Il Regolamento sull’IA è qui: quali obblighi per le aziende che utilizzano sistemi di Intelligenza Artificiale?   In seguito all’accordo raggiunto con gli stati membri dell’UE, il Parlamento europeo ha approvato, lo scorso 13 marzo 2024, il Regolamento sull’Intelligenza Artificiale (IA).…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme   Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta…

È sempre necessario predisporre l’informativa privacy?   Il Regolamento europeo in materia di protezione dei dati personali (GDPR) prevede diverse eccezioni all’obbligo di predisporre e fornire l’informativa privacy agli interessati. Anche il Garante per la protezione dei dati personali ha emanato,…

Garante privacy: differita l’efficacia del documento di indirizzo sui metadati.Quando gli obblighi previsti diverranno applicabili?    A pochi giorni di distanza dal comunicato con cui il Garante diffondeva il “Documento di indirizzo sulla conservazione dei metadati”, la stessa Autorità ha deciso…

Con chi si interfaccia il DPO e con quali modalità? I risultati del CEF 2023    Dall’indagine condotta dalle Autorità europee sul ruolo del DPO (il CEF 2023, ne abbiamo parlato qui), sono emersi alcuni dati preoccupanti: spesso i Responsabili della…

Nuova Linea di Indirizzo del Garante per la Protezione dei Dati sul Trattamento dei metadati e mail nelle aziende    Il Garante per la protezione dei dati personali ha recentemente introdotto una nuova linea di indirizzo che riguardano la gestione dei…

Data Protection Officer e conflitto di interesse: DPO interno o DPO esterno? Questo è il problema    La recente indagine condotta dalle Autorità europee in materia di protezione dei dati ha rilevato molteplici situazioni di Responsabili della Protezione dei Dati (DPO)…

Colpa d’organizzazione e responsabilità D.Lgs. 231       La recente sentenza 4210/2024 della Cassazione ribadisce un principio fondamentale riguardo alla responsabilità amministrativa delle società e degli enti: l'essenza colposa della responsabilità dell'ente per reati commessi nell'interesse o a vantaggio…

La proposta di riforma della Direttiva ePrivacy è finita su un binario morto               La Direttiva ePrivacy del 2002 rappresenta uno strumento legale fondamentale per la privacy nell'era digitale, questa si concentra specificatamente sulla…

IoT & PMI: quali regole seguire per implementare progetti IoT nella propria organizzazione? Secondo recenti indagini, negli ultimi anni il ricorso alle tecnologie dell’Internet degli Oggetti (Internet of Things - IoT) ha visto un importante balzo in avanti nel settore…

Come scrivere l’informativa privacy? Le accortezze per scrivere un’informativa veramente conforme

 
 

Il Regolamento UE in materia di protezione dei dati personali (GDPR), agli articoli 13 e 14, elenca una serie di elementi che devono necessariamente essere inclusi nell’informativa privacy. Basta seguire tale elenco per realizzare un’informativa conforme alle norme? Quali accortezze seguire?

 
 
La trasparenza nel GDPR e gli obblighi di informazione

Fra i requisiti fondamentali che devono caratterizzare ogni attività di trattamento dei dati personali, vi è la trasparenza. Tale concetto, strettamente correlato alla correttezza e al principio di responsabilizzazione del titolare (accountability), si esplica in una serie di specifici obblighi concreti di informazione.

Il Regolamento, infatti, elenca le categorie d’informazioni che devono essere fornite all’interessato, relativamente al trattamento dei dati personali che lo riguardano, sia quando i dati personali sono raccolti presso lo stesso (articolo 13), sia quando sono ottenuti attraverso altre fonti (articolo 14).

Come abbiamo avuto modo di comprendere in questo articolo, realizzare un documento denominato “informativa privacy” seguendo l’elenco di cui agli articoli 13 e 14, quindi, è un’operazione relativamente semplice. Ma realizzare un’informativa privacy che sia davvero pienamente conforme alle norme, non lo è affatto:

  • in primo luogo, oltre al contenuto, sono importanti anche la forma e il modo in cui devono essere fornite le informazioni;
  • In secondo luogo, il Regolamento fornisce alcune prescrizioni in merito ai criteri da seguire per garantire il rispetto del principio generale di trasparenza.

 

Come fornire le informazioni?

Partiamo dalla forma e dalle modalità con cui tali informazioni dovrebbero essere fornite all’interessato. Il GDPR non contiene indicazioni specifiche ma precisa che “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14”.

Spetta quindi al titolare effettuare la valutazione di tali misure, tenendo conto delle circostanze del trattamento, vale a dire delle modalità di interazione con l’interessato e delle modalità di raccolta dei dati personali. Fra le migliori prassi ricordiamo la stratificazione delle informazioni, in particolare in ambienti online/digitali, ed il ricorso a strumenti di visualizzazione, quali le icone, da utilizzare “in combinazione” con l’informativa estesa.

 

Quali criteri seguire?

Come anticipato, oltre all’adozione di misure appropriate per fornire le informazioni, il titolare del trattamento deve orientare lo sviluppo dell’informativa considerando criteri quali la qualità, l’accessibilità e la comprensibilità delle informazioni.

Il Regolamento, infatti, prevede che le informazioni o le comunicazioni in questione:

  • devono essere in forma “concisa e trasparente”,
  • devono essere facilmente accessibili;
  • devono essere intelligibili;
  • devono essere formulate con un linguaggio semplice e chiaro.

 

Le principali accortezze

Quando sviluppi un’informativa assicurati di rispettare i seguenti punti:

  • Fornisci le informazioni all’interessato in modo che siano facilmente accessibili, anche mediante link/collegamenti diretti;
  • Differenzia le informazioni sulla privacy dalle altre categorie di informazioni (es. altre clausole contrattuali, i termini e le condizioni d’uso di un servizio, etc.);
  • Traduci le informazioni fornite in base alla lingua degli utenti e assicurati che la traduzione sia accurata;
  • Adotta un approccio stratificato e stabilisci quali informazioni fornire in via prioritaria;
  • Struttura il testo in modo chiaro, ricorrendo a paragrafi, utilizzando pallini e rientri per segnalare i rapporti gerarchici;
  • Fornisci le informazioni in maniera efficace e succinta;
  • Chiarisci quali saranno le principali conseguenze del trattamento sull’interessato (in particolare per il trattamento di dati in casi complessi, tecnici o inattesi) e segnala gli eventuali rischi;
  • Riporta le informazioni in modo che siano comprensibili a un esponente medio del pubblico cui sono dirette;
  • Nel caso in cui, nel pubblico di riferimento, siano presenti soggetti minori o interessati vulnerabili, adatta il lessico, il tono e lo stile;
  • Evita frasi e strutture linguistiche complesse;
  • Evita l’utilizzo di linguaggio o terminologia eccessivamente legalistica, tecnica o specialistica;
  • Riporta informazioni concrete e certe: evita ambiguità e periodi tali da lasciare spazio a diverse interpretazioni;
  • Evita, ove possibile, l’uso del condizionale;
  • Laddove sia necessario ricorrere al condizionale o a formulazioni vaghe, spiega chiaramente per quale motivo il linguaggio scelto è inevitabile e il motivo per cui non compromette la correttezza del trattamento;
  • Prediligi la forma attiva a quella passiva ed evita l’uso eccessivo di costruzioni nominali.

 

La prova del nove

Ultimo ma non meno importante, per verificare il livello di intelligibilità, di trasparenza delle informazioni, l’efficacia e la chiarezza delle interfacce utilizzate (se in ambiente web), è importante svolgere forme di consultazione, coinvolgendo il pubblico di riferimento, interagendo con gruppi di utenti e proponendo test di leggibilità. Il WP29 suggerisce, ad esempio, il c.d. “hall test”: un metodo utilizzato dalle aziende per testare un prodotto, in cui si invita un gruppo di persone in una stanza e si chiede loro l’opinione su di esso.

Meccanismi di questo tipo costituiscono non solo la riprova dell’efficacia delle misure adottate, ma anche un formidabile strumento di accountability, che permette al titolare di dimostrare come l’approccio scelto per trasmettere le informazioni sia quello più appropriato nel caso specifico.

 

Attenzione al fai da te

Scrivere un’informativa privacy può sembrare un’operazione banale: il Regolamento è specifico nel fornire gli elementi da inserire. Tuttavia, abbiamo visto che il contenuto rappresenta solo una parte della trasparenza: per garantire il rispetto di tale principio è necessario applicare correttamente i requisiti di forma e i criteri volti ad assicurare la qualità, l’accessibilità e la comprensibilità delle informazioni da fornire agli interessati. Infine, le migliori prassi suggeriscono di effettuare una valutazione delle misure adottate, raccogliendo i pareri dei principali stakeholder.

Da tutto ciò deriva una considerazione importante: il fai da te è rischioso e il pericolo più grande è rappresentato dalla violazione del principio generale di trasparenza. In questo ambito, oltre alla conoscenza di fonti, prassi e linee guida di riferimento, serve l’esperienza sul campo, utile a comprendere cosa si aspettano davvero le Autorità in caso di controlli / ispezioni.

Follow us on
Our Gallery