GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

17/IT
WP260 rev.01

Linee guida sulla trasparenza ai sensi del regolamento 2016/679

Adottate il 29 novembre 2017

Versione emendata adottata l'11 aprile 2018

IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, visti gli articoli 29 e 30 della stessa, visto il suo regolamento interno, HA ADOTTATO LE PRESENTI LINEE GUIDA:

Il Gruppo di lavoro e' stato istituito in virtu' dell'articolo 29 della direttiva 95/46/CE. E' l'organo consultivo indipendente dell'UE per la protezione dei dati personali e della vita privata. I suoi compiti sono fissati all'articolo 30 della direttiva 95/46/CE e all'articolo 15 della direttiva 2002/58/CE.

Le funzioni di segreteria sono espletate dalla direzione C (Diritti fondamentali e Stato di diritto) della direzione generale Giustizia, Commissione europea, B-1049 Bruxelles, Belgio, ufficio MO-59 02/013.

... (omissis) ...

Eccezioni all’obbligo di fornire informazioni

Eccezioni all’articolo 13

56. La sola eccezione agli obblighi del titolare del trattamento di cui all’articolo 13, qualora abbia raccolto dati personali direttamente presso l’interessato, si ha “se e nella misura in cui l’interessato dispone gia' delle informazioni”. Il principio di responsabilizzazione impone al titolare del trattamento di dimostrare (e documentare) quali informazioni l’interessato possiede gia', come e quando le ha ricevute e l’assenza di modifiche delle informazioni tali da renderle obsolete. Inoltre, l’espressione “nella misura in cui” all’articolo 13, paragrafo 4, chiarisce che, anche se all’interessato sono state precedentemente fornite determinate categorie d’informazioni fra quelle previste all’articolo 13, sussiste comunque, in capo al titolare del trattamento, l’obbligo di integrarle per garantire che l’interessato disponga di un insieme completo delle informazioni elencate all’articolo 13, paragrafi 1 e 2. Segue un esempio di migliore prassi relativamente al modo restrittivo in cui andrebbe interpretata l’eccezione prevista all’articolo 13, paragrafo 4.

Esempio

Una persona sottoscrive un servizio di posta elettronica online e riceve tutte le informazioni richieste dall’articolo 13, paragrafi 1 e 2, al momento della sottoscrizione. Sei mesi dopo l’interessato attiva una funzione di messaggeria istantanea tramite il fornitore del servizio di posta elettronica e a tal fine comunica il proprio numero di cellulare. Il fornitore del servizio trasmette all’interessato alcune informazioni di cui all’articolo 13, paragrafi 1 e 2, riguardo al trattamento del numero di telefono (ad es. finalita' e base giuridica del trattamento, destinatari, periodo di conservazione), ma omette di fornirne altre di cui la persona e' gia' in possesso da 6 mesi e che da allora non sono cambiate (ad es. l’identita' e i dati di contatto del titolare e del responsabile della protezione dei dati, informazioni sui diritti dell’interessato e sul diritto di proporre reclamo all’autorita' di controllo competente). La migliore prassi richiede tuttavia che all’interessato sia nuovamente fornito il pacchetto completo d’informazioni, ma che sia in grado di individuare con facilita' le novita' rispetto al passato. Il nuovo trattamento per la finalita' del servizio di messaggeria istantanea potrebbe incidere sull’interessato a tal punto da indurlo a esercitare un diritto di cui potrebbe essersi dimenticato, avendo ricevuto le informazioni sei mesi prima. Fornire di nuovo tutte le informazioni contribuisce a garantire che l’interessato rimanga adeguatamente informato sul modo in cui sono utilizzati i dati che lo riguardano e sui diritti di cui gode.

Eccezioni all’articolo 14

57. Se i dati personali non sono stati ottenuti presso l’interessato, l’articolo 14 prevede una serie molto piu' ampia di eccezioni all’obbligo d’informazione incombente al titolare del trattamento. In linea generale, tali eccezioni dovrebbero essere interpretate e applicate restrittivamente. Oltre alle circostanze in cui l’interessato dispone gia' delle informazioni in questione (articolo 14, paragrafo 5, lettera a)), l’articolo 14, paragrafo 5, ammette le seguenti eccezioni:

• comunicare le informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato, in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, o renderebbe impossibile o pregiudicherebbe gravemente il conseguimento delle finalita' del trattamento;

• l’ottenimento o la comunicazione dei dati personali sono previsti dal diritto dell’Unione o dello Stato membro cui e' soggetto il titolare del trattamento e che prevede misure appropriate per tutelare i legittimi interessi dell’interessato;

• un obbligo di segreto professionale (incluso un obbligo di segretezza previsto per legge) disciplinato dal diritto dell’Unione o degli Stati membri implica che i dati personali devono rimanere riservati.

Impossibilita', sforzo sproporzionato e grave pregiudizio delle finalita'

58. L’articolo 14, paragrafo 5, lettera b), prevede tre situazioni distinte in cui e' fatta eccezione all’obbligo di fornire le informazioni di cui all’articolo 14, paragrafi 1, 2 e 4:

    1. (i) qualora cio' risulti impossibile (in particolare per il trattamento a fini di archiviazione, di ricerca scientifica o storica o a fini statistici);

    2. (ii) qualora implichi uno sforzo sproporzionato (in particolare per il trattamento a fini di archiviazione, di ricerca scientifica o storica o a fini statistici);

    3. (iii) qualora comunicare le informazioni richieste dall’articolo 14, paragrafo 1, rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalita' del trattamento.

    “Risulta impossibile”

59. La situazione in cui la comunicazione delle informazioni “risulta impossibile” ai sensi dell’articolo 14, paragrafo 5, lettera b), e' del tipo “bianco o nero”, perche' una certa cosa e' impossibile oppure non lo e': non esistono gradazioni di impossibilita'. Pertanto, se intende valersi dell’eccezione, il titolare del trattamento deve dimostrare i fattori che effettivamente gli impediscono di fornire le informazioni all’interessato. Se, trascorso un certo periodo di tempo, i fattori che hanno determinato l’“impossibilita'” svaniscono e la comunicazione delle informazioni all’interessato diventa possibile, il titolare del trattamento dovrebbe provvedervi immediatamente. In pratica, vi saranno pochissime situazioni in cui il titolare del trattamento potra' dimostrare l’effettiva impossibilita' di fornire le informazioni all’interessato; l’esempio seguente lo dimostra.

Esempio

L’interessato si registra per un servizio di abbonamento online con pagamento a posteriori. Dopo la registrazione, il titolare del trattamento raccoglie dati relativi alla solvibilita' dell’interessato da un’agenzia dedicata, al fine di decidere se fornire o no il servizio. Il protocollo del titolare del trattamento prevede che si informino gli interessati della raccolta di tali dati entro tre giorni, conformemente all’articolo 14, paragrafo 3, lettera a). Tuttavia, l’indirizzo e il numero di telefono dell’interessato non sono riportati nei pubblici registri (l’interessato vive all’estero). L’interessato non ha lasciato un indirizzo e-mail al momento della registrazione per il servizio o l’indirizzo e-mail fornito non e' valido. Il titolare del trattamento ritiene di non avere mezzi per contattare direttamente l’interessato. In questo caso, comunque, il titolare del trattamento potrebbe fornire informazioni circa la raccolta dei dati sulla solvibilita' sul proprio sito Internet, prima della registrazione. In tal modo non risulterebbe impossibile fornire le informazioni a norma dell’articolo 14.

Impossibilita' di specificare la fonte dei dati

60. Il considerando 61 afferma che “[q]ualora non sia possibile comunicare all’interessato l’origine dei dati personali, perche' sono state utilizzate varie fonti, dovrebbe essere fornita un’informazione di carattere generale”. L’esenzione dall’obbligo di fornire all’interessato informazioni sulla fonte dei dati personali che lo riguardano si applica solo se e' impossibile attribuire a una determinata fonte i diversi dati personali ottenuti. Ad esempio, il mero fatto che il titolare del trattamento abbia compilato una banca dati contenente i dati personali di diversi interessati utilizzando piu' di una fonte non e sufficiente per derogare all’obbligo se e' possibile (benche' laborioso e dispendioso in termini di tempo) individuare la fonte a cui sono stati attinti i dati personali dei singoli interessati. Dato l’obbligo della protezione dei dati fin dalla progettazione e per impostazione predefinita, i meccanismi di trasparenza dovrebbero essere integrati nei sistemi di trattamento sin dall’inizio, in maniera tale da poter rintracciare tutte le fonti dei dati personali ricevuti in un’organizzazione e da poter risalire ad esse in qualsiasi momento del ciclo di vita del trattamento (si veda il paragrafo 43).

    “Sforzo sproporzionato”

61. Ai sensi dell’articolo 14, paragrafo 5, lettera b), oltre alla situazione di “impossibilita'” puo' trovare applicazione lo “sforzo sproporzionato”, in particolare per il trattamento “a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all’articolo 89, paragrafo 1”. Anche il considerando 62 si riferisce a queste finalita' come a situazioni in cui informare l’interessato richiederebbe uno sforzo sproporzionato e afferma che, in tali casi, si dovrebbe tener conto del numero di interessati, dell’antichita' dei dati e delle eventuali garanzie adeguate in essere. Considerato il rilievo posto dal considerando 62 e dall’articolo 14, paragrafo 5, lettera b), sulle finalita' di archiviazione, di ricerca o statistiche, il Gruppo considera che, nell’ordinario, il titolare che non tratta dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non debba avvalersi di quest’esenzione. Il Gruppo sottolinea che, se queste sono le finalita' perseguite, occorre soddisfare le condizioni di cui all’articolo 89, paragrafo 1, e che la comunicazione delle informazioni deve costituire uno sforzo sproporzionato.

62. Nel determinare che cosa possa configurare un’impossibilita' o uno sforzo sproporzionato ai sensi dell’articolo 14, paragrafo 5, lettera b), e' interessante rilevare che esenzioni analoghe non sono previste all’articolo 13 (se i dati personali sono raccolti presso l’interessato). L’unica differenza tra la situazione di cui all’articolo 13 e quella di cui all’articolo 14 e' che, nella seconda, i dati personali non sono raccolti presso l’interessato. Ne consegue pertanto che l’impossibilita' o lo sforzo sproporzionato deriva tipicamente da circostanze che non si applicano se i dati personali sono raccolti presso l’interessato. In altre parole, l’impossibilita' o lo sforzo sproporzionato deve ricollegarsi direttamente al fatto che i dati personali sono stati ottenuti da fonte diversa dall’interessato.

Esempio

L’ospedale di una grande citta' chiede a tutti i pazienti che vi si recano per trattamenti in day-hospital, ricoveri di lunga durata o visite mediche di compilare un modulo di raccolta dati del paziente in cui occorre indicare gli estremi di due parenti stretti (gli interessati). Considerato l’enorme numero di pazienti che ogni giorno passano per l’ospedale, comunicare le informazioni di cui all’articolo 14 a tutte le persone elencate come parenti stretti sui moduli compilati dai pazienti richiederebbe uno sforzo sproporzionato da parte dell’ospedale.

63. I fattori richiamati nel considerando 62 (numero di interessati, antichita' dei dati ed eventuali garanzie adeguate in essere) possono essere indicativi dei tipi di questioni che contribuiscono a far si' che il titolare del trattamento debba compiere uno sforzo sproporzionato per comunicare all’interessato le informazioni di cui all’articolo 14.

Esempio

Alcuni storici conducono una ricerca intesa a ricostruire la genealogia in base ai cognomi; in tale contesto ottengono indirettamente una consistente serie di dati su 20 000 interessati. I dati sono tuttavia stati raccolti 50 anni prima, non sono piu' stati aggiornati da allora e non includono i dati di contatto. Considerata la mole di dati e, piu' particolarmente, l’antichita' degli stessi, rintracciare gli interessati a uno a uno per fornire loro le informazioni di cui all’articolo 14 richiederebbe uno sforzo sproporzionato da parte dei ricercatori.

64. Qualora intenda avvalersi dell’eccezione di cui all’articolo 14, paragrafo 5, lettera b), perche' la comunicazione delle informazioni implicherebbe uno sforzo sproporzionato, il titolare del trattamento dovrebbe effettuare una valutazione mettendo sulla bilancia, da un lato, lo sforzo che fornire le informazioni all’interessato gli implicherebbe e, dall’altro, l’impatto e gli effetti dell’omessa comunicazione sull’interessato. Il titolare del trattamento dovrebbe documentare tale valutazione conformemente agli obblighi di responsabilizzazione che gl’incombono. In siffatto caso, l’articolo 14, paragrafo 5, lettera b), precisa che il titolare deve adottare misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell’interessato. Cio' si applica parimenti se il titolare del trattamento stabilisce che la comunicazione delle informazioni risulta impossibile oppure puo' rendere impossibile o pregiudicare gravemente il conseguimento delle finalita' del trattamento. Come specificato all’articolo 14, paragrafo 5, lettera b), una delle misure appropriate che il titolare del trattamento deve adottare sempre e' rendere pubbliche le informazioni. Questo e' possibile in un certo numero di modi, ad esempio pubblicando le informazioni sul proprio sito Internet oppure pubblicizzandole proattivamente su un giornale o su manifesti nei propri locali. Le altre misure appropriate, oltre alla pubblicita' delle informazioni, dipenderanno dalle circostanze del trattamento, ma potranno includere l’effettuazione di una valutazione d’impatto sulla protezione dei dati, l’applicazione di tecniche di pseudonimizzazione dei dati, la minimizzazione dei dati raccolti e del periodo di conservazione e l’attuazione di misure tecniche e organizzative finalizzate a un livello elevato di sicurezza. Vi possono inoltre essere situazioni in cui il titolare tratta dati personali che non richiedono l’identificazione dell’interessato (ad esempio dati pseudonimizzati). In tali casi, puo' risultare pertinente anche l’articolo 11, paragrafo 1, dal momento che afferma che il titolare del trattamento non e' obbligato a conservare, acquisire o trattare ulteriori informazioni per identificare l’interessato al solo fine di rispettare il regolamento.

Grave pregiudizio delle finalita'

65. L’ultima situazione contemplata dall’articolo 14, paragrafo 5, lettera b), e' quella in cui la comunicazione all’interessato, da parte del titolare del trattamento, delle informazioni di cui all’articolo 14, paragrafo 1, potrebbe rendere impossibile o pregiudicare gravemente il conseguimento delle finalita' del trattamento. Per avvalersi di quest’eccezione, il titolare del trattamento deve dimostrare che basterebbe fornire le informazioni di cui all’articolo 14, paragrafo 1, per vanificare le finalita' del trattamento. Segnatamente, quest’aspetto dell’articolo 14, paragrafo 5, lettera b), puo' essere addotto presupponendo che il trattamento dei dati rispetti tutti i principi stabiliti all’articolo 5 e che, cosa ancor piu' importante, il trattamento dei dati personali sia corretto e abbia una base giuridica in tutte le circostanze.

Esempio

La normativa antiriciclaggio obbliga la banca A a segnalare alla competente autorita' di polizia economico-finanziaria le operazioni sospette relative ai conti detenuti presso di essa. La banca A riceve dalla banca B (di un altro Stato membro) l’informazione che un dato correntista ha disposto il trasferimento di una certa somma a un altro conto detenuto presso la banca A, il che appare sospetto. La banca A trasmette i dati relativi al correntista e alle operazioni sospette alla competente autorita' di polizia economico-finanziaria. Secondo la normativa antiriciclaggio in questione, commette reato la banca segnalatrice che, con una “soffiata”, avvisa il correntista del fatto che potrebbe essere sottoposto a indagini a norma di legge. In tale situazione, l’articolo 14, paragrafo 5, lettera b), trova applicazione, dal momento che fornire all’interessato (il correntista della banca A) le informazioni di cui all’articolo 14 sul trattamento dei dati personali che lo riguardano, ricevuti dalla banca B, pregiudicherebbe gravemente le finalita' della normativa, che include la prevenzione delle “soffiate”. Tuttavia, all’apertura di un conto la banca A dovrebbe fornire a tutti i correntisti informazioni generali che indichino che i dati che li riguardano potranno essere trattati per finalita' di antiriciclaggio.

Ottenimento o comunicazione d’informazioni espressamente previsti per legge

66. L’articolo 14, paragrafo 5, lettera c), ammette l’esenzione dagli obblighi d’informazione di cui all’articolo 14, paragrafi 1, 2 e 4, nella misura in cui l’ottenimento o la comunicazione dei dati personali “sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui e' soggetto il titolare del trattamento”. L’esenzione e' subordinata alla condizione che il diritto in questione preveda “misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell’interessato”. Il diritto in questione deve riguardare direttamente il titolare del trattamento, per il quale l’ottenimento o la comunicazione dovrebbero essere obbligatori. Di conseguenza, il titolare del trattamento dev’essere in grado di dimostrare che il diritto in questione trova applicazione nei suoi confronti e gli impone l’ottenimento o la comunicazione dei dati personali. Sebbene spetti al diritto dell’Unione europea o dello Stato membro inquadrare la normativa in maniera tale che preveda “misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell’interessato”, il titolare del trattamento dovrebbe garantire (ed essere in grado di dimostrare) di aver ottenuto o comunicato i dati personali in conformita' di tali misure. Salvo se la legge gli impedisce di agire in tal senso, il titolare del trattamento dovrebbe inoltre chiarire agli interessati che l’ottenimento o la comunicazione dei dati personali e' conforme al diritto in questione. Cio' e' in linea con il considerando 41 del regolamento, il quale afferma che una base giuridica o una misura legislativa dovrebbe essere chiara e precisa e la sua applicazione prevedibile per le persone che vi sono sottoposte, in conformita' della giurisprudenza della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo. Tuttavia, l’articolo 14, paragrafo 5, lettera c), non trovera' applicazione qualora sussista per il titolare del trattamento l’obbligo di ottenere i dati direttamente presso l’interessato, nel qual caso si applichera' l’articolo 13. In tal caso, la sola eccezione prevista dal regolamento che esoneri il titolare del trattamento dal fornire all’interessato le informazioni sul trattamento sara' quella prevista all’articolo 13, paragrafo 4 (vale a dire se e nella misura in cui l’interessato dispone gia' delle informazioni). Come riportato al paragrafo 68, a livello nazionale gli Stati membri possono tuttavia legiferare, conformemente all’articolo 23, su ulteriori specifiche limitazioni del diritto alla trasparenza di cui all’articolo 12 e all’informazione ai sensi degli articoli 13 e 14.

Esempio

Un’autorita' fiscale e' soggetta all’obbligo, previsto dal diritto nazionale, di ottenere dai datori di lavoro dati sui salari dei dipendenti. I dati personali non sono ottenuti presso gli interessati e pertanto l’autorita' fiscale e' soggetta agli obblighi di cui all’articolo 14. Dal momento che questo tipo di ottenimento dei dati personali presso i datori di lavoro e' espressamente previsto dalla legge, l’autorita' fiscale non e' sottoposta agli obblighi d’informazione di cui all’articolo 14.

Riservatezza a fronte di un obbligo di segretezza

67. L’articolo 14, paragrafo 5, lettera d), prevede un’esenzione dall’obbligo d’informazione in capo al titolare del trattamento qualora i dati personali “debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri”. Se intende avvalersi di quest’esenzione, il titolare del trattamento dev’essere in grado di provare di averla identificata in maniera appropriata e di mostrare come l’obbligo del segreto professionale lo riguardi direttamente al punto tale da impedirgli di fornire all’interessato tutte le informazioni di cui all’articolo 14, paragrafi 1, 2 e 4.

Esempio

Un medico (titolare del trattamento) e' soggetto all’obbligo di segreto professionale per quanto concerne le informazioni mediche dei suoi pazienti. Una paziente (nei confronti della quale si applica l’obbligo di segreto professionale) fornisce al medico informazioni sul suo stato di salute relativamente a una condizione genetica che interessa anche un certo numero di suoi parenti stretti. La paziente fornisce al medico anche determinati dati personali dei parenti (gli interessati) che presentano la stessa condizione. Al medico non e' imposto di fornire ai parenti le informazioni di cui all’articolo 14, dal momento che trova applicazione l’esenzione prevista all’articolo 14, paragrafo 5, lettera d). Se il medico dovesse fornire le informazioni di cui all’articolo 14 ai parenti, sarebbe violato l’obbligo di segreto professionale cui e' soggetto nei confronti della paziente.

... (omissis) ...

__________

54 Articolo 25.

Fonte: Garante per la Protezione dei dati - Linee guida sulla trasparenza ai sensi del regolamento 2016/679

LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227