Art.13-14 GDPR 679/2016 – “Gli Atti di Informazione” Ex Informativa Privacy

Non crediamo possa essere solo un caso che sia il “vecchio Codice della Privacy 196/2003”, che il neo “Regolamento Europeo GDPR 679/2016” abbiano identificato e disciplinato la parte legata all’Informativa Privacy entrambi con l’art.13, nei due testi di riferimento, sotto la dicitura Informazione ed accesso ai Dati Personali.

Però dedurre che siano la stessa cosa, e pensare che la “nuova informativa europea” potrà essere creata e gestita, come troppo spesso si è fatto con una certa superficialità, non corrisponde alla realtà. Molto spesso la stessa Autorità Garante ha contestato “informative fotocopia” assolutamente non rispondenti allo stato di fatto, come anche “lettere di incarico fac-simile” relative alla nomina di responsabile esterno od incaricato al trattamento prive dei requisiti adeguati, le quali peraltro in virtù della loro non adeguatezza rientrano tra le violazioni dei “requisiti minimi”, con scadimento nel penale e/o maxisanzione.

Quindi non basterà “fare l’informativa”, ma bisognerà “realizzare l’informativa e la trasparenza” sul trattamento dei dati. Da non sottovalutare anche l’ipotesi, spessa usata impropriamente da taluni, che la “mancata formale informativa ad un cliente” può portare anche a non vedersi saldate le spettanze professionali richieste, una cosa da non prendere alla leggera assolutamente.

L’articolo 13 del Codice Privacy parla di “informativa”, mentre il Regolamento parla di “informazioni”, già predisponendo la base tecnico normativa per cui ci sarà bisogno di “più atti informativi” da fornire all’utenza, e non della “sola” e spesso “minimale” Informativa Privacy.

Al contrario della Privacy statica che si fa “una volta per sempre”, il titolare non deve abbassare la guardia e constatare se, nello sviluppo del trattamento (day by day), occorra aggiornare e rinnovare l’atto di informativa per non abbassare il livello di trasparenza e del “diritto alla conoscenza” di come saranno trattati i dati personali (si pensi ai trattamenti ulteriori per finalità diverse da quelle riportate nelle informazioni iniziali). L’atto di informazione ha anche un valore sul piano delle obbligazioni assunte dal titolare del trattamento: è, infatti, un atto mediante il quale il titolare pubblicamente “auto-delimita la legittimità dei propri trattamenti”.

La regola è che i trattamenti non possono essere diversi o ulteriori rispetto a quelli inseriti nell’Atto di Informazione, pena illegittimità del trattamento. Il titolare del trattamento, qualora intenda trattare i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, deve fornire all’interessato, prima di tale ulteriore trattamento, informazioni in merito a tale finalità diversa

In questo anno 2017 sarà necessario verificare il rapporto tra il precedente modello di “informativa” descritto dal Codice della Privacy rispetto a quello voluto dal Regolamento UE per gli “atti di informazione” visto che il Regolamento Europeo richiede, obbligatoriamente, l’inserimento di “contenuti innovativi” (diritto alla portabilità e revoca, tempi di mantenimento, modalità di ricorso..etc) negli atti di informazione rispetto alla informativa del precedente Codice della Privacy.

Elementi essenziali dell’Atto di Informazione, tra cui quelli innovativi, sono:

1) obbligo di fornire i dati di contatto del responsabile della protezione dei dati (Data Protection Officer DPO); 2) indicazione espressa dell’obbligo di tenere a disposizione dell’interessato l’elenco dei responsabili del trattamento; 3) indicazione espressa dell’obbligo di indicare il responsabile del trattamento per il riscontro all’interessato in caso di esercizio dei diritti; 4) indicazione espressa dell’obbligo di indicare le modalità del trattamento; 5) obbligo di indicazione della base giuridica del trattamento (se da contratto, su base volontaria; 6) obbligo di indicazione specifica del legittimo interesse ad effettuare il trattamento; 7) obbligo di indicazione espressa della possibilità del trasferimento all’estero nonché delle relative condizioni legittimanti; 8) obbligo di indicazione del periodo di conservazione dei dati (tempi dettati per legge (1-5-10 anni) oppure in base alla necessità di adempiere alla motivazione del trattamento); 9) obbligo di indicazione espressa della possibilità di revoca del consenso; 10) obbligo di indicazione espressa della possibilità di reclamo all’Autorità di controllo (Garante Privacy); 11) obbligo di indicazione espressa delle notizie sui trattamenti automatizzati od anche parzialmente automatizzati)

Se cambia l’informativa, e diventa “atto di informazione”, cambia la base su cui si esprime il consenso e, quindi, occorre richiedere un nuovo consenso? Nella maggior parte dei casi SI, specie se sono state fatte variazioni significative nei processi di elaborazione dei dati od i consensi sono molto “vecchi” nel tempo.

Ovviamente non potendo inserire tutta la casistica della “tipologia dei trattamenti” nelle poche righe previste per una “informativa efficace e sintetica” come il GDPR ci chiede, è auspicabile anche in una ottica di ottimizzazione, redigere gli 11 elementi fondamentali per poi rimandare all’Atto di Informativa esteso diviso per sotto-categorie specifiche.

O.L.I.T. Informatica

Licenza Creative Commons
Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Condividi allo stesso modo 4.0 Internazionale.

Annunci