Informativa privacy

Informativa privacy

Che cos'è l'informativa privacy?

L’informativa privacy non è altro che un documento nel quale un soggetto definito dal Regolamento Generale sulla Protezione dei Dati n. 679/2016 – GDPR – come “titolare del trattamento”, fornisce all’interessato – ossia la persona fisica alla quale quei dati oggetto di trattamento fanno riferimento – tutta una serie di informazioni che gli consentono di sapere chi è il soggetto che tratta i dati, con quali finalità i dati vengono trattati, quanto tempo dura il trattamento, attraverso quali modalità è realizzato il trattamento e quali sono i diritti che l’interessato può esercitare.

Quando sono obbligato a fornire l'informativa privacy?

L’informativa è obbligatoria ogni qual volta vi sia un trattamento di dati di persone fisiche. L’obbligo di informare gli interessati va adempiuto prima o, al più tardi, al momento di dare avvio alla raccolta dei dati.

Non occorre informare l’interessato quando:

  • l’interessato dispone già delle informazioni;
  • comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato per il titolare del trattamento;
  • l’ottenimento o la comunicazione sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare;
  • i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri.
  • i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria;
  • il trattamento è connesso allo svolgimento delle “investigazioni difensive” in materia penale (art. 38 norme di attuazione del c.p.p.) o alla difesa di un diritto in sede giudiziaria (a meno che il trattamento si protragga per un periodo superiore a quello strettamente necessario al perseguimento di tali finalità o sia svolto per ulteriori scopi).

Cosa deve contenere l'informativa privacy?

L’informativa deve avere il seguente contenuto:

  • categorie di dati trattati e finalità del trattamento;
  • la base giuridica del trattamento, quindi se si tratta di trattamento basato su consenso o giustificato da leggi o legittimi interessi;
  • natura obbligatoria o facoltativa del conferimento dei dati e le conseguenze di tale rifiuto (specificando che è possibile rifiutare il consenso a singoli trattamenti quali quelli a fini di marketing diretto);
  • se il titolare ha intenzione di utilizzare i dati per una finalità diversa da quella per la quale sono stati raccolti;
  • i soggetti destinatari ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi (l’indicazione di soggetti terzi non può essere generica);
  • se il titolare ha intenzione di trasferire i dati in paesi extra UE, nel qual caso se esiste o meno una decisione di adeguatezza della Commissione UE (ovvero se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo, o l’organizzazione internazionale in questione garantiscono un livello di protezione adeguato, per cui il trasferimento non necessita di autorizzazioni specifiche);
  • il periodo di conservazione dei dati oppure l’indicazione dei criteri per determinarlo;
  • i diritti dell’interessato (diritto di accesso ai dati personali, di ottenere la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano, di opporsi al trattamento, di revocare il consenso, diritto di presentare reclamo all’autorità di controllo, eventuale diritto alla portabilità);
  • i dati identificativi (nome, denominazione o ragione sociale, domicilio o sede) del titolare del trattamento e, se designato, del responsabile per la protezione dei dati (DPO), quindi un recapito al quale gli interessati potranno rivolgersi per esercitare i propri diritti;
  • se il trattamento comporta processi decisionali automatizzati deve essere specificato indicando anche la logica di tali processi decisionali e le conseguenze previste per l’interessato.

All’interno dell’informativa privacy devono essere indicati anche i cookie che veicola il sito (se ne esiste uno), le modalità di disabilitazione dei cookie e, nel caso di cookie di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti.

Nel caso di dati raccolti presso terze parti, l’informativa deve presentare dei contenuti ulteriori:

  • l’indicazione delle categorie dei dati personali oggetto del trattamento;
  • l’indicazione della fonte da cui hanno origine i dati personali (che può essere anche fonte accessibile al pubblico);

Come posso rendere tale informativa accessibile al pubblico?

L’informativa viene di solito affissa in una portineria o comunque resa immediatamente visibile all’ingresso dei locali aziendali, così da renderla facilmente consultabile agli interessati. Non di rado, però, vengono scelte modalità decisamente più pratiche, come la semplice pubblicazione di questa sul sito internet dell’azienda.

Bisogna ricordare, inoltre, che nelle aree soggette a videosorveglianza andrà installato un cartello che indica che l’area è videosorvegliata, dimodoché gli interessati sappiano che stanno accedendo a un’area dove il loro comportamento viene monitorato.

E se non dovessi fornire alcuna informativa?

Una violazione in materia di informazione agli utenti può avere come conseguenza l’indagine da parte dell’autorità di controllo, la quale può imporre delle significative sanzioni, financo il blocco di tutti i dati raccolti ed elaborati in violazione delle norme.

Inoltre, gli interessati possono avviare un’azione per il risarcimento del danno contro il titolare del trattamento.