Cosa inserire nelle istruzioni al personale? Fra accountability e best practices    L’articolo 29 del GDPR prevede l’obbligo, in capo ad enti ed imprese, di istruire tutti i soggetti che abbiano accesso a dati personali. In questo articolo abbiamo visto quali sono…

L’AI migliora l’efficienza del lavoro, ma è sempre necessaria una verifica    Secondo l'Osservatorio HR Innovation Practice del Politecnico di Milano, tre aziende su dieci utilizzano soluzioni di Intelligenza Artificiale (AI) per supportare i processi delle risorse umane. Queste soluzioni comprendono…

E-mail e metadati: le indicazioni definitive del Garante     Al termine di un iter oggetto di un’ampia discussione, il Garante per la protezione dei dati personali ha pubblicato il nuovo documento di indirizzo sui metadati. Seppure il provvedimento abbia…

Meta userà i tuoi dati per alimentare l’Intelligenza Artificiale: ti spieghiamo - step by step - come fare ad opporti Dal 26 giugno i dati personali di tutti gli utenti di Facebook e Instagram verranno utilizzati per addestrare i sistemi…

La gestione del tempo del DPO: un fattore critico per la conformità al GDPR Con la decisione 87/2024  pubblicata il 3 giugno ’24 l’Autorità per la protezione dei dati belga ha affrontato in dettaglio le responsabilità e le sfide dei…

GDPR: l’obbligo di istruire e formare il personale. Modalità e conseguenze in caso di non conformità Ai sensi del GDPR chiunque abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare…

Come scrivere una nomina a responsabile del trattamento dei dati conforme al GDPR? Le indicazioni del Garante Da un provvedimento dell’Autorità Garante ricaviamo alcune importanti considerazioni su come sviluppare un contratto fra titolare e responsabile del trattamento che sia conforme…

Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale? In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

È sempre necessario predisporre l’informativa privacy?

 
 
Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato, nel corso degli anni, diversi provvedimenti in materia di esenzione dall’obbligo di informativa. Non sempre, quindi, l’organizzazione che tratta i dati personali è tenuta a predisporre o fornire tale documento agli interessati.
 
 
La trasparenza nel GDPR

Prima di esaminare le eccezioni alla regola è necessario comprendere appieno quale sia la regola, ovvero cosa prevede la normativa di riferimento.

Nel GDPR la trasparenza rappresenta un principio fondamentale, sancito dall’articolo 5 (“i dati personali sono: a) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato […]”), volto a permettere agli interessati di esercitare il pieno controllo sui propri dati personali, ad esempio concedendo o revocando il consenso al trattamento oppure esercitando consapevolmente uno fra i tanti diritti che sono loro riconosciuti dal Regolamento europeo.

Per tale ragione, in considerazione dell’importanza che riveste il suddetto principio per gli interessati, la violazione dello stesso dà adito a sanzioni amministrative pecuniarie fino a 20 milioni di euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Cosa fare per evitare di incorrere in multe tanto salate?

 

Gli obblighi di informazione nel Regolamento

Il concetto di trasparenza si esplica concretamente in una serie di obblighi di informazione in capo ad enti ed imprese. Stiamo parlando, in particolare, dell’informativa prevista dagli articoli 13 e 14 del GDPR, i quali elencano una serie analitica di elementi che devono necessariamente essere inclusi in tale documento (ad esempio, l’identità e i dati di contatto del titolare, i dati di contatto del DPO, le finalità perseguite, i destinatari dei dati, etc.).

Per garantire il rispetto del principio di trasparenza, però, non basta che tutti questi elementi siano presenti. Il Regolamento, infatti, fornisce tutta una serie di ulteriori, specifiche, prescrizioni.

A titolo esemplificativo ne citiamo alcune:  

  • Prescrizioni relative alla forma delle informazioni fornite (l’informativa deve risultare concisa, trasparente, intelligibile e facilmente accessibile);
  • Prescrizioni relative al linguaggio utilizzato (semplice e chiaro);
  • Prescrizioni relative alle informazioni da destinare ai minori;
  • Prescrizioni relative alle modalità attraverso le quali fornire le informazioni (per iscritto, in forma elettronica o oralmente);
  • Prescrizioni relative all’accessibilità delle informazioni fornite (uso di icone);
  • Prescrizioni relative ai termini da rispettare per la consegna delle informazioni.

 

Regole ed eccezioni

A quanto disposto dal GDPR si aggiungono le Linee guida sulla trasparenza del “WP29”, l’attuale Comitato europeo per la protezione dei dati, nonché tutte le indicazioni fornite dalle Autorità di controllo, fra cui il nostro Garante per la protezione dei dati personali, nei vari provvedimenti pubblicati dal momento in cui il Regolamento è divenuto pienamente applicabile.

Realizzare un documento denominato “informativa privacy” seguendo l’elenco di cui agli articoli 13 e 14, quindi, è un’operazione semplice. Ma realizzare un’informativa privacy che sia davvero pienamente conforme alle norme, non lo è affatto. Oltre alla conoscenza di fonti, prassi e linee guida di riferimento, serve l’esperienza sul campo, utile a comprendere cosa si aspettano davvero le Autorità in caso di controlli / ispezioni.

Ciò premesso, compresa l’importanza di una regola che, solo apparentemente, può sembrare di facile applicazione, il Regolamento prevede anche delle deroghe, ovvero specifiche eccezioni all’obbligo di fornire le informazioni agli interessati.

 

Quali eccezioni?

In alcune situazioni il GDPR prevede che si possa fare a meno dell’informativa privacy (art. 13, par. 4, e art. 14, par. 5, oltre a quanto previsto dall’art. 23, par. 1). Le casistiche sono riassunte all’interno del considerando 62 al GDPR, il quale prevede che non è necessario imporre l’obbligo di fornire l’informazione se:

  • l’interessato dispone già dell’informazione;
  • la registrazione o la comunicazione dei dati personali sono previste per legge;
  • informare l’interessato si rivela impossibile;
  • informare l’interessato richiederebbe uno sforzo sproporzionato.

Occorre ricordare che, alla luce del principio di accountability (responsabilizzazione), il titolare deve essere in grado di dimostrare di rientrare in una di queste casistiche.

Ad esempio, nel caso in cui l’interessato disponga già dell’informazione (il punto n. 1 dell’elenco), il titolare deve documentare quali informazioni l’interessato possiede già, come e quando le ha ricevute e l’assenza di modifiche delle informazioni tali da renderle obsolete.

Ugualmente, nel caso in cui informare l’interessato richiederebbe uno sforzo sproporzionato (il punto n. 4 dell’elenco), spetta al titolare valutare, ed essere in grado di dimostrare, la presenza di uno sforzo effettivamente qualificabile come “sproporzionato”, rispetto al conferimento delle informazioni.

 

La tua organizzazione è tenuta a fornire l’informativa? 

Risulta evidente che anche valutare l’applicazione delle eccezioni non è un’operazione banale. I fattori da considerare sono molteplici, tanto che l’Autorità Garante nella “Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali” di agosto 2023, invita i titolari a “fare riferimento alle Linee guida del WP29 e dell’EDPB in materia di trasparenza, che contengono numerosi esempi a tale proposito oltre a fornire indicazioni operative più generali”.

Follow us on
Our Gallery