25 Maggio 2018: cambia l’informativa Privacy ed il consenso al trattamento dati personali
Il 24 Maggio 2016 è entrato in vigore il nuovo Regolamento Europeo in materia di protezione dei dati personali (GDPR- General Data Protecion Regulation) nonché la Direttiva che regola i trattamenti di dati personali nei settori di prevenzione, contrasto e repressione dei crimini.
Per adeguarsi alle nuove regole, imprese e pubbliche amministrazioni avranno tempo sino al 25 Maggio 2018, rivedendo i propri sistemi di gestione dei dati all’interno dell’organizzazione e prevenire la perdita di dati e la loro diffusione.
Malgrado il nuovo GDPR interessi tutte le aziende di qualsiasi dimensione e settore di mercato, operanti nell’Unione Europea o anche al di fuori qualora trattino dati relativi a cittadini comunitari, sono ancora poche le imprese pronte a fare fronte ai nuovi obblighi.
Ma cosa prevede il nuovo Regolamento riguardo l’informativa privacy ed il consenso al trattamento dati personali?
L’informativa è un adempimento obbligatorio e fondamentale per il trattamento dei dati personali, e per questo è importante conoscere le differenze tra l’informativa ex art. 13 del D.Lgs. 196/2003 (norma ancora vigente e applicabile) e l’informativa che dovrà essere resa ai sensi degli artt. 13 e 14 del Regolamento UE 2016/679 (nuovo GDPR applicabile dal 25 maggio 2018).
L’art. 12 del Regolamento definisce “informativa”, quel nucleo di informazioni che il titolare del trattamento è tenuto a fornire ai soggetti di cui si appresta a trattare i dati.
Secondo il nuovo Regolamento Privacy, l’informativa deve esser concisa, trasparente, intellegibile e facilmente accessibile. Questa deve esser data per iscritto e, al fine di renderla più sintetica e maggiormente fruibile, è autorizzato l’utilizzo di “icone”.
Il Regolamento ha previsto due ipotesi diverse di informativa, a seconda che i dati siano o meno raccolti presso l’interessato.
Qualora i dati vengano raccolti presso il titolare del trattamento, questi dovrà fornire all’interessato un’informativa che contenga:
1) l’identità e i dati di contatto del titolare e, ove applicabile del suo rappresentante;
2) i dati di contatto del Responsabile del Protezione dei Dati (c.d. DPO);
3) le finalità del trattamento;
4) i legittimi interessi del titolare di terzi;
5) i destinatari dei dati;
6) l’intenzione del titolare di trasferimento dei dati ad un paese terzo;
7) il periodo di conservazione dei dati o, se non è possibile, i criteri utilizzati per determinare tale periodo;
8) il diritto di accesso ai dati da parte dell’interessato, il diritto di rettifica e di cancellazione, la limitazione del trattamento o l’opposizione allo stesso e il diritto alla portabilità;
9) il diritto di revoca del consenso;
10) il diritto di reclamo all’autorità di controllo;
11) l’obbligatorietà o la non obbligatorietà di comunicare dati e nonchè le possibili conseguenze di un eventuale rifiuto;
12) l’esistenza di un processo automatizzato come la profilazione e l’indicazione delle logiche utilizzate, dell’importanza e delle conseguenze del trattamento.
Inoltre, nel caso in cui i dati raccolti vengano utilizzati per una finalità diversa da quella per cui gli stessi sono stati ottenuti, prima di un ulteriore trattamento, il titolare ha l’obbligo di fornire all’interessato tutte le informazioni in merito alla finalità diversa per cui i dati verranno utilizzati, nonchè tutte le necessarie ed ulteriori informazioni pertinenti.
Nell’ipotesi in cui, invece, i dati vengano raccolti presso soggetti diversi dall’interessato, l’art. 14 del Regolamento prevede che il responsabile del trattamento fornisca all’interessato un’informativa:
1) entro un termine ragionevole dall’ottenimento dei dati, al più tardi entro un mese in considerazione delle specifiche circostanze la cui i dati vengano trattati;
2) in caso di prevista comunicazione con altro destinatario, al più tardi al momento della prima divulgazione dei dati;
3) nel caso in cui i dati siano destinati alla comunicazione con l’interessato, al più tardi al momento della prima comunicazione all’interessato.
In tutti questi casi, ad ogni modo, l’informativa deve contenere:
a) tutto quanto sopra indicato per l’ipotesi in cui i dati siano raccolti presso l’interessato;
b) le categorie dei dati in questione;
c) i legittimi interessi perseguiti dal titolare del trattamento o da terzi qualora il trattamento sia basato su un legittimo interesse;
d) la fonte di provenienza dei dati e se questa ha carattere pubblico.
Anche in questo caso il titolare del trattamento, prima di procedere con qualsivoglia ulteriore trattamento non previsto inizialmente, deve fornire all’interessato le informazioni in merito alla diversa finalità dell’utilizzo dei suoi dati personali.
Vi sono, tuttavia, casi in cui l’informativa può essere omessa. Si verificano quando:
1) si dispone già delle informazioni o quando si tratta di informazioni note;
2) comunicare tali informazioni comporta uno sforzo sproporzionato o è impossibile (valutazione che spetta al titolare del trattamento);
3) l’ottenimento dei dati o la loro comunicazione, sono previsti dal diritto dell’Unione;
4) i dati devono restare riservati per un obbligo di segreto professionale.
Il Regolamento Europeo ha portato diverse novità anche per quel che concerne il consenso al trattamento.
Si stabilisce, innanzitutto, che il titolare del trattamento debba essere sempre in grado di dimostrare che l’interessato abbia espresso liberalmente il consenso al trattamento dei propri dati personali.
Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale.
Pertanto il Legislatore Europeo rimarca il principio secondo cui ogni trattamento è lecito solo se l’interessato ha chiaramente, preventivamente ed inequivocabilmente espresso il suo consenso al trattamento “in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro”.
Vi deve esser quindi una manifestazione di volontà dell’interessato, libera ed esplicita.
Per queste ragioni, il Regolamento non ammette forme di consenso c.d. tacite e, pertanto, in tema di privacy, il “silenzio, non equivale al consenso”.
Il Regolamento, inoltre, ripone grande attenzione per il trattamento dei dati dei minori di 16 anni: in tali specifici casi, il consenso deve esser fornito da chi esercita la potestà genitoriale sul minore. Un’attenzione particolare meritano pertanto le iscrizioni ai social e l’utilizzo di alcune App.
Infine il Regolamento pone in capo all’interessato il diritto di revocare il proprio consenso in qualunque momento e senza alcuna giustificazione.
Per quanto riguarda i consensi raccolti prima del 25 maggio 2018 ossia, prima della data di applicazione del Regolamento, rimangono validi se rispecchiano le caratteristiche sino ad ora descritte; ma, ove non dovessero rispettare le peculiarità indicate dalla norma, i responsabili del trattamento dovranno provvedere a raccoglierne di nuovi.