Consulenza e Formazione Sicurezza, Medicina Del Lavoro, Sistemi Di Gestione, Qualità, Privacy, Ambiente e Modelli Organizzativi

Informativa privacy: cosa cambia con il nuovo Regolamento Europeo 679/2016

privacy1L’informativa, così come disciplinato all’art. 13 del D.Lgs 196/2003, deve contenere tutti gli elementi necessari affinché l’interessato possa esercitare i propri diritti (art. 7 D.Lgs 196/03) e manifestare un legittimo consenso ai sensi dell’art. 23 del Codice Privacy.

È obbligo di ogni Titolare del trattamento definire per la propria organizzazione, un modello di gestione privacy che prenda in considerazione misure di sicurezza organizzative attraverso le quali si possa controllare la conformità legislativa dei modelli di informative elaborati.

L’interessato, infatti, ha il diritto di essere informato in modo trasparente, leale e dinamico sui trattamenti effettuati sui suoi dati.

Pertanto, affinché un trattamento possa definirsi trasparente, chiaro e corretto, è necessario che all’interessato sia resa un’informativa esaustiva sull’esistenza del trattamento e delle sue finalità.

Il Regolamento Europeo (UE) 2016/679 concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati è entrato in vigore il 24 Maggio 2016 e diventerà direttamente applicabile in tutti gli Stati membri a partire dal 25 Maggio 2018.
È direttamente applicabile e vincolante in tutti gli Stati membri dell’Unione Europea e non richiede una legge di recepimento nazionale.
Il Regolamento abroga la Direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Con il nuovo Regolamento Europeo Privacy l’informativa all’interessato deve essere fornita in modo organico, redatta in un linguaggio semplice, senza frammentazioni e reiterazioni.
Le informazioni essenziali devono essere offerte in un quadro di lealtà e correttezza nel rispetto della riservatezza dei dati.
Se possibile, bisogna predisporre un’informativa breve, indicando con immediatezza le principali caratteristiche del trattamento.
Alcune tra le criticità menzionate riguardano le modalità con cui l’informativa è fornita per iscritto, anziché oralmente.
Sono stati formati spesso moduli lunghi basati sull’eccessivo uso di espressioni prettamente giuridiche e frammentate anziché organiche e unitarie, inidonee a far comprendere le caratteristiche principali del trattamento all’interessato.
Chi intende effettuare un trattamento di dati personali deve prima, ossia all’atto della registrazione dei dati o qualora, sia prevista la loro comunicazione, non oltre la prima comunicazione,  fornire all’interessato alcune informazioni per metterlo nelle condizioni di esercitare i propri diritti.
Se i dati personali sono stati raccolti da altre fonti (ad esempio, archivi pubblici, familiari dell’interessato, ecc.), cioè non direttamente presso l’interessato, l’informativa deve essere resa quando i dati sono registrati, oppure, non oltre la prima comunicazione a terzi.

In particolare, l’informativa deve contenere:
finalità: per quale scopo verranno trattati i propri dati personali;
modalità di trattamento dei dati personali riferibile soprattutto alle misure di sicurezza adottate al fine di eseguire il trattamento nel rispetto dei principi di riservatezza, integrità e disponibilità dei dati.
– se il conferimento dei propri dati personali è obbligatorio o facoltativo;
– le conseguenze di un eventuale rifiuto a rendere disponibili i propri dati personali;
– a chi saranno comunicati o se saranno diffusi i propri dati personali;
– i diritti previsti dall’articolo 7 del Codice;
– chi è il titolare e (se è stato designato) il responsabile del trattamento.

MA COSA CAMBIA CON IL NUOVO REGOLAMENTO SULLA PRIVACY?

– Caratteristiche dell’informativa
L’informativa deve essere resa in forma:
– concisa
– trasparente
– intelligibile
– facilmente accessibile
– con un linguaggio semplice e chiaro(in particolare per il caso di minori).

– Novità
Come già citato in precedenza, con il nuovo Regolamento sulla Privacy – Capo III negli articoli 13, paragrafo 1, e 14, paragrafo 1, l’informativa diventa più chiara e sintetica per facilitare la comprensione dei contenuti da parte di tutti gli interessati, grazie anche all’adozione di icone standardizzate (che saranno definite dalla Commissione Europea), identiche in tutta l’Unione Europea.
I contenuti dell’informativa risulteranno essere più ampi rispetto al Codice.

In particolare, se i dati personali sono raccolti direttamente presso l’interessato, nella nuova informativa deve essere specificato:
– la base giuridica, ossia la fonte/origine del trattamento (in una norma, contratto) specificando, inoltre, il suo interesse legittimo o da parte di terzi;
– se il Titolare trasferisce i dati personali in Paesi Terzi e attraverso quali strumenti;
– il periodo di conservazione dei dati;
– il diritto dell’interessato di presentare un reclamo o un ricorso giurisdizionale all’Autorità di controllo;
– l’esistenza del diritto dell’interessato di chiedere al Titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi (diritto all’oblio) oltre al diritto alla portabilità dei dati, altra novità introdotta dal Regolamento consistente nella possibilità di richiedere al Titolare una copia dei dati oggetto del trattamento;
– se si effettua attività di profilazione automatizzata (profiling dei dati personali) e le possibili conseguenze che ne possono derivare;
– “ulteriori informazioni” – utili per garantire maggiore trasparenza e correttezza all’interessato per il trattamento dei propri dati personali.

– Cosa non cambia?
Se la raccolta dei dati viene fatta presso terzi, è possibile redigere una sola informativa, riferita sia ai dati conferiti direttamente dall’interessato sia ai dati acquisiti presso terzi.
Secondo il Garante, sarebbe opportuno che le informative più articolate fossero basate su uno schema indicativamente più uniforme per il settore di attività.
A tale proposito, ad esempio, le associazioni di categoria dovrebbero predisporre informazioni-tipo per determinati settori o categorie di trattamento.
Il Garante precisa, inoltre, che deve invece essere fornita un’informativa specifica ad hoc, se il trattamento ha caratteristiche particolari quando, ad esempio, “coinvolge il trattamento di dati genetici, o può comportare rischi specifici per gli interessati”.

– Tempi dell’informativa
Nel caso di dati personali non raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (NON della registrazione) dei dati se si tratta di dati presi da terza parte. (Diversamente da quanto prevede attualmente l’art. 13, comma 4, del Codice).
Qualora il Titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento, egli deve fornire all’interessato informazioni in merito a alle diverse finalità.

– Va sempre presentata l’informativa?
Se si dispone già dell’informazione necessaria, se la registrazione o la comunicazione dei dati personali sono già previste per legge o i dati in essere appartengono a dati di ricerca scientifica, storica o statistica, l’obbligo di presentazione di apposita informativa, in capo al Titolare, può essere derogato.

– Illeciti e sanzioni
Sono previste sanzioni di natura amministrativa nei casi di omessa o inidonea informativa ai soggetti interessati: art. 161 Codice Privacy.

TABELLA RIEPILOGATIVA DI RAFFRONTO

INFORMATIVA EX ART. 13 DLGS. 196/03 – INFORMATIVA ART. 13 E 14 DEL REGOLAMENTO 679/2016

Informativa ex art. 13 Codice PrivacyInformativa artt. 13-14 Regolamento UE 679/2016
Nella attività da iniziare è previsto il trattamento di dati personali?L’informativa è un obbligo generale che va adempiuto prima o al massimo al momento di dare avvio alla raccolta per il trattamento di dati personali.

Occorre ricordare che l’obbligo non scatta:

  • quando il trattamento concerne dati che non sono personali bensì anonimi (ad esempio, dati aggregati o statistici);
  • quando il trattamento riguarda i dati di enti / persone giuridiche: la normativa a protezione dei dati personali non concerne le informazioni relative a soggetti diversi dalle persone fisiche.

 

Nella attività da iniziare è previsto il trattamento di dati personali?Vale integralmente quanto riportato nel Codice Privacy.
Nella attività da iniziare è previsto l’obbligo dell’informativa?Non deve prestare l’informativa:

  • la persona fisica che effettui il trattamento dei dati per fini esclusivamente personali e i dati non siano destinati ad una comunicazione sistematica ovvero alla diffusione;
  • il titolare che riceva un curriculum vitae spontaneamente trasmesso dall’interessato, almeno fino al momento del primo contatto successivo con interessato, quando sarà da rendere una informativa breve contenente almeno l’indicazione:

1) della finalità del trattamento;

2) dei soggetti o categorie di soggetti cui i dati possono essere comunicati e l’ambito di diffusione – se prevista – dei medesimi;

3) gli estremi identificativi del titolare ovvero del responsabile per il riscontro all’interessato, se nominato.

Nella attività da iniziare è previsto l’obbligo dell’informativa?Non è tenuta a prestare l’informativa la persona fisica che effettui il trattamento dei dati per attività a carattere esclusivamente personale e domestico.
I dati sono raccolti presso l’interessato o presso un terzo?Nel caso di raccolta dei dati presso il terzo, l’informativa è data all’interessato:

  • nel momento in cui i dati sono registrati;
  • (quando è prevista la loro comunicazione) al momento della prima comunicazione.

L’informativa deve comprendere, oltre alle informazioni richieste in generale, anche l’indicazione delle categorie di dati trattati (solo dati personali comuni o anche dati sensibili e/o giudiziari).

 

I dati sono raccolti presso l’interessato o presso un terzo?Nel caso di raccolta dei dati presso il terzo, l’informativa è data all’interessato:

  • entro un termine “ragionevole” e comunque entro 1 mese;
  • (quando è prevista la loro comunicazione) non oltre la prima comunicazione all’interessato o ad altro destinatario.

L’informativa deve essere completa dei contenuti prescritti in via generale, con le seguenti aggiunte/differenze:

  • l’indicazione delle categorie dei dati personali oggetto del trattamento;
  • l’indicazione della fonte da cui hanno origine i dati personali (che può essere anche fonte accessibile al pubblico);
  • si omette l’informazione circa la natura obbligatoria o meno della comunicazione di dati personali, perché nella fattispecie i dati non sono raccolti presso l’interessato.
Nel caso di raccolta presso terzi) Il titolare è sempre tenuto ad informare l’interessato?Il Codice Privacy individua tre fattispecie nelle quali il titolare non è tenuto a informare l’interessato, quando:

 

  • il trattamento è da eseguire in base ad un obbligo di legge o di regolamento ovvero in base ad una norma comunitaria;
  • i dati sono da trattare ai fini dello svolgimento delle investigazioni difensive ovvero per far valere/difendere un diritto in sede giudiziaria;
  • l’informativa all’interessato comporti un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, sempre per il Garante, impossibile.
Nel caso di raccolta presso terzi) Il titolare è sempre tenuto ad informare l’interessato?Il Regolamento UE individua le fattispecie in cui il titolare non è tenuto a informare l’interessato, quando:

 

  • l’interessato dispone già delle informazioni;
  • comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato;
  • l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare;
  • i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri.

 

L’informativa è da rendere in forma scritta o orale?Sono forme parimenti ammesse dalla legge ma è chiaro che una informativa scritta (riportata su supporto cartaceo/digitale e inviata/consegnata al destinatario con evidenza della ricezione da parte del medesimo) costituisce prova obiettiva dell’assolvimento dell’obbligo da parte del Titolare. Quali requisiti di forma sono stabiliti per l’informativa?

L’informativa deve essere resa per iscritto o con altri mezzi (anche elettronici, come per es., la posta elettronica). Ove richiesto dall’interessato, l’informativa è da rendere oralmente (purché sia comprovata con altri mezzi l’identità dell’interessato).

Come segnalato nel Codice Privacy, anche qui può essere opportuno che il titolare si procuri e conservi una evidenza del rilascio dell’informativa.