Contenuti dell’informativa
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, par. 1, e 14, par. 1, del Regolamento UE 2016/679
In particolare, l’informativa deve sempre specificare:
- i dati di contatto del titolare e del suo rappresentante (se esistente);
- quelli del Responsabile della protezione dei dati (RPD o DPO, secondo l’acronimo inglese di Data Protection Officer) ove esistente;
- finalità e base giuridica del trattamento;
- qual è il suo legittimo interesse, se quest’ultimo costituisce la base giuridica del trattamento;
- eventuali destinatari o categorie di destinatari;
- se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: se si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; se si utilizzano norme vincolanti d’impresa, in inglese Binding Corporate Rules – BCR; se sono state inserite specifiche clausole contrattuali standard, ecc.).
Il Regolamento prevede anche ulteriori informazioni in quanto “necessarie per garantire un trattamento corretto e trasparente”. In particolare, il titolare deve specificare:
- il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo;
- la possibilità di revocare in qualsiasi momento il consenso al trattamento;
- l’esistenza del diritto per l’interessato di chiedere l’accesso ai dati personali che lo riguardano, la rettifica, la cancellazione, la limitazione del trattamento o di opporsi allo stesso, nonché il diritto alla portabilità dei dati;
- il diritto di presentare un reclamo a un’Autorità di controllo, che in Italia è il Garante per la protezione dei dati personali.
Tempi dell’informativa
L’informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati, se raccolti direttamente presso l’interessato (art. 13).
Nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14), l’informativa deve essere fornita entro un termine ragionevole (che non può superare 1 mese dalla raccolta), oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato).
Se i dati non sono raccolti direttamente presso l’interessato (art.14), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento. In tutti i casi, il titolare deve specificare la propria identità e quella dell’eventuale rappresentante nel territorio italiano, le finalità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, quali sono i destinatari dei dati.
Modalità dell’informativa
Il Regolamento specifica anche le caratteristiche dell’informativa, che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile; occorre utilizzare un linguaggio chiaro e semplice (art. 12, par. 1). Per i minori occorre prevedere informative idonee (considerando 58).
L’informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico, soprattutto nel contesto di servizi online (art. 12, par.1, e considerando 58), anche se sono ammessi “altri mezzi”. Può essere quindi fornita anche oralmente, ma nel rispetto delle caratteristiche sopraindicate. Il Regolamento ammette inoltre l’utilizzo di icone per presentare i contenuti dell’informativa in forma sintetica, ma solo “in combinazione” con l’informativa estesa (art. 12, par. 7).
In alcuni casi il Regolamento prevede che si possa fare ameno di un’informativa (art. 13, par. 4, e art. 14, par. 5, oltre a quanto previsto dall’art. 23, par. 1), anche se occorre sottolineare che spetta al titolare, in caso di dati personali raccolti da fonti diverse dall’interessato, valutare se la prestazione dell’informativa agli interessati comporti uno sforzo sproporzionato (art. 14, par. 5, lett. b).
Se hai dubbi in merito contattaci