GDPR: Informativa e Consenso - l'Alchimia del Sistema Protezione dei Dati - SPPD-MADEIN

Privacy 4.0 e Protezione dei dati
Edizione non aggiornata

Vai ai contenuti

Menu principale:

GDPR: Informativa e Consenso - l'Alchimia del Sistema Protezione dei Dati

AREA FORMAZIONE > DISPENSE FORMAZIONE > ISTRUTTORIA MANUALE
GDPR: Informativa e Consenso - l'Alchimia del Sistema Protezione dei Dati
La privacy europea è e sarà perennemente evolutiva!

CONTRATTI/MODULISTICA CON INTERESSATI - INFORMATIVA
Artt. 12; 13, 14 RGPD e Linee Guida WP 260 del WP 29

DI COSA PARLIAMO
L'informativa serve a rendere consapevole l'interessato della sorte cui vanno incontro i propri dati personali; è un atto di disvelamento delle proprie modalità di condotta commerciale (per le imprese) o istituzionale (per l'ente pubblico)

OBBLIGHI MANDATORI
Sono obbligati a fornire l'informativa tutti i titolari di trattamento (sia imprese sia enti pubblici)


DOCUMENTAZIONE DA FORMALIZZARE
Il soggetto obbligato è tenuto a redigere l'informativa, che può abbinare ad icone.


OBBLIGO DELLA INFORMATIVA
I contenuti dell'informativa sono elencati in articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento e in parte sono più ampi rispetto al Codice. In particolare, il titolare deve sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati - Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se Quest'ultimo costituisce la base giuridica del trattamento, nonché se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti (esempio: si tratta di un Paese terzo giudicato adeguato dalla Commissione europea; si utilizzano BCR di gruppo; sono state inserite specifiche clausole contrattuali modello, ecc.).

Il regolamento prevede anche ulteriori informazioni in quanto "necessarie per garantire un trattamento corretto e trasparente": in particolare, il titolare deve specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione, e il diritto di presentare un reclamo all'autorità di controllo.

NOTA : Quando il trattamento implica processi decisionali automatizzati (con o meno profilazione), l'informativa deve specificarlo spiegando la logica euristica degli algoritmi di valutazione dei processi decisionali e le conseguenze previste per l'interessato.

Tempi dell'informativa - Nel caso di dati personali non raccolti direttamente presso l'interessato (art. 14 del regolamento), l'informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della  Comunicazione (non della registrazione) dei dati (a terzi o all'interessato) (diversamente da quanto prevede attualmente l'art. 13, comma 4, del Codice).

Modalità dell'informativa - Il regolamento specifica molto più in dettaglio rispetto al Codice le caratteristiche dell'informativa, che deve avere forma concisa, trasparente, intelligibile per l'interessato e facilmente accessibile; deve avere un linguaggio chiaro e semplice, e per i minori occorre prevedere informative idonee (si veda anche considerando 58). L'informativa è data, in linea di principio, per iscritto e preferibilmente in formato elettronico (soprattutto nel contesto di servizi online: si vedano art. 12, paragrafo 1, e considerando 58), anche se sono ammessi "altri mezzi", quindi può essere fornita anche oralmente, ma nel rispetto delle caratteristiche di cui sopra (art. 12, paragrafo 1). Il regolamento ammette l'utilizzo di icone per presentare i contenuti dell'informativa in forma sintetica, ma deve in ogni caso esserci la informativa "estesa" (art. 12, paragrafo 7); queste icone dovranno essere identiche in tutta l' Ue e saranno definite prossimamente dalla Commissione europea.

Il regolamento fissa anche requisiti per l'esonero dall'informativa (si veda art. 13, paragrafo 4 e art. 14, paragrafo 5. Oltre a quanto previsto dall'articolo 23, paragrafo 1, di quest'ultimo), in caso di dati personali raccolti da fonti diverse dall'interessato, il titolare può valutare se la prestazione dell'informativa agli interessati comporti uno sforzo sproporzionato (si veda art. 14, paragrafo 5, lettera b) ) diverso da quanto regolatodall'art. 13, comma 5, lettera c) del Codice.

L'informativa deve essere "resa" all'interessato prima di effettuare la raccolta dei dati presso l'interessato (art. 13 del regolamento).

NOTA: Quando i dati non sono raccolti direttamente presso l'interessato, l'informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento. In tutti i casi, il titolare deve specificare la propria identità e quella dell'eventuale rappresentante nel territorio italiano, le fifialità del trattamento, i diritti degli interessati (compreso il diritto alla portabilità dei dati), se esiste un responsabile del trattamento e la sua identità, e quali sono i destinatari dei dati.


Quando le finalità cambiano il regolamento impone di informarne l'interessato prima di procedere al trattamento ulteriore.
E' opportuno che i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni da dopo 25 maggio 2018.

Il regolamento supporta chiaramente il concetto di informativa "stratificata", più volte spiegata dal Garante nei suoi provvedimenti.

http://www.garanteprivacy.it/web/guest/home/docweb/docweb/display/docweb/1712680 relativo all'utilizzo di un'icona specifica per i sistemi di videosorveglianza con o senza operatore; http://www.garanteprivacy.it/web/guest/ home/docweb/-/docweb-display/docweb/1246675
Nei riferimenti sono spiegate prescrizioni operative e soluzioni in merito all'utilizzo associato di sistemi biometrici e di videosorveglianza in istituti bancari.

NOTE: grazie all'impiego di icone associate (in vario modo) a contenuti più estesi, che devono essere facilmente accessibili, e promuove l'utilizzo di strumenti elettronici per garantire la massima diffusione e semplificare la prestazione delle informative.

I titolari utilizzano queste modalità per la prestazione dell'informativa, comprese le icone che l'Autorità ha in questi anni suggerito nei suoi provvedimenti (videosorveglianza, banche, ecc.). Altre scelte saranno nomenclate della definizione di icone standardizzate da parte della Commissione Europea. Si prevedono anche misure organizzative interne idonee a garantire il rispetto della tempistica: il termine di 1 mese per l'informativa all'interessato è chiaramente un termine massimo, e occorre ricordare che l'art. 14, paragrafo 3, lettera a), del regolamento menziona in primo luogo che il termine deve essere "ragionevole".

Il titolare valuta lo sforzo se sproporzionato richiesto dall'informare una pluralità di interessati; se i dati non sono stati raccolti presso questi ultimi, e salva l'esistenza di specifiche disposizioni normative nei termini di cui all'art.23, paragrafo 1, sarà utile fare riferimento ai criteri evidenziati nei provvedimenti con cui il Garante ha riconosciuto negli anni l'esistenza di tale sproporzione

  • http://Www.garanteprivacy.it/web/guest/home/docweb/docwebdisplay/docweb/39624
  • http://www.garanteprivacy.it/web/guest/fiome/docweb/-/docweb-display/docweb/3864423

in tema di esonero dagli obblighi di informativa).Dalle Linee Guida sulla trasparenza del WP29 (doc. WP260)

Il regolamento Indica un modello di informativa "multi-strato": le icone standardizzate non rimpiazzano le informazioni dichiarate in forma discorsiva e non possono ritenersi sostitutive delle stesse.

STESURA ATTO Dl INFORMATIVA DATI RACCOLTI PRESSO L'INTERESSATO
(nel momento in cui i dati sono ottenuti)

STESURA ATTO Dl INFORMATIVA DATI RACCOLTI PRESSO TERZI
(entro un mese; al momento della prima i comunicazione all'interessato o a diverso destinatario)

INFORMAZIONI SUCCESSIVE PER DIVERSE FINALITÀ DI TRATTAMENTO VERIFICA CAUSE Dl ESONERO DALL'INFORMATIVA IN CASO Dl DATI RACCOLTI DALL'INTERESSATO E VERIFICA CAUSE Dl ESONERO DALL'INFORMATIVA IN CASO Dl DATI RACCOLTI DA TERZI

    • Precedente disponibilità delle informazioni da parte dell'interessato
    • Precedente disponibilità delle informazioni da parte dell'interessato impossibilità/sproporzione
    • dati coperti da segreto professionale
    • ottenimento/comunicazioni previsto dalla legge

SCHEMA Dl INFORMATIVA (solo esempio sommario e indicativo!)
____________________________________________
Gent.ma Sig.ra, Egr. Sig.
ln attuazione del regolamento Ue 2016/679 è gradito fornirle le seguenti informazioni:

... Contenuti anagrafici ...
Identità e dati di contatto del titolare del trattamento
Identità e dati di contatto del responsabile della protezione dei dati
finalità del trattamento cui sono destinati i dati personali (eventuali note tratte dalle Linee Guida Esemplificazione WP29)
Pronta e facile identificazione del titolare e preferibilmente recapiti (telefonici, postali, elettronici, ecc.)
Non necessario indicare il nominativo
Autolimitazione dell'ambito oggettivo di trattamento

ACME Srl
Via         ...................
Città       ...................
Tel... fax  ...................
PEC. E-mail ...................
E-mail            ...................
Vendita prodotti/servizi



Base giuridica del trattamento
Qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi devpno tenere rigorosamente conto di eventuali destinatari o le eventuali categorie di destinatari dei dati personali.
Intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della commissione o, nel caso dei trasferimenti di cui all'articolo 46 e 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una a) copia di tali dati o b) il luogo dove sono stati resi disponibili, c) periodo di conservazione dei dati personali oppure, se non è possibile, d) i criteri utilizzati per determinare tale periodo.

NOTA: Anche per il caso di Destinatari e paesi terzi, vale l'esistenza del diritto dell'Interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati

BUONE PRATICHE
Da specificare quale ipotesi, tra quelle dell'articolo 6 0 dell'articolo, ricorra.

    • È una buona pratica indicare i termini del bilanciamento tra esigenze del titolare e diritti dell'interessato
    • Se non si indicano nominativi dei destinatari, occorre corretti ed esaustivi, indicando l'attività, il settore, l'ubicazione degli stessi
    • Specificare base giuridica che rende lecito il trasferimento (ad es. Decisione della commissione, binding corporate rule, clausole standard, ecc.).
    • Consigliabile rendere disponibile il documento abilitante con un collegamento su una pagina web. Indicare i paesi stranieri ai quali i dati sono destinati è espressione del principio di minimizzazione. Il termine può derivare da:
      • normativa di settore,
      • linee guida aziendali.

Non è sufficiente
indicare genericamente il termine di "raggiungimento delle finalità". Possibile differenziare il periodo in base a natura del dato e tipo di trattamento

    • Specificare nota sintetica descrittiva dei diritti e dell'iter da seguire
    • Necessità esecuzione contratto
    • Prevedere revoca del consenso e comunque non oltre 10 anni
    • Oppure fino al termine di prescrizione dei diritti sorti dal rapporto contrattuale


Modalità per esercitare i diritti

    • Rivolgere richiesta qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paraèrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca
    • Diritto di proporre reclamo a un'autorità di controllo. Se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di. fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati
    • Fonte da cui hanno origine i dati personali e, se del caso, l'eventualità che i dati provengano da fonti accessibili al pubblico
    • Esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale
    • trattamento per l'interessato
    • Le modalità di revoca del consenso devono essere semplici
    • L'interessato può proporre reclamo all'autorità dello stato in cui risiede o lavora

NOTA: ln un contesto lavorativo, ci sono informazioni richieste al lavoratore, che rientrano nel concetto di requisiti necessari.

I modelli utilizzati sulle pagine web

    • Specificare i campi richiesti come necessari e quelli facoltativi; da illustrare le conseguenze del mancato riempimento dei campi
    • Specificare la natura della fonte (pubblica/privata); la natura dell'organizzazione/impresa/settore; ubicazione dei dati
    • Modalità per revocare il consenso rivolgere comunicazione
    • Modalità per proporre reclamo
    • Comunicazione di dati Obbligatoria ln base
    • Facoltativa
    • Conseguenza in casi di mancata comunicazione
    • Origine dei dati:
_______________________________________________________________

Contratti/modulistica con interessati - I consensi
Artt. 6, 7, 8, 9 RGPD e Linee Guida WP 259 del WP 29

DI COSA SI PARLA
Il consenso è una delle basi giuridiche del trattamento e cioè l'adempimenti che giustifica e rende legittimo il trattamento.

OBBLIGHI MANDATORI
Sono obbligati le imprese e gli altri soggetti privati titolari di trattamento. Il Codice della privacy italiano estende l'obbligo del consenso anche agli organismi sanitari pubblici (la legislazione attuativa del Regolamento UE potrebbe mantenere
regole di questo tenore).

FORMALIZZIAMO LA DOCUMENTAZIONE COERENTE TRA CODICE E REGOLAMENTO
Il soggetto obbligato è tenuto a redigere la formula del consenso conforme agli standard normativi (dichiarazione positive).

Per i dati "sensibili" (si veda art. 9 regolamento) il consenso deve essere "esplicito"; lo stesso dicasi per il consenso a decisioni basate su trattamenti automatizzati (compresa la profilazione — art. 22). Non deve essere necessariamente "documentato per iscritto", né è richiesta la "forma scritta", anche se questa è modalità idonea a configurare l'inequivocabilità del consenso e il suo essere "esplicito" (per i dati sensibili); inoltre, il titolare (art. 7.1) deve essere in grado di dimostrare che l'interessato ha prestato il consenso a uno specifico trattamento.

Il consenso dei minori è valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.

Il consenso:

deve essere, in tutti i casi, libero, specifico, informato e inequivocabile e non è ammesso il consenso tacito o presunto (no a caselle pre-spuntate su un mo
deve essere manifestato attraverso "dichiarazione o azione positiva inequivocabile" (per approfondimenti, si vedano considerando 39 e 42 del regolamento). Il consenso raccolto precedentemente al 25 maggio 2018 resta valido se ha tutte le caratteristiche sopra individuate. In caso contrario, è opportuno adoperarsi prima di tale data per raccogliere nuovamente il consenso degli interessati secondo quanto prescrive il regolamento, se si vuole continuare a fare ricorso a tale base giuridica. In particolare, occorre verificare che la richiesta di consenso sia chiaramente, distinguibile da altre richieste o dichiarazioni rivolte all'interessato (art. 7.2), per esempio all'interno di modulistica.
Bisogna prestare attenzione alla formula utilizzata per chiedere il consenso: deve essere comprensibile, semplice, chiara (art. 7.2).

I soggetti pubblici non devono, di regola, chiedere il consenso per il trattamento dei dati personali.
(Linee Guida WP 259 del WP 29)
E necessario informare gli interessati di alcuni elementi che sono determinanti per poter scegliere. Le informazioni minime per poter dire che il consenso è informato e, quindi, valido sono:

      • identità del titolare del trattamento
      • finalità specifica del trattamento
      • tipi di dati raccolti e utilizzati
      • esistenza del diritto di revoca
      • natura del trattamento quale decisione
      • esclusivamente automatizzata o profilazione
      • trasferimento dati all'estero in assenza di decisioni e condizioni o di adeguatezza.


Il titolare del trattamento deve adempiere agli altri obblighi di informativa, previsti agli articoli 13 e 14 per essere conforme al Regolamento. Peraltro un valido consenso informato sussiste anche se non tuti gli elementi dell'informativa sono espressamente indicati nel processo di acquisizione del consenso; i punti residui dovranno essere menzionati in altri documenti messi a disposizione degli interessati. Con riferimento al consenso esplicito, il termine "esplicito" si riferisce alla modalità di espressione del consenso da parte dell'interessato. Certamente un modalità di esprimere il consenso esplicito è una dichiarazione scritta.



Se congruo il titolare del trattamento può acquisire una dichiarazione scritta e sottoscritta da parte dell'interessato, per evitare contestazione sulla prova dell'effettivo rilascio del consenso. Peraltro la dichiarazione scritta non è l'unica modalità per ottenere il consenso esplicito. Ad esempio in un contesto digitale, l'interessato può rilasciare la prescritta dichiarazione compilando un modello, mandando una comunicazione di posta elettronica, caricando la scansione di un documento di identità, o usando una firma elettronica. Anche un consenso orale potrebbe essere esplicitò, anche se si pone un problema di prova. Ci può essere un consenso esplicito in due fasi. Per esempio un interessato riceve una e-mail da parte del titolare, che informa dell'intendimento di procedere a trattare dati sanitari e spiega le finalità del trattamento; se l'interessato aderisce, il titolare gli chiede di rispondere con una e-mail contenente il messaggio "acconsento".
Dopo l'invio della risposta, l'interessato riceve una stringa con un collegamento da cliccare o un sms con un codice di verifica per confermare il consenso.

STRUTTURA INDICATIVA Dl DICHIARAZIONE SCRITTA Dl CONSENSO
___________________________________________________________________________________

Spett.le ..............................

[Titolare del Trattamento]

Ho letto e capito in ogni suo punto l'informativa, che viene trascritta qui di seguito:

... omissis informativa...

e acconsento al trattamento dei mef dati personali.

Specifico che ho capito che saranno trattati i miei dati appartenenti a particolari categorie (dati sensibili, genetici e biometrici) e quindi esplicitamente acconsento al trattamento.
Specifico che ho capito che i miei dati saranno trattati per decisioni automatizzate, compresa la profilazione, e quindi esplicitamente acconsento al trattamento."

___________________________________________________________________________________






Torna ai contenuti | Torna al menu