Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale?   In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

Garante privacy: differita l’efficacia del documento di indirizzo sui metadati.Quando gli obblighi previsti diverranno applicabili?    A pochi giorni di distanza dal comunicato con cui il Garante diffondeva il “Documento di indirizzo sulla conservazione dei metadati”, la stessa Autorità ha deciso…

Con chi si interfaccia il DPO e con quali modalità? I risultati del CEF 2023    Dall’indagine condotta dalle Autorità europee sul ruolo del DPO (il CEF 2023, ne abbiamo parlato qui), sono emersi alcuni dati preoccupanti: spesso i Responsabili della…

Nuova Linea di Indirizzo del Garante per la Protezione dei Dati sul Trattamento dei metadati e mail nelle aziende    Il Garante per la protezione dei dati personali ha recentemente introdotto una nuova linea di indirizzo che riguardano la gestione dei…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema    La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO)…

Colpa d’organizzazione e responsabilità D.Lgs. 231       La recente sentenza 4210/2024 della Cassazione ribadisce un principio fondamentale riguardo alla responsabilità amministrativa delle società e degli enti: l'essenza colposa della responsabilità dell'ente per reati commessi nell'interesse o a vantaggio…

La proposta di riforma della Direttiva ePrivacy è finita su un binario morto               La Direttiva ePrivacy del 2002 rappresenta uno strumento legale fondamentale per la privacy nell'era digitale, questa si concentra specificatamente sulla…

IoT & PMI: quali regole seguire per implementare progetti IoT nella propria organizzazione? Secondo recenti indagini, negli ultimi anni il ricorso alle tecnologie dell’Internet degli Oggetti (Internet of Things - IoT) ha visto un importante balzo in avanti nel settore…

È sempre necessario predisporre l’informativa privacy?

 
 
Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato, nel corso degli anni, diversi provvedimenti in materia di esenzione dall’obbligo di informativa. Non sempre, quindi, l’organizzazione che tratta i dati personali è tenuta a predisporre o fornire tale documento agli interessati.
 
 
La trasparenza nel GDPR

Prima di esaminare le eccezioni alla regola è necessario comprendere appieno quale sia la regola, ovvero cosa prevede la normativa di riferimento.

Nel GDPR la trasparenza rappresenta un principio fondamentale, sancito dall’articolo 5 (“i dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato […]”), volto a permettere agli interessati di esercitare il pieno controllo sui propri dati personali, ad esempio concedendo o revocando il consenso al trattamento oppure esercitando consapevolmente uno fra i tanti diritti che sono loro riconosciuti dal Regolamento europeo.

Per tale ragione, in considerazione dell’importanza che riveste il suddetto principio per gli interessati, la violazione dello stesso dà adito a sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Cosa fare per evitare di incorrere in multe tanto salate?

 

Gli obblighi di informazione nel Regolamento

Il concetto di trasparenza si esplica concretamente in una serie di obblighi di informazione in capo ad enti ed imprese. Stiamo parlando, in particolare, dell’informativa prevista dagli articoli 13 e 14 del GDPR, i quali elencano una serie analitica di elementi che devono necessariamente essere inclusi in tale documento (ad esempio, l’identità e i dati di contatto del titolare, i dati di contatto del DPO, le finalità perseguite, i destinatari dei dati, etc.).

Per garantire il rispetto del principio di trasparenza, però, non basta che tutti questi elementi siano presenti. Il Regolamento, infatti, fornisce tutta una serie di ulteriori, specifiche, prescrizioni.

A titolo esemplificativo ne citiamo alcune:  

  • Prescrizioni relative alla forma delle informazioni fornite (l’informativa deve risultare concisa, trasparente, intelligibile e facilmente accessibile);
  • Prescrizioni relative al linguaggio utilizzato (semplice e chiaro);
  • Prescrizioni relative alle informazioni da destinare ai minori;
  • Prescrizioni relative alle modalità attraverso le quali fornire le informazioni (per iscritto, in forma elettronica o oralmente);
  • Prescrizioni relative all’accessibilità delle informazioni fornite (uso di icone);
  • Prescrizioni relative ai termini da rispettare per la consegna delle informazioni.

 

Regole ed eccezioni

A quanto disposto dal GDPR si aggiungono le Linee guida sulla trasparenza del “WP29”, l’attuale Comitato europeo per la protezione dei dati, nonché tutte le indicazioni fornite dalle Autorità di controllo, fra cui il nostro Garante per la protezione dei dati personali, nei vari provvedimenti pubblicati dal momento in cui il Regolamento è divenuto pienamente applicabile.

Realizzare un documento denominato “informativa privacy” seguendo l’elenco di cui agli articoli 13 e 14, quindi, è un’operazione semplice. Ma realizzare un’informativa privacy che sia davvero pienamente conforme alle norme, non lo è affatto. Oltre alla conoscenza di fonti, prassi e linee guida di riferimento, serve l’esperienza sul campo, utile a comprendere cosa si aspettano davvero le Autorità in caso di controlli / ispezioni.

Ciò premesso, compresa l’importanza di una regola che, solo apparentemente, può sembrare di facile applicazione, il Regolamento prevede anche delle deroghe, ovvero specifiche eccezioni all’obbligo di fornire le informazioni agli interessati.

 

Quali eccezioni?

In alcune situazioni il GDPR prevede che si possa fare a meno dell’informativa privacy (art. 13, par. 4, e art. 14, par. 5, oltre a quanto previsto dall’art. 23, par. 1). Le casistiche sono riassunte all’interno del considerando 62 al GDPR, il quale prevede che non è necessario imporre l’obbligo di fornire l’informazione se:

  • l’interessato dispone già dell’informazione;
  • la registrazione o la comunicazione dei dati personali sono previste per legge;
  • informare l’interessato si rivela impossibile;
  • informare l’interessato richiederebbe uno sforzo sproporzionato.

Occorre ricordare che, alla luce del principio di accountability (responsabilizzazione), il titolare deve essere in grado di dimostrare di rientrare in una di queste casistiche.

Ad esempio, nel caso in cui l’interessato disponga già dell’informazione (il punto n. 1 dell’elenco), il titolare deve documentare quali informazioni l’interessato possiede già, come e quando le ha ricevute e l’assenza di modifiche delle informazioni tali da renderle obsolete.

Ugualmente, nel caso in cui informare l’interessato richiederebbe uno sforzo sproporzionato (il punto n. 4 dell’elenco), spetta al titolare valutare, ed essere in grado di dimostrare, la presenza di uno sforzo effettivamente qualificabile come “sproporzionato”, rispetto al conferimento delle informazioni.

 

La tua organizzazione è tenuta a fornire l’informativa? 

Risulta evidente che anche valutare l’applicazione delle eccezioni non è un’operazione banale. I fattori da considerare sono molteplici, tanto che l’Autorità Garante nella “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” di agosto 2023, invita i titolari a “fare riferimento alle Linee guida del WP29 e dell’EDPB in materia di trasparenza, che contengono numerosi esempi a tale proposito oltre a fornire indicazioni operative più generali”.

Follow us on
Our Gallery