Mini guida. Come redigere correttamente le informative privacy.

L’informativa è uno dei pilastri su cui si basa il GDPR che garantisce la tutale dell’esercizio dei diritti dei proprietari dei dati, gli interessati.

L’informativa è anche il primo atto che deve compiere il titolare nei confronti degli interessati prima di iniziare un qualsiasi trattamento.

E non è un mero adempimento formale: attraverso l’informativa gli interessati vengono a conoscenza di tutti gli elementi necessari per poter esercitare i propri diritti sulle informazioni possedute dal titolare.

L’informativa non è esaustiva degli adempimenti da svolgere ai fini del rispetto della normativa e non può essere un documento “standard”. Questo significa, ad esempio, che ogni trattamento deve avere la sua informativa. Non è una affermazione ovvia: troppo spesso mi capita, ancora oggi, che mi venga richiesta quella che in molti chiamano “la dicitura privacy”.

Quindi la videosorveglianza, la gestione dei rapporti del datore di lavoro coi suoi lavoratori, la gestione dell’attività di selezione del personale (curricula, selezioni, ecc), la gestione amministrativa e contabile, la gestione dei rapporti commericiali (due diverse, una per i clienti una per i fornitori e loro didpendenti), ecc, sono tutti trattamenti diversi che devono avere la propria informativa.

La informativa inoltre deve contenere informazioni vere e verificabili, deve essere dettagliata ma scritta con linguaggio semplice. In diversi provvedimenti e comunicazioni il Garante ha indicato come l’informativa debba essere semplice e facilmente comprensibile, non deve essere troppo lunga, pur contenendo tutti gli elementi obbligatori, non deve essere scritta in un linguaggio troppo tecnico, può essere redatta con l’aiuto di immagini o icone, appunto per semplificarne la lettura e la comprensione.

Infine, è anche uno dei primi adempimenti che viene analizzato dagli organi ispettivi in caso di verifica.

Cosa deve contenere una informativa?

Il GDPR indica chiaramente quali sono i contenuti obbligatori nella redazione delle informative ed anche le modalità con le quali la informativa va scritta (art. 13, 14 Reg. 679/2016)

Sul sito del Garante è possibile scaricare la documentazione in merito (https://www.garanteprivacy.it/regolamentoue/informativa).

Chi deve redigere l’informativa?

L’informativa deve essere redatta dai Titolari del trattamento.

E’ responsabilità diretta e non delegabile del Titolare del trattamento. Il titolare deve essere consapevole di quali dati si hanno, perché dove e con chi vengano trattati: tutto questo fa parte dei contenuti e del modo di comporre l’informativa.

Quando deve essere data l’informativa?

Se i dati sono raccolti direttamente presso l’interessato, immediatamente, se i dati sono raccolti da terzi entro un 30 giorni dal momento in cui si comincia un trattamento.

Cosa deve contenere l’informativa?

Ecco tutti gli elementi obbligatori di una informativa correttamente redatta.

1) Chi è l'interessato

L’interessato è la persona fisica a cui si riferiscono i dati personali.

Non persone giuridiche, società, ecc.

Esempio – Quando Mario firma un contratto di lavoro con un’azienda, Mario è la persona fisica a cui si riferiscono i dati. Mario è l’interessato.

2) Chi effettua il trattamento

È il soggetto che tratterà i dati della persona fisica, cioè il titolare del trattamento e se presente, l’informativa dovrà indicare anche il suo rappresentante.

Esempio – L’azienda che ha assunto Antonio è titolare del trattamento dei dati personali e nell’informativa deve riportare il nome dell’azienda, la sede e i contatti. Se invece l’organizzazione fosse uno studio legale, per esempio, il titolare del trattamento sarebbe lo studio legale Paperopoli nella persona dell’avv. Pluto.

3) Il DPO, se nominato, ed i suoi recapiti

Il DPO (Data Protection Officer) o Responsabile della Protezione dei Dati personali (RPD) è la nuova figura introdotta dal GDPR. È un consulente tecnico e legale – interno o esterno all’azienda – che ha il compito di: informare il titolare, il responsabile e gli addetti affinché rispettino la normativa; sorvegliare responsabili e addetti per verificare che si attengano al GDPR; cooperare per fare da punto di contatto fra l’autorità di controllo e il titolare del trattamento.

Il DPO non è obbligatorio per tutti.

4) Quali sono i trattamenti effettuati e perché

In questa parte dell’informativa, il titolare del trattamento spiega come tratterà i dati dell’interessato e per quali finalità.

Esempio – L’informativa di Mario spiega che i suoi dati personali verranno usati solo per l’avvio e la gestione del rapporto di lavoro, la gestione dei dati fiscali, previdenziali e assicurativi, la sicurezza sul lavoro. Spiega anche come verranno trattati i dati di Mario, ad esempio con sistemi informatici e cartacei, verranno inseriti nelle scritture e nei registri obbligatori per legge e trasmessi agli istituti previdenziali e agli uffici finanziari per rispettare quanto previsto dalla legge per i datori di lavoro.

5) Qual è la base giuridica del trattamento

La base giuridica è il motivo che giustifica il trattamento dei dati. E’ necessario capire su quali basi su cui si fonda il trattamento dei dati. Si tratta di un passaggio necessario, perché i diritti delle persone dipendono dalla base normativa scelta per trattare i loro dati.

Esempio – Nel caso di Mario, che viene assunto dalla società, la base giuridica è il contratto di lavoro e dagli obblighi di legge. Quindi, leggendo l’informativa, Antonio sa che l’azienda non utilizzerà i suoi dati per finalità diverse dalla gestione del rapporto di lavoro, ad esempio di marketing e per mandargli i volantini pubblicitari.

6) Quali sono i dati raccolti

I dati raccolti sono i dati personali. Un dato personale è qualsiasi informazione che riconduce ad un singolo individuo per via delle sue caratteristiche, relazioni, abitudini, stile di vita e così via.

Quindi sono dati personali: le informazioni identificative – nome, cognome, data e luogo di nascita, residenza, domicilio, immagini che ritraggono la persona, e le informazioni che una volta venivano chiamate dati sensibili, orientamento sessuale, condizioni di salute, origine razziale ed etnica, convinzioni religiose, filosofiche, opinioni politiche, adesione a partiti, sindacati, organizzazioni di varia natura; infine le informazioni giudiziarie, che possono rivelare l'esistenza di provvedimenti giudiziari ma anche i dati legati alle nuove tecnologie: dati relativi alle comunicazioni elettroniche telefoniche e internet – come l’indirizzo IP -, i dati che permettono di geolocalizzare una persona, quelli genetici e biometrici.

L’informativa deve indicare quali dati personali verranno raccolti: una scelta che dipende dall’attività del titolare e dal tipo di trattamento. Per esempio, l’informativa di un sito web normale – non di YouPorn.com – non tratterà dati relativi alla vita sessuale degli interessati, ma dati più normali, come quelli sulla navigazione delle pagine e l’iscrizione alla newsletter.

7) Se il trattamento comporta operazioni automatizzate, come la profilazione

La profilazione dei dati personali è la raccolta di informazioni su un individuo o un gruppo di individui per analizzarne le caratteristiche e inserirli in categorie o gruppi e poterne fare delle valutazioni o previsioni.

Se la profilazione avviene con sistemi automatizzati, la cosa si fa più delicata e l’informativa deve spiegare che i dati verranno utilizzati per questa finalità in modo chiaro, completo ed esaustivo.

8) Se i dati verranno comunicati a soggetti esterni (responsabili esterni)

L’informativa deve indicare se i dati vengono comunicati ad altri soggetti, diversi dal titolare del trattamento, cioè i responsabili esterni.

Esempio – Nel caso di Mario, l’azienda che lo assume si affida ad uno studio di Reggio Emilia per fare le buste paga. Lo studio paghe quindi è un responsabile esterno. Non è necessario indicare la ragione sociale, la sede e i contatti del consulente ma almeno l’indicazione che i  dati di Mario verranno gestiti per obblighi di legge e contrattuali da studi esterni. Mario potrà sempre chiedere evidenza del Responsabile e quindi i dati dello studio paghe dovranno essere presenti sul Registro dei Trattamenti.

9) Per quanto tempo saranno conservati i dati e in che modo

L’informativa deve indicare come e per quanto tempo vengono conservati i dati: archiviati in un’agenda cartacea o con strumenti elettronici? Vengono salvati in cloud? Su un foglio Excel? E per quanto tempo vengono conservati? Peraltro il principio di privacy-by-design introdotto dal GDPR ci obbliga ad organizzare preventivamente l'intero processo di gestione dei dati, compreso quindi il modo in cui li strutturiamo e li conserviamo, per ridurre il rischio di violazioni.

Esempio – L’azienda metalmeccanica in cui lavora Mario conserva tutti i dati anagrafici dei dipendenti in un sistema di repository in Cloud. L’informativa rilasciata a Mario deve contenere in maniera sintetica anche questa informazione.

10) Se i dati saranno trasferiti in altri Paesi e come

L’informativa deve comunicare se i dati personali vengono trasmessi all'estero, cioè in Paesi che sono al di fuori dell'Unione Europea e dello spazio economico comunitario.

Esempio – L’azienda usa DropBox per poter comunicare e condividere file con i propri clienti, DropBox purtroppo i Dati li tiene su server americani, quindi nell’informativa deve essere indicato che i dati saranno trasferiti in America.

11) Quali sono i diritti dell’interessato

Il GDPR stabilisce che i diritti di chi lascia i propri dati personali vanno riportati anche nell’informativa:

  • il diritto a essere informati su come e perché vengono trattati i suoi dati
  • il diritto di accedere ai propri dati
  • il diritto di poter correggere i propri dati
  • il diritto alla cancellazione dei dati da parte del titolare e dei responsabili
  • il diritto alla portabilità dei dati, cioè chiedere che i dati vengano o trasferiti direttamente ad un'altra azienda, quando è possibile tecnicamente
  • il diritto all'obiezione, cioè di chiedere all’organizzazione che elabora i dati personali - sulla base di un proprio legittimo interesse o come parte di un'attività di interesse pubblico o per un'autorità ufficiale – di non utilizzarli
  • il diritto a non essere oggetto di scelte automatizzate, come la profilazione

Conclusioni

Per tutte queste ragioni, tornando a quanto detto all’inizio, si può comprendere come una informativa standard non può esistere e come debba essere scritta con massima attenzione ai modi ed ai contenuti.

La redazione dell’informativa può essere quindi una attività complessa e richiedere anche l’intervento di un professionista esterno. Il consiglio è quindi di prestare grande attenzione a chi ci si rivolge ed a non sottovalutare questo adempimento.

Per completare e sottolineare la importanza della informativa riporto di seguito l’ultimo provvedimento del Garante che riguarda una sanzione ad una azienda per una informativa non corretta ai propri dipendenti.

40.000€ di sanzione per informativa non corretta

Torna alle news

Se questo post ti è piaciuto, faccelo sapere!

Inserisci un nuovo commento

Iscriviti alla newsletter 

  Dichiaro di aver letto l’informativa privacy e, consapevole del fatto che la manifestazione di consenso è obbligatoria per l’invio dei dati tramite il form e per l’accesso ai servizi, ai fini di dimostrazione e di prova, acconsento al trattamento dei dati personali da me inseriti nel form per le finalità ivi specificate.

Categorie News

Seguici su Facebook

Non perdere neanche una notizia: clicca su mi piace!

Galleria video

Tags

Informatore Informatico © Copyright 2016 - All Rights Reserved Privacy e Cookie Policy

Responsabile Redazione: Luigi Duraccio

Mi sostengono in questo progetto:
In.Ser.T. Srl. - In4mati Srl - Martinelli Srl - Pratical Group - Informatica95 SrlBieffe