top of page

Trattamento dei dati personali

Aggiornamento: 11 mag 2018

L'informativa a confronto prima e dopo le novità del GDPR


Con il GDPR l’informativa privacy cambia, anche nella forma, il regolamento UE n. 679, infatti, chiede agli operatori di ricorrere ad un linguaggio semplice e chiaro, un linguaggio informale - anche grafico se necessario - in modo da far comprendere tempestivamente agli interessati come saranno trattati e per quale scopo i loro dati personali. L’informativa prevista dal GDPR deve parlare dunque nel linguaggio del consumatore, deve essere schematica e facilmente accessibile nel contenuto. Informative incomprensibili, tecniche o particolarmente lunghe non saranno considerate conformi. Il GDPR raccomanda anche il possibile impiego di informative suddivise su più livelli, un’informativa breve, che parta dal sintetico disclaimer, fino ad un’informativa completa, magari corredata da appositi link a documenti di policy particolareggiate, in cui dovranno essere indicate, in maniera dettagliata, ma sempre attraverso un linguaggio colloquiale, le informazioni che un titolare del trattamento deve indicare ai sensi dell’art. 13 del GDPR e anche eventuali ulteriori informazioni sui dati personali trattati, qualora lo si ritenesse opportuno; anche un video clip corredato da elementi vocali espositivi del contenuto è considerato un valido strumento per rendere l’informativa correttamente.


Chiarito come dovrà presentarsi nella sua struttura linguistica l’informativa, chiariamo di seguito quali sono le fondamentali differenze contenutistiche tra l’informativa ex art. 13 del Codice Privacy e l’odierna informativa richiesta dal GDPR.


Innanzitutto, entrambe le disposizioni richiedono che l’informativa riporti i dati del titolare del trattamento e, ove applicabile, i dati del rappresentante.


Dati di contatto del responsabile per rispondere alle richieste dell’interessato – Art. 13 Codice Privacy contro Dati di contatto DPO – Art. 13 GDPR


Mentre, l’informativa secondo il Codice Privacy richiede di indicare i dati di contatto del responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, qualora sia stato designato; nell’informativa ex GDPR questa figura scompare e al suo posto viene inserita la figura del DPO, l’art. 13 del GDPR richiede infatti l’obbligatoria indicazione dei dati del DPO, quando è necessaria la sua nomina. Naturalmente, la figura del DPO ha una portata più ampia rispetto al responsabile richiamato nell’art. 13 del Codice Privacy.


Finalità e modalità del trattamento


Entrambe le disposizioni obbligano ad indicare le finalità e le modalità del trattamento, ma l’art. 13 del GDPR specifica anche la necessaria indicazione dell’eventuale interesse legittimo perseguito dal titolare del trattamento o da terzi, qualora il trattamento si basi sul legittimo interesse del titolare o del rappresentante.


Comunicazione della necessità o meno di fornire i dati


Entrambi gli articoli stabiliscono che venga chiarito se la comunicazione dei dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto e se l’interessato ha l’obbligo di fornire i dati personali oltre che le possibili conseguenze della mancata comunicazione di tali dati, anche se il GDPR dettaglia in maniera più precisa cosa indicare.


Soggetti cui vengono comunicati i dati personali


L’art. 13 del GDPR richiede di indicare gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali, lo fa anche l’art. 13 del Codice Privacy, ma impone di precisare anche l’ambito di diffusione dei dati.


Il GDPR impone di inserire nell’informativa qualora applicabile, l’intenzione del titolare del trattamento di trasferire dati personali verso un paese terzo o un’organizzazione internazionale e precisare l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all'articolo 49, secondo comma del GDPR, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia dei dati o il luogo dove sono stati resi disponibili.


Diritti dell’interessato


Diritto di essere informato, diritto di accesso, rettifica e aggiornamento e diritto di cancellazione

L’indicazione del diritto di essere informati sui dati, quello di accesso, di rettifica e aggiornamento e il diritto di cancellazione sono previsti in entrambe le norme; mentre l’art. 13 del Codice Privacy richiede di informare anche sulla possibilità di ottenere la trasformazione in forma anonima altresì sui dati di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati, cosa non prevista dall’informativa secondo il GDPR.


L’art. 13 ex Codice Privacy, impone di informare anche in merito alla conferma che aggiornamento e rettificazione se richieste siano state eseguite e siano state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, ad eccezione del caso in cui tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato. Elemento questo che, anche se non espressamente previsto dall’art. 13 ex GDPR, comunque rientra nel rispetto del principio di accountability ed è fissato espressamente nell’art. 19, pertanto il titolare dovrebbe in ogni caso informare l’interessato, anche se adesso non è previsto l’obbligo di rendere l’informazione nell’informativa.


Diritto di opposizione

In entrambe le disposizioni è imposto l’obbligo di informare dell’esistenza del diritto di opporsi al trattamento per motivi legittimi e di opporsi ritirando il consenso espresso in qualsiasi momento (ad esempio se prestato per motivi di marketing).


Diritto di blocco – art. 13 Codice Privacy contro Diritto alla limitazione – art. 13 GDPR

L’art. 13 del Codice Privacy prevede inoltre di indicare il diritto di blocco dei dati trattati in violazione di legge, diritto che si sostanzia nel diritto alla limitazione fissato invece dal GDPR; tuttavia il diritto alla limitazione ha una portata più ampia rispetto al vecchio diritto di blocco del trattamento. Il GDPR, infatti, dedica un articolo specifico a tale diritto (art. 18), in cui si chiarisce che esso deve essere indicato nell’informativa in un paragrafo dedicato a parte rispetto agli altri diritti.


Diritto alla portabilità

Si tratta di un’indicazione prevista solo dal GDPR da indicare nei casi previsti dall’art. 20, ovvero se:


il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell'articolo 6, paragrafo 1, lettera b); e

il trattamento sia effettuato con mezzi automatizzati.

Rendere noti i processi decisionali automatizzati


Quando il trattamento è effettuato per fini di profilazione oppure qualora esista un processo decisionale automatizzato, il GDPR impone di indicare espressamente nell’informativa l’esistenza del processo decisionale automatizzato, compresa la profilazione, precisando dettagli in merito alla logica utilizzata, all’importanza e alle conseguenze previste di tale trattamento per l’interessato.


Conservazione dei dati e diritto di proporre reclamo


Il GDPR impegna ad indicare nell’informativa il periodo di conservazione dei dati personali o, se non è possibile, i principi utilizzati per determinare tale periodo e il diritto di proporre reclamo a un’autorità di controllo, informazioni che invece non erano previste dall’art. 13 del Codice Privacy.

Post recenti

Mostra tutti
bottom of page