Obbligo per il titolare e vero e proprio diritto per l’interessato, l’informativa svolge un ruolo essenziale per impostare correttamente il trattamento dei dati. L’informativa è la comunicazione, da parte del titolare – o di un suo sottoposto – all’interessato, delle informazioni che consentono non solo di venire a conoscenza del soggetto che si occuperà del trattamento dei dati, ma anche delle finalità dello stesso e dei diritti di cui l’interessato dispone. Nella logica, quindi, di instaurare un trattamento dei dati corretto e lecito, l’informativa risponde al principio di trasparenza che deve permeare l’intero trattamento. In via generale, le informazioni devono essere fornite all’interessato al momento della raccolta o, se i dati sono ottenuti da terzi, entro un tempo ragionevole che non può superare 1 mese dalla raccolta, oppure, se i dati devono essere comunicati a terzi, al momento in cui avviene questa comunicazione. L’informativa deve essere resa in forma concisa, trasparente, intelligibile e facilmente accessibile. Queste prescrizioni impongono al titolare di impiegare un linguaggio semplice e chiaro, che renda l’interessato pienamente consapevole delle attività di trattamento svolte e dei diritti di cui può avvalersi.
Per quanto riguarda la forma, sebbene il GDPR non prescriva l’obbligo di adoperare la forma scritta, questo risulta altamente consigliabile, sia per una maggiore attendibilità in sede probatoria, sia per informare l’interessato in modo più puntuale. Ad ogni modo, la decisione finale è lasciata al titolare la scelta della modalità più appropriata in relazione al caso di specie. Come chiarito dal Garante per la protezione dei dati personali, è buona norme abbracciare il concetto di informativa “stratificata”: ricorrere ad una prima “informativa sintetica”, molto snella, dove indicare solo alcune informazioni essenziali – magari avvalendosi di icone -, e rinviare successivamente alla versione estesa dell’informativa, magari impiegando strumenti elettronici per facilitarne la diffusione. Per quanto riguarda i contenuti dell’informativa, questi sono chiaramente indicati agli articoli 13 e 14 del Regolamento europeo che prescrive l’indicazione:
- dei dati di contatto del titolare del trattamento, degli eventuali contitolare e responsabili, e, se nominato, del DPO;
- delle finalità del trattamento e della base giuridica dello stesso;
- dell’interesse legittimo, qualora questo costituisca la base giuridica del trattamento;
- dei destinatari;
- della volontà o meno del titolare di trasferire i dati all’estero.
Infine, nel momento in cui i dati personali sono ottenuti, il GDPR prescrive la comunicazione di ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente: - il periodo di conservazione dei dati, oppure i criteri per stabilirlo;
- il diritto dell’interessato di chiedere al titolare l’accesso ai dati personali, la rettifica o la cancellazione degli stessi, la limitazione del trattamento e l’opposizione al loro trattamento;
- se il trattamento è basato sul consenso, il diritto di revocare il consenso in qualsiasi momento senza che ciò pregiudichi la liceità del trattamento precedentemente effettuato;
- il diritto di proporre un reclamo all’autorità Garante;
- se la comunicazione dei dati è un obbligo legale o contrattuale o un requisito per la conclusione di un contratto;
- l’esistenza di procedimenti automatizzati o di profilazione.
Daniele Singh Dhoor