Privacy

Informativa e consenso privacy, in arrivo il cambiamento

| 05/09/2017 07:34

E' già in vigore il "Nuovo Regolamento Europeo" n. 2016/679 in materia di protezione dei dati personali, che sarà direttamente applicabile in tutti i Paesi UE a decorrere dal 25 maggio 2018. E' partito dunque il conto alla rovescia per gli Stati membri che devono adoperarsi per allineare la normativa nazionale in materia di protezione dati alle disposizioni e novità previste dal Regolamento.

Il Regolamento è parte del c.d. "Pacchetto protezione dati" che, insieme alla Direttiva n. 2016/680 in materia di "Trattamento dati personali nei settori di prevenzione, contrasto e repressione dei crimini", sono volte a definire il nuovo quadro comune, in materia di tutela dei dati personali per tutti gli Stati membri dell'UE.
Il testo normativo del Nuovo Regolamento, pubblicato in GU dell'Unione Europea lo scorso 4 maggio 2016, coinvolge tutti gli operatori che direttamente ed indirettamente si occupano di trattamento dei dati personali.

Se da un lato sono numerosi i nuovi adempimenti introdotti dalla normativa comunitaria, d'altro lato restano invariati, ed anzi si rafforzano, i principi fondamentali regolanti l'ambito privacy. Basti semplicemente pensare che anche il Regolamento Europeo, così come l'attuale normativa ancora vigente in Italia, assegna un ruolo centrale al "consenso" e alla "informativa", che trovano nella loro disciplina un nuovo vigore, con maggiori tutele per gli interessati.
L'Informativa (artt. 12, 13, 14 del Reg. Europeo n. 2016/679)
L'art. 12 del Regolamento definisce "informativa", quel nucleo di informazioni che il titolare del trattamento è tenuto a fornire ai soggetti di cui si appresta a trattare i dati. Tale definizione va interpretata secondo il principio di trasparenza, che il Regolamento, meglio illustra rispetto alla normativa previgente.
Secondo la normativa comunitaria, infatti, l'informativa deve esser concisa, trasparente, intellegibile e facilmente accessibile. Questa deve esser data per iscritto - preferibilmente in formato elettronico – e, al fine di renderla più sintetica e maggiormente fruibile, è autorizzato l'utilizzo di "icone". Gli Stati UE infatti, nel loro processo di allineamento della loro normativa privacy nazionale a quella comunitaria, stanno lavorando ad un sistema di uniformizzazione iconografica.
Proseguendo la disamina normativa del Regolamento, si osserva che, il Regolamento ha previsto due ipotesi diverse di informativa, a seconda che i dati siano o meno raccolti presso l'interessato.
In particolare l'art. 13 del nuovo Regolamento Privacy, enumera le informazioni che il titolare deve fornire all'interessato, qualora i dati personali siano raccolti presso di lui; mentre, l'art. 14, elenca quelle da rendersi ove i dati invece siano raccolti presso un soggetto diverso dall'interessato.
Per l'appunto, nell'ipotesi in cui i dati vengano raccolti presso il titolare del trattamento, questi dovrà fornire all'interessato un'informativa che contenga:
a)l'identità e i dati di contatto del titolare e, ove applicabile del suo rappresentante;
b)i dati di contatto del Responsabile del Protezione dei Dati (c.d. DPO);
c)le finalità del trattamento;
d)i legittimi interessi del titolare di terzi;
e)i destinatari dei dati;
f)l'intenzione del titolare di trasferimento dei dati ad un paese terzo;
g)il periodo di conservazione dei dati o, se non è possibile, i criteri utilizzati per determinare tale periodo;
h)il diritto di accesso ai dati da parte dell'interessato, il diritto di rettifica e di cancellazione, la limitazione del trattamento o l'opposizione allo stesso e il diritto alla portabilità;
i)il diritto di revoca del consenso;
j)il diritto di reclamo all'autorità di controllo;
k)l'obbligatorietà o la non obbligatorietà di comunicare dati e nonchè le possibili conseguenze di un eventuale rifiuto;
l)l'esistenza di un processo automatizzato come la profilazione e l'indicazione delle logiche utilizzate, dell'importanza e delle conseguenze del trattamento.
Inoltre, nel caso in cui i dati raccolti vengano utilizzati per una finalità diversa da quella per cui gli stessi sono stati ottenuti, prima di un ulteriore trattamento, il titolare ha l'obbligo di fornire all'interessato tutte le informazioni in merito alla finalità diversa per cui i dati verranno utilizzati, nonchè tutte le necessarie ed ulteriori informazioni pertinenti.
Nella diversa ipotesi in cui, invece, i dati vengano raccolti presso soggetti diversi dall'interessato, l'art. 14 del Regolamento prevede che il responsabile del trattamento fornisca all'interessato un'informativa:
a) entro un termine ragionevole dall'ottenimento dei dati, al più tardi entro un mese in considerazione delle specifiche circostanze la cui i dati vengano trattati;
b) in caso di prevista comunicazione con altro destinatario al più tardi al momento della prima divulgazione dei dati;
c) nel caso in cui i dati siano destinati alla comunicazione con l'interessato al più tardi al momento della prima comunicazione all'interessato.
In tutti questi casi, ad ogni modo, l'informativa deve contenere:
a) tutto quanto sopra indicato per l'ipotesi in cui i dati siano raccolti presso l'interessato (art. 13 Reg. n. 2016/679);
b) le categorie dei dati in questione;
c) i legittimi interessi perseguiti dal titolare del trattamento o da terzi qualora il trattamento sia basato su un legittimo interesse;
d) la fonte di provenienza dei dati e se questa ha carattere pubblico.
Anche in questo caso il titolare del trattamento, prima di procedere con qualsivoglia ulteriore trattamento non previsto inizialmente, deve fornire all'interessato le informazioni in merito alla diversa finalità dell'utilizzo dei suoi dati personali.
Gli unici casi in cui può essere omessa l'informativa sono i seguenti:
1) se si dispone già delle informazioni o sono informazioni note;
2) se comunicare tali informazioni comporta uno sforzo sproporzionato o è impossibile (valutazione che spetta al titolare del trattamento);
3) se l'ottenimento dei dati o, la loro comunicazione, sono previsti dal diritto dell'Unione;
4) se i dati devono restare riservati per un obbligo di segreto professionale.
La nuova normativa comunitaria, quindi, affida all'informativa non solo un ruolo centrale, ma anche un carattere dinamico, mutevole nel corso del tempo, differentemente dalla attuale staticità a cui eravamo abituati. Non saranno sufficienti pertanto i classici format utilizzati sino ad ora, ma occorrerà predisporre delle informative più complete e maggiormente adatte a ciascun singolo caso.

Il Consenso (art. 7 del Reg. Europeo n. 2016/679)
Unitamente all'informativa, un ruolo principale è rivestito dal consenso.
L'art. 7 del Regolamento Comunitario in esame, infatti, sottolinea l'importanza di questo elemento prevedendo che il titolare del trattamento deve essere sempre in grado di poter dimostrare che l'interessato abbia espresso liberalmente il consenso al trattamento dei propri dati personali.
Pertanto il Legislatore UE rimarca il principio secondo cui ogni trattamento è lecito se - e solo se - l'interessato ha chiaramente, preventivamente ed inequivocabilmente espresso il suo consenso al trattamento "in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro".
Vi deve esser quindi una manifestazione di volontà dell'interessato, libera ed esplicita.
Per queste ragioni, il Regolamento non ammette forme di consenso cc.dd. tacite e, pertanto, in tema di privacy, il "silenzio, non equivale al consenso".
Il Regolamento, inoltre, ripone grande attenzione per il trattamento dei dati dei minori di 16 anni: in tali specifici casi, il consenso deve esser fornito da chi esercita la potestà genitoriale sul minore. Un'attenzione particolare meritano pertanto le iscrizioni ai social e l'utilizzo di alcune App.
Infine il Regolamento pone in capo all'interessato il diritto di revocare il proprio consenso in qualunque momento e senza alcuna giustificazione.
Gli addetti ai lavori si domandano quindi se i consensi raccolti prima del 25 maggio 2018 ossia, prima della data di applicazione del Regolamento, restino validi o meno: se i consensi raccolti rispecchiano le caratteristiche sino ad ora descritte, saranno pienamente validi; ma, ove non dovessero rispettare le peculiarità indicate dalla norma, sarò necessario che i responsabili del trattamento provvedano a raccoglierne di nuovi.

Il Nuovo Regolamento Comunitario quindi, travolge ed innova gli elementi caratteristici della normativa privacy.
Comparando la vecchia (ma ancor vigente) disciplina al Nuovo Regolamento n. 679/2016, con riguardo all'informativa si può senz'altro confermare che il suo perimetro è di certo più ampio e più dettagliato; anche se più intellegibile, comunicativo, accessibile nonché composto da un linguaggio chiaro e semplice. Basti infatti pensare che, la stessa, può esser fornita per iscritto anche con l'utilizzo di icone al fine di rendere il nucleo informativo più snello e fruibile.
Anche il consenso cambia veste ed assume un ruolo ancor più deciso: se il Codice provacy prevede che il consenso deve essere libero, specifico e informato nonchè formulato per mezzo di un atto formale, il Nuovo Regolamento comunitario aggiunge al consenso il carattere dalla "inequivocabilità", che non lascia scampo ad interpretazioni deresponsabilizzanti.
Per il Legislatore Comunitario quindi, il consenso al trattamento dei dati personali si colora di tinte più intense e diventa il punto nevralgico della normativa privacy al quale gli operatori dovranno prestare particolare attenzione.

Vetrina