L’informativa privacy è uno strumento di trasparenza con cui il titolare fornisce agli interessati le informazioni relative al trattamento dei loro dati.
Quali sono le informazioni che l’informativa privacy deve contenere?
Il Regolamento generale sulla protezione dei dati individua tassativamente le informazioni che occorre fornire all’interessato – in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro – distinguendo l’ipotesi in cui i dati siano raccolti presso l’interessato (art. 13) da quella in cui i dati siano acquisiti da terzi (art. 14).
Se i dati sono raccolti presso l’interessato (come nel caso di compilazione di un form online da parte dell’utente o di sottoscrizione di un contratto con un cliente o con un collaboratore), l’informativa privacy – da fornire all’interessato nel momento in cui i dati personali sono ottenuti – deve contenere le seguenti informazioni:
- l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- i dati di contatto del responsabile della protezione dei dati (o data protection officer), nel caso designato;
- le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
- i legittimi interessi perseguiti dal titolare del trattamento o da terzi, qualora il trattamento si basi su tale condizione di liceità;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili.
- il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- qualora il trattamento sia basato sul consenso, l’esistenza del diritto di revocarlo in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
- il diritto di proporre reclamo a un’autorità di controllo;
- se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Se i dati non sono forniti direttamente dall’interessato ma sono ottenuti da terzi (come nel caso di acquisizione di un data base di indirizzi di posta elettronica da utilizzare per finalità di marketing), l’informativa privacy – da fornire entro un termine ragionevole, che non può superare un mese dalla raccolta o comunque la prima comunicazione con l’interessato o la prima trasmissione dei dati a terzi – deve contenere, oltre agli elementi già indicati, anche:
- le categorie dei dati personali oggetto di trattamento;
- la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico.
Per approfondire il tema dell’informativa privacy, si suggerisce la lettura delle Linee guida del Gruppo Art. 29 in materia di trasparenza (WP 260)