Novità in tema di TRASPARENZA
Si è conclusa da poco la consultazione pubblica avviata dal Gruppo Art. 29 (di seguito “WP29”) con riferimento alle Linee Guida sul principio di trasparenza delle informazioni che il titolare è tenuto a comunicare all’interessato, in merito alle operazioni di trattamento che hanno ad oggetto i suoi dati personali.
Il WP29, ossia il comitato dei Garanti europei, ha fornito delle raccomandazioni in materia di trasparenza, che si configura come uno dei principi fondamentali cui deve essere orientato il trattamento dei dati personali degli interessati, ai sensi dell’art. 5, comma 1 lett. a) del GDPR (General Data Protection Regulation), unitamente ai principi di liceità e correttezza. Tale obbligo di trasparenza è intrinsecamente connesso al nuovo principio di accountability, introdotto dal GDPR (cfr. art. 5, comma 2), il quale richiede che il titolare del trattamento si conformi alle disposizioni ivi indicate, ma che, soprattutto, sia in grado di provare e documentare le scelte effettuate in ambito di protezione dei dati personali.
L’obbligo di trasparenza impone ai titolari del trattamento di adottare misure appropriate e indispensabili a rendere gli interessati edotti circa le modalità e finalità per le quali si procede al trattamento dei loro dati personali, la tipologia di dati trattati e il relativo periodo di conservazione, nonché in merito ai diritti dai medesimi azionabili. Un trattamento trasparente, infatti, genera fiducia negli interessati, accresce la loro consapevolezza sull’utilizzo dei propri dati personali e consente a tali individui di esercitare pienamente il diritto di autodeterminazione informativa (2), codificato negli anni dal legislatore. Il principio di trasparenza è, inoltre, espressione del principio di lealtà posto a fondamento del trattamento dei dati e sancito dall’art. 8 della Carta dei diritti fondamentali dell’UE (3).
Il WP29, inoltre, precisa che il titolare deve trattare i dati in maniera trasparente sin dalla fase iniziale della loro raccolta presso l’interessato (art.13 GDPR) o presso soggetti terzi (art.14 GDPR), consentendo a tali soggetti di poter prestare liberamente il proprio consenso alle attività di trattamento (c.d. consenso informato). Il suddetto obbligo deve, poi, perdurare per tutta la durata del trattamento, infatti si esorta il titolare ad agevolare l’esercizio dei diritti degli interessati (cfr. artt. 15-22 GDPR) fornendo tutte le informazioni richieste in forma concisa, facilmente accessibile e con un linguaggio chiaro e user-friendly. Ad esempio, qualora durante il trattamento si verifichino ipotesi di data breach, il titolare sarà tenuto ad informare tempestivamente l’interessato affinché questi possa, sempre in virtù del suo diritto all’autodeterminazione informativa, decidere se, eventualmente, revocare il consenso inizialmente prestato al titolare che si sia dimostrato carente sotto il profilo delle misure di sicurezza adottate.
Il GDPR, pur non fornendo una definizione di trasparenza, al Considerando 39 enuncia il contenuto e gli effetti di tale principio sul trattamento dei dati personali: “Qualsiasi trattamento di dati personali dovrebbe essere lecito e corretto. Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano…”. Invece, le informazioni pratiche e le modalità per l’esercizio dei diritti degli interessati sono disciplinate dagli artt. 12-14 del GDPR.
L’art. 12, comma 1, del GDPR indica le misure appropriate che il titolare deve adottare per fornire all’interessato le informazioni di cui agli artt. 13.14, le comunicazioni di cui agli artt. 15-22 circa l’esercizio dei diritti degli interessati, le comunicazioni in merito a violazioni di dati personali (art. 34). Le informazioni o comunicazioni in questione, infatti, devono essere fornite in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di minori; devono essere fornite per iscritto o con altri mezzi, anche con mezzi elettronici; se richiesto dall’interessato, possono essere fornite anche oralmente e devono essere fornite gratuitamente.
Le Linee Guida in esame analizzano e forniscono esempi concreti per spiegare ognuno di tali requisiti e, con particolare riferimento agli elementi di novità, è utile sottolineare che si suggerisce di strutturare l’informativa privacy, se fornita all’utente nel contesto digitale, “a più livelli”, ossia consentendo all’interessato di accedere immediatamente alla sezione specifica dell’informativa di cui desidera conoscere il contenuto, piuttosto che dover scorrere grandi quantità di testo alla ricerca di determinati argomenti; si raccomanda al titolare di fornire le informazioni in forma intelligibile, verificando regolarmente, anche mediante sessioni documentate di test distinte per categorie di interessati, che le informazioni stesse siano adeguate al bacino di utenza di riferimento. In aggiunta, le informazioni dovrebbero essere facilmente accessibili e, pertanto, il WP29 suggerisce, come best practice, che i titolari, già in fase preliminare di raccolta online dei dati, rendano disponibile l’informativa breve agli utenti sulla stessa pagina, non limitandosi ad esortarli a prendere visione della pagina privacy del sito, dove é consultabile l’informativa estesa.
Non meno importante il linguaggio utilizzato nell’informativa, che dovrà risultare chiaro e comprensibile, adatto alla tipologia di destinatari di riferimento (ad es. nel caso di minori si raccomanda l’uso di un lessico appropriato e semplice), evitando una terminologia eccessivamente legalistica, tecnica o specialistica e, nel caso in cui il titolare debba fornire chiarimenti a soggetti stranieri – elemento di novità – dovrà tempestivamente provvedere a tradurre le informative, garantendo accuratezza e coerenza della traduzione.
In merito, poi, alla forma da utilizzare per comunicare le informazioni agli interessati o redigere l’informativa, il GDPR prescrive, come modalità predefinita, la forma scritta, da combinare, eventualmente, con icone standardizzate per fornire un quadro complessivo più completo del trattamento previsto, che risulti facilmente visibile (cfr. art. 12, par. 7). Il WP29 suggerisce, infatti, ai titolari di tener conto delle circostanze in cui sono stati raccolti e trattati i dati, del dispositivo utilizzato e del tipo di interazione che intercorre fra utente e titolare del trattamento e di documentare sempre le scelte effettuate.
Come emerge dalla lettura approfondita delle Linee Guida, dunque, l’approccio innovativo del GDPR sposta il baricentro sui titolari del trattamento che devono adoperarsi per consentire agli interessati di poter fruire di un’esperienza “user-centric” tramite la predisposizione di strumenti ed attività trasparenti e ricevere tutte le informazioni che essi ritengano necessarie in merito all’utilizzo dei propri dati personali, senza dover sopportare alcun onere economico.
Prima del 25 maggio 2018, i titolari saranno tenuti, secondo quanto affermato dal WP29, a rivedere tutte le informative privacy e il contenuto delle comunicazioni indirizzate agli interessati per assicurarne la conformità alla normativa europea e alle presenti Linee Guida, altrimenti rischieranno, dopo tale data, di dover interrompere le attività che non risultino conformi con la specifica normativa di riferimento, ciò determinando l’illiceità dei trattamenti in atto, potendo ragionevolmente incorrere in sanzioni amministrative pecuniarie per violazione delle disposizioni circa i diritti degli interessati (cfr. art. 83, comma 5, lett. b) GDPR). Se emergeranno cambiamenti sostanziali nelle informazioni da fornire agli interessati – ad es. qualora i titolari intendano trattare i medesimi dati per ulteriori finalità -tali modifiche dovranno essere immediatamente notificate agli utenti, prima che si proceda con l’avvio dell’ulteriore trattamento, per garantirne correttezza, liceità e trasparenza e consentire all’utente di prestare sempre il proprio consenso informato. Qualora, invece, non intervengano modifiche rilevanti nel contenuto dell’informativa privacy in un ampio arco temporale, il WP29 raccomanda comunque, come buona prassi, di aggiornare i testi delle informative ed inviarli ad intervalli regolari agli interessati, ad es. mediante dei reminder privacy periodici.
A modesto avviso di chi scrive, si ritiene che le Linee Guida in esame abbiano contribuito a chiarire gli aspetti più ambigui e poco chiari in merito alle esplicazioni del principio di trasparenza, anche se occorrerà attenderne la versione definitiva, che verrà pubblicata dopo che il WP29 avrà recepito tutti i commenti provenienti dalla consultazione pubblica. Per onestà intellettuale, preme sottolineare che l’indicazione di un’informativa privacy strutturata a “più livelli” non costituisce una vera novità in ambito privacy, in quanto il provvedimento del Garante per la protezione dei dati personali in materia di cookie aveva già previsto che: “Ai fini della semplificazione dell’informativa, si ritiene che una soluzione efficace … sia quella di impostare la stessa su due livelli di approfondimento successivi. Nel momento in cui l’utente accede a un sito web, deve essergli presentata una prima informativa “breve”, contenuta in un banner a comparsa immediata sulla home page …, integrata da un’informativa “estesa”, alla quale si accede attraverso un link cliccabile dall’utente. Affinché la semplificazione sia effettiva, si ritiene necessario che la richiesta di consenso all’uso dei cookie sia inserita proprio nel banner contenente l’informativa breve. Gli utenti che desiderano avere maggiori e più dettagliate informazioni e differenziare le proprie scelte in merito ai diversi cookie archiviati tramite il sito visitato, possono accedere ad altre pagine del sito, contenenti, oltre al testo dell’informativa estesa, la possibilità di esprimere scelte più specifiche” (4).
Fonti:
(1) “Guidelines on transparency under Regulation 2016/679” WP 260
(2) Cfr. art. 6 della Dichiarazione dei diritti in Internet – “Diritto all’autodeterminazione informativa” in http://www.camera.it/application/xmanager/projects/leg17/commissione_internet/dichiarazione_dei_diritti_internet_pubblicata.pdf
(3) Cfr. art. 8, comma 2, Carta dei Diritti Fondamentali dell’Unione Europea (2000/C 364/01)
(4) Provvedimento del Garante per la protezione dei dati personali n. 229 del 8.05.2014, “Individuazione delle modalità semplificate per l’informativa e l’acquisizione del consenso per l’uso dei cookie”, doc. web. n. 3118884.
Fonte: MariaPia Tedone – DPOInnovation
About Author
