Informativa privacy: alcuni aspetti a cui prestare attenzione

Il titolare del trattamento deve fornire l’informativa privacy in forma  concisa, trasparente, intelligibile, facilmente accessibile e con un linguaggio semplice e chiaro.

Nonostante l’attuazione del GDPR risalga al 24 maggio 2018, non è infrequente imbattersi in informative incomplete o non conformi alle prescrizioni degli articoli 13 e 14 del GDPR.

Finalità e base giuridica del trattamento.

L’informativa deve indicare le finalità del trattamento, cioè per quali motivi sono raccolti e trattati i dati.

L’art. 6 del GDPR elenca sei basi giuridiche del trattamento, cioè sei condizioni che rendono lecito il trattamento.

L’individuazione della corretta base giuridica del trattamento è di fondamentale importanza perché un trattamento dati svolto su base giuridica errata è passibile di sanzione. Ad esempio, se il trattamento è necessario per l’esecuzione di un contratto o per adempiere ad un obbligo di legge, non sarà necessario richiedere il consenso dell’interessato e indicare questo come base giuridica del trattamento. 

Così come non sembra corretto riportare nell’informativa una molteplicità di finalità e/o l’elenco indiscriminato di tutte le basi giuridiche indicate nell’art. 6 del GDPR senza specificare quale di esse costituiscono condizioni di liceità per determinati trattamenti.

Periodo di conservazione dei dati personali.

Il principio di minimizzazione dei dati richiede, tra l’altro, che i dati siano trattati per il tempo necessario al raggiungimento delle finalità indicate, tempo oltre i quale i dati vanno cancellati o distrutti.

È quindi necessario indicare il tempo di conservazione dei dati evitando, per quanto possibile, formule generiche come “I dati saranno trattati per il tempo necessario al raggiungimento delle finalità per cui sono raccolti”.

Ad esempio, se i dati sono trattati ai fini amministrativi e contabili, la durata del trattamento coinciderà con i tempi di conservazione previsti dalla normativa in materia.

Obbligatorietà o facoltà del conferimento dei dati.

L’informativa deve indicare se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati.

Quando il trattamento dei dati personali è necessario all’esecuzione di un contratto o rappresenta un obbligo legale, la comunicazione dei dati è obbligatoria: se l’interessato rifiuta di fornire i dati non è possibile addivenire alla conclusione del contratto.

Non è infrequente imbattersi in informative che definiscono come facoltativo il conferimento dei dati per finalità contrattuali, specificando che in mancanza di conferimento non sarà possibile addivenire alla conclusione del contratto.

Se il conferimento fosse facoltativo, l’interessato avrebbe facoltà di scelta. Questa facoltà sussiste ad esempio quando i dati sono raccolti per finalità di marketing, (dove, peraltro, è richiesto il consenso), mentre la comunicazione è obbligatoria quando i dati sono necessari per adempiere ad un obbligo di legge o per concludere un contratto.

Trattamento per finalità diverse da quelle indicate. Consenso.

Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità.

Nell’informativa vanno indicate chiaramente le finalità del trattamento cui sono destinati i dati personali. Non risponde quindi al principio di trasparenza la raccolta e il trattamento di dati non esplicitamente indicati nell’informativa.

Il consenso si considera validamente manifestato solo se è informato, specifico, libero, inequivocabile.

ll consenso dovrebbe applicarsi a tutte le attività di trattamento svolte per la stessa o per le stesse finalità. Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste.

L’elemento di libertà del consenso implica un pieno potere in capo all’interessato di scegliere se accettare o meno un trattamento senza ricevere condizionamenti e vincoli e senza ottenere conseguenze negative in caso di rifiuto a conferire i dati.

Qualora si intenda utilizzare i dati dell’utente per finalità ulteriori rispetto a quelle strettamente legate alla prestazione principale o al rapporto contrattuale in essere, occorre indicarlo nell’informativa e richiedere specifico consenso per le singole finalità perseguite.

Quella di subordinare l’esecuzione di una determinata prestazione al consenso dell’interessato per finalità di marketing è una pratica diffusa. Non è frequente riscontrare casi in cui l’utente è costretto, ad esempio, ad iscriversi alla newsletter per poter usufruire della richiesta principale.

Titolare del trattamento.

L’informativa deve indicare l’identità e i dati di contatto del titolare del trattamento.

Nel caso delle società, associazioni o altre organizzazioni, il titolare del trattamento è l’entità nel suo complesso (ad esempio la società, l’ente pubblico, l’associazione).

Non è quindi corretto indicare nell’informativa quale titolare del trattamento il rappresentante legale dell’azienda o l’amministratore delegato.