della stessa, visto il suo regolamento interno, HA ADOTTATO LE PRESENTI LINEE GUIDA:

Il Gruppo di lavoro e' stato istituito in virtu' dell’articolo 29 della direttiva 95/46/CE. E' l’organo consultivo indipendente dell’UE per la protezione dei dati personali e della vita privata. I suoi compiti sono fissati all’articolo 30 della direttiva 95/46/CE e all’articolo 15 della direttiva 2002/58/CE.

Le funzioni di segreteria sono espletate dalla direzione C (Diritti fondamentali e Stato di diritto) della direzione generale Giustizia, Commissione europea, B-1049 Bruxelles, Belgio, ufficio MO-59 02/013.

... (omissis) ...

Informazioni da fornire all’interessato – articoli 13 e 14

Contenuto

23. Il regolamento elenca le categorie d’informazioni che devono essere fornite all’interessato relativamente al trattamento dei dati personali che lo riguardano, quando i dati personali sono raccolti presso l’interessato (articolo 13) od ottenuti da altra fonte (articolo 14). La tabella allegata alle presenti linee guida sintetizza le categorie d’informazioni da fornire ai sensi degli articoli 13 e 14, tenendo altresi' conto della natura, della portata e del contenuto degli obblighi in questione. Per chiarezza, il Gruppo reputa che non vi sia differenza tra lo stato delle informazioni che devono essere fornite ai sensi dei paragrafi 1 e 2 dell’articolo 13 o, rispettivamente, dell’articolo 14. Tutte le informazioni previste in detti paragrafi sono di uguale importanza e devono essere fornite all’interessato.

“Misure appropriate”

  1. Oltre al contenuto, sono importanti anche la forma e il modo in cui dovrebbero essere fornite le informazioni richieste dagli articoli 13 e 14. Spesso il documento contenente dette informazioni e' chiamato informativa sulla protezione dei dati, informativa sulla privacy, privacy policy, dichiarazione sulla privacy o informativa sul trattamento dei dati personali. Il regolamento non contiene prescrizioni circa il formato o la modalita' con cui tali informazioni dovrebbero essere fornite all’interessato, ma precisa che spetta al titolare del trattamento adottare “misure appropriate” per fornire le informazioni necessarie a fini di trasparenza. Cio' significa che il titolare del trattamento dovrebbe prendere una decisione sulla modalita' e sulla forma appropriate per fornire le informazioni tenendo conto di tutte le circostanze della raccolta e del trattamento dei dati. In particolare, le misure appropriate dovranno essere valutate alla luce dell’esperienza dell’utente con il prodotto/servizio, vale a dire tenendo conto del dispositivo utilizzato (se applicabile), della natura delle interfacce utente/interazioni con il titolare del trattamento (il cosiddetto “percorso utente”) e delle limitazioni che tali fattori implicano. Come osservato al paragrafo 17, il Gruppo raccomanda che, se il titolare del trattamento ha una presenza online, sia predisposta una dichiarazione/informativa sulla privacy stratificata online.

  2. Come ausilio per individuare la modalita' piu' appropriata per fornire le informazioni, sarebbe utile che, prima dell’attivazione, il titolare del trattamento sperimentasse diversi metodi mediante test sugli utenti (ad es. test di Hall o altri test standardizzati della leggibilita' o accessibilita') per sondare gli utenti sull’accessibilita', comprensibilita' e facilita' d’uso della misura (si vedano anche gli ulteriori commenti sopra riportati, al paragrafo 9, su altri meccanismi per condurre test sugli utenti). Documentare questo approccio dovrebbe peraltro aiutare il titolare del trattamento negli obblighi di responsabilizzazione, dimostrando come lo strumento/l’approccio scelto per trasmettere le informazioni sia quello piu' appropriato nel caso specifico.

    Tempistiche per la fornitura delle informazioni

  3. Gli articoli 13 e 14 stabiliscono quali informazioni devono essere fornite all’interessato nella fase iniziale del ciclo del trattamento. L’articolo 13 si applica al caso in cui i dati sono raccolti presso l’interessato. Sono compresi i dati personali che:

  • l’interessato fornisce consapevolmente al titolare del trattamento (ad es. quando compila un modulo online) oppure
  • il titolare del trattamento raccoglie presso l’interessato mediante osservazione (ad es. utilizzando dispositivi o software per catturare dati in modo automatizzato quali telecamere, apparecchiature di rete, tracciamento Wi-Fi, sensori RFID o di altro tipo).

L’articolo 14 trova applicazione qualora i dati personali non siano stati ottenuti presso l’interessato. Sono compresi i dati personali che il titolare del trattamento ha ottenuto da altre fonti quali:

  • titolari del trattamento terzi;

  • fonti pubblicamente disponibili;

  • intermediari di dati;

  • altri interessati.

  1. Per quanto riguarda la tempistica della fornitura di queste informazioni, la tempestivita' eÌ� un elemento di fondamentale importanza dell’obbligo di trasparenza e dell’obbligo di trattare i dati in maniera corretta. Qualora trovi applicazione l’articolo 13, ai sensi del suo paragrafo 1 le informazioni devono essere fornite “nel momento in cui i dati personali sono ottenuti”. Nel caso di dati personali ottenuti indirettamente ai sensi dell’articolo 14, le tempistiche entro cui le informazioni devono essere fornite all’interessato sono stabilite al medesimo articolo, paragrafo 3, lettere da a) a c), come segue:

    • il requisito generale e' che le informazioni siano fornite entro “un termine ragionevole” dall’ottenimento dei dati personali e non piu' tardi di un mese, “in considerazione delle specifiche circostanze in cui i dati personali sono trattati” (articolo 14, paragrafo 3, lettera a));

    • il limite generale di un mese di cui all’articolo 14, paragrafo 3, lettera a), puo' essere ulteriormente accorciato ai sensi dell’articolo 14, paragrafo 3, lettera b)31, il quale prevede la situazione in cui i dati sono destinati alla comunicazione con l’interessato. In tal caso, le informazioni devono essere fornite al piu' tardi al momento della prima comunicazione con l’interessato. Se la prima comunicazione si verifica prima del limite di un mese dall’ottenimento dei dati personali, le informazioni devono essere fornite al piu' tardi al momento della prima comunicazione con l’interessato, nonostante non sia trascorso un mese dal momento dell’ottenimento dei dati. Se la prima comunicazione con l’interessato si verifica piu' di un mese dopo l’ottenimento dei dati personali, l’articolo 14, paragrafo 3, lettera a), continua a trovare applicazione; le informazioni di cui all’articolo 14 devono quindi essere fornite all’interessato al piu' tardi entro un mese dal loro ottenimento;

  • il limite generale di un mese di cui all’articolo 14, paragrafo 3, lettera a), puo' anche essere accorciato ai sensi dell’articolo 14, paragrafo 3, lettera c), il quale prevede la situazione in cui i dati sono comunicati a un altro destinatario (che si tratti o meno di un terzo). In tal caso, le informazioni devono essere fornite al piu' tardi al momento della prima comunicazione. Se la comunicazione si verifica prima del limite di un mese, le informazioni devono essere fornite al piu' tardi al momento della prima comunicazione, nonostante non sia trascorso un mese dal momento dell’ottenimento dei dati. Analogamente alla situazione dell’articolo 14, paragrafo 3, lettera b), se la comunicazione dei dati personali si verifica piu' di un mese dopo il loro ottenimento, l’articolo 14, paragrafo 3, lettera a), continua a trovare applicazione; le informazioni di cui all’articolo 14 devono quindi essere fornite all’interessato al piu' tardi entro un mese dal loro ottenimento.

28. Il limite massimo di tempo entro il quale le informazioni di cui all’articolo 14 devono essere fornite all’interessato e' in ogni caso di un mese. Tuttavia, i principi di correttezza e responsabilizzazione di cui al regolamento impongono al titolare del trattamento di decidere il momento in cui fornire le informazioni di cui all’articolo 14 considerando sempre le ragionevoli aspettative degli interessati e l’effetto che il trattamento potrebbe avere sugli stessi e sulla loro capacita' di esercitare i diritti di cui godono in relazione al trattamento. Il principio della responsabilizzazione impone al titolare del trattamento di dimostrare la motivazione alla base della decisione assunta e di giustificare la scelta del momento in cui fornire le informazioni. In pratica, puo' essere difficile adempiere tali obblighi quando si forniscono informazioni all’“ultimo momento”. A tale proposito, il considerando 39 precisa, tra l’altro, che le persone interessate dovrebbero essere “sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonche' alle modalita' di esercizio dei loro diritti relativi a tale trattamento”. Il considerando 60 fa anch’esso riferimento al fatto che, nel contesto dei principi di trattamento corretto e trasparente, l’interessato dev’essere informato dell’esistenza del trattamento e delle sue finalita'. Per tutti questi motivi, la posizione del Gruppo e' che, conformemente al principio di correttezza, il titolare del trattamento dovrebbe ove possibile fornire le informazioni all’interessato con largo anticipo rispetto ai limiti di tempo previsti. I paragrafi 30, 31 e 48 riportano ulteriori considerazioni sull’adeguatezza del periodo che intercorre tra la comunicazione del trattamento agli interessati e il momento in cui il trattamento avviene.

Modifiche delle informazioni di cui agli articoli 13 e 14

29. La responsabilizzazione con riferimento alla trasparenza si applica non solo al momento della raccolta dei dati personali ma nell’intero ciclo di vita del trattamento, a prescindere dal fatto che le informazioni o le comunicazioni siano trasmesse. E' questo il caso, ad esempio, quando si modificano i contenuti di dichiarazioni/informative sulla privacy esistenti. Il titolare del trattamento dovrebbe attenersi agli stessi principi quando comunica la dichiarazione/informativa sulla privacy iniziale e quando comunica le modifiche materiali o sostanziali della stessa. I fattori di cui il titolare del trattamento dovrebbe tenere conto nel valutare che cosa si intenda per modifica materiale o sostanziale includono l’impatto sugli interessati (inclusa la loro capacita' di esercitare i diritti di cui godono) e il carattere inatteso/sorprendente della modifica per gli stessi. Le modifiche della dichiarazione/informativa sulla privacy che dovrebbero essere sempre comunicate agli interessati comprendono la modifica della finalita' del trattamento, la modifica dell’identita' del titolare del trattamento e la modifica del modo in cui gli interessati possono esercitare i diritti di cui godono in relazione al trattamento. Per contro, la modifica di una dichiarazione/informativa sulla privacy che il Gruppo non ritiene essere materiale o sostanziale e', ad esempio, la correzione di un refuso o di un’imprecisione sintattica/grammaticale. Dal momento che la maggior parte dei clienti o utenti si limita a dare una rapida occhiata alle comunicazioni relative alle modifiche della dichiarazione/informativa sulla privacy, il titolare del cambiamento dovrebbe adottare tutte le misure necessarie per garantire che tali modifiche siano comunicate in modo tale da essere effettivamente notate dalla maggior parte dei destinatari. Cio' significa, ad esempio, che la modifica dovrebbe essere sempre comunicata in una modalita' appropriata (ad es. e- mail, lettera scritta, finestra pop-up su una pagina Internet o altro modo che attiri efficacemente l’attenzione dell’interessato) specificamente dedicata alla modifica (ad es. non assieme a contenuti di commercializzazione diretta); inoltre, la comunicazione dovrebbe soddisfare i requisiti di cui all’articolo 12 di una forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. I riferimenti contenuti nella dichiarazione/informativa sulla privacy secondo cui l’interessato dovrebbe regolarmente controllarla per verificare la presenza di modifiche o aggiornamenti sono considerati non solo insufficienti, ma anche non corretti nel contesto dell’articolo 5, paragrafo 1, lettera a). Ulteriori orientamenti sulla tempistica per la comunicazione delle modifiche agli interessati figurano ai paragrafi 30 e 31.

Tempistica della comunicazione delle modifiche delle informazioni di cui agli articoli 13 e 14

  1. Il regolamento non si esprime sui requisiti temporali (ne' sui metodi) che si applicano alla comunicazione delle modifiche delle informazioni precedentemente fornite all’interessato ai sensi dell’articolo 13 o 14 (escludendo un’ulteriore finalita' prevista per il trattamento, nel qual caso, conformemente all’articolo 13, paragrafo 3, e all’articolo 14, paragrafo 4, le corrispondenti informazioni devono essere comunicate prima di iniziare l’ulteriore trattamento - si veda il paragrafo 45). Tuttavia, come sopra evidenziato nel contesto della tempistica per la fornitura d’informazioni di cui all’articolo 14, il titolare del trattamento deve tenere nuovamente conto dei principi di correttezza e responsabilizzazione, in termini di ragionevoli aspettative dell’interessato o di potenziale impatto della modifica sullo stesso. Se la modifica apportata alle informazioni e' indicativa di un cambiamento fondamentale della natura del trattamento (ad es. ampliamento delle categorie di destinatari o introduzione di trasferimenti a un paese terzo) o di un cambiamento che, senza essere necessariamente fondamentale in termini di trattamento, puo' avere rilevanza e impatto sull’interessato, le informazioni in tal senso dovrebbero essere fornite all’interessato con largo anticipo sull’effettiva efficacia della modifica e il metodo utilizzato per segnalare la modifica all’interessato dovrebbe essere esplicito ed efficace. L’obiettivo e' che l’interessato non si “perda” la modifica e che disponga di un termine ragionevole per a) valutare la natura e l’impatto della modifica e b) esercitare i diritti di cui gode in virtu' del regolamento in relazione alla modifica stessa (ad es., revoca del consenso od opposizione al trattamento).

  2. Il titolare del trattamento dovrebbe valutare con attenzione le circostanze e il contesto di ogni situazione qualora si renda necessario un aggiornamento delle informazioni finalizzate alla trasparenza, considerando tra l’altro il potenziale impatto delle modifiche sull’interessato e la modalita' utilizzata per comunicarle, ed essere in grado di dimostrare che il periodo intercorso tra la comunicazione delle modifiche e la loro efficacia rispetta il principio di correttezza nei confronti dell’interessato. Inoltre, la posizione del Gruppo e' che, coerentemente con il principio di correttezza, nel comunicare le modifiche agli interessati il titolare del trattamento debba anche spiegare quale sara' il probabile impatto su di essi. In ogni caso, la conformita' ai requisiti di trasparenza non “sdogana” la situazione in cui le modifiche apportate al trattamento sono a tal punto rilevanti da snaturarlo. Il Gruppo sottolinea che tutte le altre norme del regolamento, incluse quelle relative all’ulteriore trattamento incompatibile, continuano a trovare applicazione a prescindere dalla conformita' agli obblighi di trasparenza.

  3. Anche quando le informazioni finalizzate alla trasparenza (ad es. contenute in una dichiarazione/informativa sulla privacy) non cambiano sostanzialmente, e' probabile che gli interessati che utilizzano un servizio da molto tempo non rammentino le informazioni loro fornite all’inizio a norma dell’articolo 13 e/o 14. Il Gruppo raccomanda al titolare del trattamento di agevolare agli interessati un facile accesso continuativo alle informazioni, cos' che possano riacquisire familiarita' con la portata del trattamento dei dati. Secondo il principio di responsabilizzazione, il titolare del trattamento dovrebbe valutare anche se, e a quali intervalli, sia appropriato inviare un promemoria esplicito agli interessati riguardo alla dichiarazione/informativa sulla privacy e al luogo in cui trovarla.

Modalita' e formato della fornitura delle informazioni

  1. Gli articoli 13 e 14 si riferiscono entrambi all’obbligo del titolare del trattamento, il quale “fornisce all’interessato [...] le seguenti informazioni...”. Il termine operativo e' qui “fornisce”. Cio' significa che il titolare del trattamento deve attivarsi per fornire le informazioni in questione all’interessato o per indirizzarlo verso il punto in cui si trovano (ad es. mediante link diretto, utilizzo di un codice QR, ecc.). L’interessato non dev’essere costretto a cercare le informazioni contemplate in questi articoli tra le altre, come ad esempio fra le condizioni generali d’uso di un sito Internet o un’app. L’esempio riportato al paragrafo 11 illustra il punto. Come precisato al paragrafo 17, il Gruppo raccomanda che tutte le informazioni rivolte agli interessati siano messe a loro disposizione in un unico luogo o in un unico documento completo (ad es., in formato digitale su un sito Internet o su supporto cartaceo) cui si possa accedere facilmente per consultarle nella loro interezza.

  2. Nel regolamento e' insita una tensione tra, da un lato, l’obbligo di fornire agli interessati le necessarie informazioni complete e, dall’altro, l’obbligo di fornirle in una forma concisa, trasparente, intelligibile e facilmente accessibile. Tenuto conto dei principi fondamentali di responsabilizzazione e correttezza, il titolare del trattamento deve procedere quindi ad una propria analisi della natura, delle circostanze, della portata e del contesto del trattamento dei dati personali svolto e decidere, nell’ambito degli obblighi giuridici imposti dal regolamento e tenendo conto delle raccomandazioni contenute nelle presenti linee guida, in particolare al paragrafo 36, quale priorita' assegnare alle informazioni da fornire agli interessati e quali livelli di dettaglio e metodi siano appropriati per trasmetterle.

    Stratificazione in ambiente digitale e dichiarazioni/informative sulla privacy stratificate

  3. Alla luce della quantita' d’informazioni da fornire all’interessato, in ambiente digitale il titolare del trattamento puo' seguire un approccio stratificato, optando per una combinazione di metodi al fine di assicurare la trasparenza. Per evitare un subissamento informativo, il Gruppo raccomanda in particolare l’impiego di dichiarazioni/informative sulla privacy stratificate per collegare le varie categorie d’informazioni da fornire all’interessato, piuttosto che l’inserimento di tutte le informazioni in un’unica informativa sulla schermata. L’approccio stratificato puo' aiutare a superare la tensione tra completezza e comprensione, nello specifico consentendo agli utenti di muoversi direttamente verso la sezione della dichiarazione/informativa che vogliono leggere. Va notato che le dichiarazioni/informative sulla privacy non sono mere pagine annidiate in altre che richiedono diversi clic per arrivare all’informazione voluta: il design e il layout del primo strato della dichiarazione/informativa sulla privacy dovrebbe essere tale da offrire all’interessato una panoramica chiara delle informazioni a sua disposizione sul trattamento dei dati personali e del luogo e del modo in cui puo' trovarle fra i diversi strati. Un altro aspetto importante e' la coerenza delle informazioni sia fra i diversi strati di una siffatta informativa sia all’interno di ogni singolo strato.

  4. Con riferimento al contenuto della prima modalita' utilizzata dal titolare del trattamento per informare gli interessati in un approccio stratificato (in altre parole, il metodo principale con cui il titolare si rivolge all’interessato) o al contenuto del primo strato della dichiarazione/informativa sulla privacy stratificata, il Gruppo raccomanda che il primo strato/la prima modalita' comprenda i dettagli delle finalita' del trattamento, l’identita' del titolare e una descrizione dei diritti dell’interessato (le informazioni dovrebbero inoltre essere portate direttamente all’attenzione dell’interessato nel momento della raccolta dei dati personali, vale a dire visualizzate quando l’interessato compila il modulo online). L’importanza di fornire tali informazioni in anticipo deriva in particolare dal considerando 39. Mentre i titolari del trattamento devono essere in grado di dar prova di responsabilizzazione per quanto concerne le ulteriori informazioni cui decidono di assegnare priorita', la posizione del Gruppo e' che, in linea con il principio di correttezza, oltre alle informazioni indicate nel presente paragrafo il primo strato/la prima modalita' debba contenere anche quelle relative al trattamento che ha il maggiore impatto sull’interessato e al trattamento che potrebbe coglierlo di sorpresa. Pertanto, l’interessato dovrebbe essere in grado di comprendere dalle informazioni contenute nel primo strato/nella prima modalita' quali saranno per lui le conseguenze del trattamento (si veda anche il paragrafo 10).

  5. In ambiente digitale, al di la' della dichiarazione/informativa sulla privacy stratificata online il titolare del trattamento potrebbe anche scegliere di utilizzare altri strumenti di trasparenza (si vedano gli esempi sotto riportati) che forniscano all’interessato informazioni ad hoc specifiche per la sua situazione e per i beni/servizi di cui si avvale. Va tuttavia osservato che, mentre il Gruppo raccomanda l’utilizzo di dichiarazioni/informative sulla privacy stratificate online, la raccomandazione non esclude lo sviluppo e l’impiego di altri metodi innovativi di conformita' agli obblighi di trasparenza.

    Approccio stratificato in ambiente non digitale

  6. Un approccio stratificato alla fornitura all’interessato delle informazioni finalizzate alla trasparenza e' possibile anche in ambiente offline/non digitale (ad esempio nel mondo reale, come nella comunicazione telefonica o con presenza fisica degli interlocutori), nel quale il titolare del trattamento puo' scegliere fra varie modalita' per facilitare la fornitura delle informazioni (si vedano anche i paragrafi da 33 a 37, 39 e 40 relativamente alle diverse modalita' di fornire le informazioni). Quest’approccio non dev’essere confuso con la questione distinta delle dichiarazioni/informative sulla privacy stratificate. Quale che sia il formato utilizzato in quest’approccio stratificato, il Gruppo raccomanda che il primo “strato” (in altre parole, la modalita' principale con cui il titolare del trattamento si rivolge inizialmente all’interessato) trasmetta di regola le informazioni piu' importanti (come indicato al paragrafo 36), vale a dire le finalita' del trattamento, l’identita' del titolare e una descrizione dei diritti dell’interessato, oltre a informazioni sull’impatto piu' consistente del trattamento o informazioni sul trattamento che potrebbe cogliere di sorpresa l’interessato. Ad esempio, se il primo contatto con l’interessato avviene telefonicamente, le informazioni potrebbero essere fornite durante la chiamata e, all’insegna del bilanciamento delle informazioni richieste agli articoli 13 e 14, potrebbero essere comunicate con un ulteriore mezzo diverso, ad esempio inviando all’interessato una copia dell’informativa sulla privacy via e-mail e/o un link alla dichiarazione/informativa sulla privacy stratificata online del titolare del trattamento.

Notifiche “push” e “pull”

39. Un altro possibile modo per fornire informazioni finalizzate alla trasparenza e' attraverso l’uso di notifiche “push” e “pull”. Le notifiche “push” implicano la fornitura di messaggi “just in time”, mentre quelle “pull” facilitano l’accesso alle informazioni con metodi quali la gestione dei permessi, dashboard per la privacy e tutorial per saperne di piu'. L’interessato puo' cosi' fruire di un’esperienza maggiormente incentrata sull’utente.

  • Una dashboard per la privacy e' un punto unico dal quale l’interessato puo' visualizzare le “informazioni sulla privacy” e gestire le proprie preferenze permettendo o impedendo al servizio in questione determinati usi dei dati che lo riguardano. E' particolarmente utile quando l’interessato usa lo stesso servizio su diversi dispositivi, perche' da' accesso ai dati personali e la possibilita' di controllarli a prescindere dall’uso fatto del servizio. Il fatto che l’interessato possa modificare manualmente le impostazioni sulla privacy tramite un’apposita dashboard puo' inoltre facilitare la personalizzazione della dichiarazione/informativa sulla privacy, che sara' in grado di rispecchiare solo i tipi di trattamento che si verificano per quel particolare interessato. E' preferibile incorporare una dashboard per la privacy nell’architettura preesistente di un servizio (ad es. con lo stesso design e branding del resto), perche' questo favorira' l’intuitivita' dell’accesso e dell’uso e potra' contribuire a incoraggiare gli utenti a servirsi di queste informazioni, esattamente come farebbero con altre componenti del servizio. Puo' essere un modo efficace di dimostrare che le “informazioni sulla privacy” costituiscono un elemento necessario e parte integrante di un servizio anziche' un lungo elenco di termini legalistici.
  • La notifica just-in-time e' utilizzata per fornire “informazioni sulla privacy” specifiche in maniera ad hoc, vale a dire come e quando e' piu' importante per l’interessato leggerle. Questo metodo e' utile per fornire informazioni in vari momenti del processo di raccolta dei dati, favorisce una fornitura delle informazioni a blocchi assorbibili facilmente e riduce l’affidamento su un’unica dichiarazione/informativa sulla privacy piena d’informazioni difficilmente comprensibili fuori contesto. Ad esempio, se l’interessato acquista un prodotto online, possono essere fornite brevi informazioni esplicative in pop-up che accompagnano le pertinenti sezioni del testo. Accanto al campo che chiede il numero di telefono dell’interessato, le informazioni potrebbero ad esempio spiegare che il dato e' raccolto soltanto per disporre di un contatto con riferimento all’acquisto e che sara' comunicato solo agli addetti del servizio di consegna.

Altri tipi di “misure appropriate”

  1. Considerato il livello molto elevato di accesso a Internet nell’UE e il fatto che gli interessati possono collegarsi online in qualsiasi momento, da molteplici luoghi e da diversi dispositivi (come illustrato sopra), il Gruppo ritiene che, nel caso dei titolari del trattamento che hanno una presenza digitale/online, una “misura appropriata” per fornire informazioni finalizzate alla trasparenza e' fornirle mediante una dichiarazione/informativa sulla privacy elettronica. In funzione delle circostanze della raccolta e del trattamento dei dati, il titolare del trattamento potrebbe tuttavia dover far uso di altre modalita' e forme in aggiunta a detto metodo (o in alternativa ad esso, se non ha una presenza digitale/online). Altri modi possibili per trasmettere le informazioni all’interessato in funzione dei diversi ambienti dei dati personali possono includere le modalita' di seguito elencate, applicabili al rispettivo ambiente. Come precedentemente osservato, il titolare del trattamento puo' adottare un approccio stratificato optando per una combinazione di tali metodi e garantendo al contempo che le informazioni piu' importanti (si vedano i paragrafi 36 e 38) siano sempre trasmesse nella prima modalita' usata per comunicare con l’interessato.

    1. Ambiente cartaceo, ad esempio quando si stipulano contratti per via postale: spiegazioni scritte, opuscoli, informazioni contenute nella documentazione contrattuale, vignette, infografica o diagrammi.

    2. Ambiente telefonico: spiegazioni orali date da una persona in carne e ossa, per consentire l’interazione e risposte alle domande, oppure informazioni automatiche o preregistrate con opzioni per ascoltare altre informazioni piu' dettagliate.

    3. Tecnologia smart senza schermo/ambiente IoT come analisi del tracciamento Wi-Fi: icone, codici QR, notifiche vocali, dettagli scritti incorporati in istruzioni di set-up cartacee, video incorporati in istruzioni di set-up digitali, informazioni scritte sul dispositivo smart, messaggi inviati via SMS o e-mail, pannelli visibili contenenti informazioni, segnaletica o campagne pubbliche d’informazione.

    4. Ambiente interpersonale, come la risposta a sondaggi di opinione, la registrazione di persona per un servizio: spiegazioni orali o scritte fornite in forma cartacea o digitale.

    5. Ambiente di “vita reale” con registrazione CCTV/ tramite drone: pannelli visibili contenenti informazioni, segnaletica pubblica, campagne pubbliche d’informazione o avvisi sui giornali/media.

    Informazioni sulla profilazione e sul processo decisionale automatizzato

  2. Nelle informazioni obbligatorie da fornire all’interessato ai sensi dell’articolo 13, paragrafo 2, lettera f), e dell’articolo 14, paragrafo 2, lettera g), rientrano le informazioni sull’esistenza di un processo decisionale automatizzato, comprensivo della profilazione, quale previsto all’articolo 22, paragrafi 1 e 4, unitamente a informazioni pregnanti sulla logica applicata e le conseguenze rilevanti che si prevede il trattamento avra' per l’interessato. Il Gruppo ha elaborato linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione, cui si dovrebbe fare riferimento per un ulteriore orientamento sul modo in cui attuare la trasparenza nelle particolari circostanze della profilazione. Va notato che, a parte gli specifici obblighi di trasparenza applicabili al processo decisionale automatizzato di cui all’articolo 13, paragrafo 2, lettera f), e all’articolo 14, paragrafo 2, lettera g), le considerazioni contenute nelle presenti linee guida relativamente all’importanza d’informare gli interessati delle conseguenze del trattamento dei dati personali che li riguardano e il principio generale secondo cui questo trattamento non dovrebbe cogliere di sorpresa l’interessato si applicano parimenti alla profilazione in generale (non solo a quella descritta all’articolo 22) in quanto tipologia di trattamento.

Altre questioni – rischi, norme e garanzie

  1. Il considerando 39 del regolamento fa riferimento alla fornitura di determinate informazioni non esplicitamente trattate dagli articoli 13 e 14 (si veda il testo del considerando riportato al paragrafo 28). Il riferimento alla sensibilizzazione degli interessati ai rischi, alle norme e alle garanzie relativi al trattamento dei dati personali e' connesso a varie altre questioni, che includono le valutazioni d’impatto sulla protezione dei dati. Come stabilito nelle linee guida del Gruppo in materia di valutazione d’impatto sulla protezione dei dati, benche' non esista un obbligo in tal senso il titolare del trattamento puo' vagliare l’ipotesi di pubblicare la valutazione d’impatto sulla protezione dei dati (o una sua parte) come modo per iniettare fiducia nei trattamenti effettuati e dar prova di responsabilizzazione e trasparenza. Per dar prova di trasparenza puo' inoltre risultare utile il rispetto di un codice di condotta (previsto all’articolo 40), dal momento che e' possibile predisporre codici di condotta allo scopo di specificare alcuni aspetti dell’applicazione del regolamento, quali trattamento corretto e trasparente, informazioni fornite al pubblico e agli interessati e informazioni fornite ai minori e tutela degli stessi.

  2. Un altro aspetto rilevante riguardo alla trasparenza e' la protezione dei dati fin dalla progettazione e la protezione per impostazione predefinita (previste all’articolo 25). Questi principi impongono al titolare di integrare le considerazioni sulla protezione dei dati nelle operazioni e nei sistemi di trattamento fin dalla fase iniziale, anziche' considerare la protezione dei dati una questione di conformita' di cui occuparsi all’ultimo minuto. Il considerando 78 si riferisce ai titolari del trattamento che attuano misure che soddisfano i requisiti della protezione dei dati fin dalla progettazione e per impostazione predefinita, tra cui misure di trasparenza con riferimento alle funzioni e al trattamento dei dati personali.

44. La questione distinta dei contitolari del trattamento e' anch’essa connessa alla sensibilizzazione degli interessati ai rischi, alle norme e alle garanzie. L ’articolo 26, paragrafo 1, impone ai contitolari di determinare le rispettive responsabilita' di ciascuno in merito all’osservanza degli obblighi derivanti dal regolamento in maniera trasparente, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14. L’articolo 26, paragrafo 2, prescrive che il contenuto essenziale dell’accordo tra i titolari del trattamento debba essere messo a disposizione dell’interessato. In altre parole, dev’essere completamente chiaro all’interessato a quale titolare debba rivolgersi qualora intenda esercitare uno o piu' dei diritti che gli spettano ai sensi del regolamento.

Fonte: Garante per la Protezione dei dati - Linee guida sulla trasparenza ai sensi del regolamento 2016/679

LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227

Banca dati