È sempre necessario predisporre l’informativa privacy?
La trasparenza nel GDPR
Prima di esaminare le eccezioni alla regola è necessario comprendere appieno quale sia la regola, ovvero cosa prevede la normativa di riferimento.
Nel GDPR la trasparenza rappresenta un principio fondamentale, sancito dall’articolo 5 (“i dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato […]”), volto a permettere agli interessati di esercitare il pieno controllo sui propri dati personali, ad esempio concedendo o revocando il consenso al trattamento oppure esercitando consapevolmente uno fra i tanti diritti che sono loro riconosciuti dal Regolamento europeo.
Per tale ragione, in considerazione dell’importanza che riveste il suddetto principio per gli interessati, la violazione dello stesso dà adito a sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Cosa fare per evitare di incorrere in multe tanto salate?
Gli obblighi di informazione nel Regolamento
Il concetto di trasparenza si esplica concretamente in una serie di obblighi di informazione in capo ad enti ed imprese. Stiamo parlando, in particolare, dell’informativa prevista dagli articoli 13 e 14 del GDPR, i quali elencano una serie analitica di elementi che devono necessariamente essere inclusi in tale documento (ad esempio, l’identità e i dati di contatto del titolare, i dati di contatto del DPO, le finalità perseguite, i destinatari dei dati, etc.).
Per garantire il rispetto del principio di trasparenza, però, non basta che tutti questi elementi siano presenti. Il Regolamento, infatti, fornisce tutta una serie di ulteriori, specifiche, prescrizioni.
A titolo esemplificativo ne citiamo alcune:
- Prescrizioni relative alla forma delle informazioni fornite (l’informativa deve risultare concisa, trasparente, intelligibile e facilmente accessibile);
- Prescrizioni relative al linguaggio utilizzato (semplice e chiaro);
- Prescrizioni relative alle informazioni da destinare ai minori;
- Prescrizioni relative alle modalità attraverso le quali fornire le informazioni (per iscritto, in forma elettronica o oralmente);
- Prescrizioni relative all’accessibilità delle informazioni fornite (uso di icone);
- Prescrizioni relative ai termini da rispettare per la consegna delle informazioni.
Regole ed eccezioni
A quanto disposto dal GDPR si aggiungono le Linee guida sulla trasparenza del “WP29”, l’attuale Comitato europeo per la protezione dei dati, nonché tutte le indicazioni fornite dalle Autorità di controllo, fra cui il nostro Garante per la protezione dei dati personali, nei vari provvedimenti pubblicati dal momento in cui il Regolamento è divenuto pienamente applicabile.
Realizzare un documento denominato “informativa privacy” seguendo l’elenco di cui agli articoli 13 e 14, quindi, è un’operazione semplice. Ma realizzare un’informativa privacy che sia davvero pienamente conforme alle norme, non lo è affatto. Oltre alla conoscenza di fonti, prassi e linee guida di riferimento, serve l’esperienza sul campo, utile a comprendere cosa si aspettano davvero le Autorità in caso di controlli / ispezioni.
Ciò premesso, compresa l’importanza di una regola che, solo apparentemente, può sembrare di facile applicazione, il Regolamento prevede anche delle deroghe, ovvero specifiche eccezioni all’obbligo di fornire le informazioni agli interessati.
Quali eccezioni?
In alcune situazioni il GDPR prevede che si possa fare a meno dell’informativa privacy (art. 13, par. 4, e art. 14, par. 5, oltre a quanto previsto dall’art. 23, par. 1). Le casistiche sono riassunte all’interno del considerando 62 al GDPR, il quale prevede che non è necessario imporre l’obbligo di fornire l’informazione se:
- l’interessato dispone già dell’informazione;
- la registrazione o la comunicazione dei dati personali sono previste per legge;
- informare l’interessato si rivela impossibile;
- informare l’interessato richiederebbe uno sforzo sproporzionato.
Occorre ricordare che, alla luce del principio di accountability (responsabilizzazione), il titolare deve essere in grado di dimostrare di rientrare in una di queste casistiche.
Ad esempio, nel caso in cui l’interessato disponga già dell’informazione (il punto n. 1 dell’elenco), il titolare deve documentare quali informazioni l’interessato possiede già, come e quando le ha ricevute e l’assenza di modifiche delle informazioni tali da renderle obsolete.
Ugualmente, nel caso in cui informare l’interessato richiederebbe uno sforzo sproporzionato (il punto n. 4 dell’elenco), spetta al titolare valutare, ed essere in grado di dimostrare, la presenza di uno sforzo effettivamente qualificabile come “sproporzionato”, rispetto al conferimento delle informazioni.
La tua organizzazione è tenuta a fornire l’informativa?
Risulta evidente che anche valutare l’applicazione delle eccezioni non è un’operazione banale. I fattori da considerare sono molteplici, tanto che l’Autorità Garante nella “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” di agosto 2023, invita i titolari a “fare riferimento alle Linee guida del WP29 e dell’EDPB in materia di trasparenza, che contengono numerosi esempi a tale proposito oltre a fornire indicazioni operative più generali”.