L’Informativa e il Consenso privacy rimangono centrali e fondamentali anche nell’ormai prossimo scenario europeo della protezione dei dati personali, le cui nuove regole saranno dettate dal GDPR (General Data Protection Regulation) che in questa primavera dovrebbe essere posto al voto del Parlamento UE, e non poteva essere diversamente, anche se con alcune novità e limitazioni rispetto all’attuale quadro giuridico del vecchio continente.
Perché l’Informativa è sempre così importante?
Il Data Subjetct (Soggetto Interessato) proprio per il tramite dell’Informativa rilasciata dal Data Controller (Responsabile del Trattamento) è messo a conoscenza di quali suoi dati personali sono raccolti, come questi sono trattati, custoditi, e soprattutto per farne cosa, e a quali altri soggetti terzi saranno eventualmente comunicati. Il Data Controller è tenuto quindi a fornire al Data Subject tutte le informazioni relative al trattamento dei suoi dati personali, in particolare specificando le relative modalità di trattamento nonché le finalità del trattamento stesso, in forma concisa, trasparente e facilmente accessibile, con un linguaggio semplice e chiaro, avvalendosi anche di eventuali infografiche, in particolare per le informazioni destinate specificamente per i minori.
L’Informativa dovrà quindi contenere alcuni elementi necessari quali l’identità del Data Controller e dell’eventuale Data Protection Officer, ove presente, le finalità del trattamento, le basi giuridiche del trattamento, il periodo di conservazione dei dati, le modalità di esercizio del diritto di accesso comprese le modalità di revoca di consensi in precedenza prestati, le modalità di esercizio del diritto di reclamo, i casi di obbligatorietà della comunicazione dei dati, e la eventuale presenza di processi di trattamento automatizzati quali a titolo di esempio la profilazione con relative modalità.
L’attuale quadro giuridico privacy stabilisce che tali informazioni siano fornite dal Titolare del Trattamento in via preventiva rispetto all’inizio dello stesso trattamento.
Il GDPR distingue tra raccolta dei dati presso il Data Subjetc e dati non raccolti presso il Data Subject, e in effetti non poteva essere diversamente vista l’attuale contesto nel quale Internet e l’ IoT la fanno da padroni, e questa è di sicuro una prima e importante novità introdotta dal GDPR.
In quest’ultimo caso, dati non raccolti presso il Data Subject, l’Informativa dovrà presentare necessariamente ulteriori elementi quali l’indicazione delle categorie di dati personali, le fonti da cui hanno origine i dati e la eventuale provenienza da fonti accessibili al pubblico. In questo caso, altra importante novità introdotta, sarà possibile effettuare trattamenti di dati purché l’Informativa sia resa nota al Data Subject entro e non oltre un periodo di tempo fissato in 30 giorni dall’inizio del trattamento oppure al momento della prima comunicazione con il Data Subject o alla divulgazione degli stessi.
In caso di trattamento di dati per ulteriori finalità si renderà necessario fornire tempestivamente una nuova Informativa.
Da una prima lettura sembrerebbe quindi consentito raccogliere dati dal web o da banche dati pubbliche e trattare tali informazioni sulla base delle proprie finalità di trattamento esplicitate in Informativa anche se questa non è stata portata preventivamente a conoscenza prima dell’inizio di tale trattamento.
Di difficile comprensione è la ragione per la quale sarebbe possibile fornire la prima Informativa entro un massimo di un mese dall’inizio del trattamento o secondo le succitate modalità, mentre per ulteriori nuove finalità di trattamento si è tenuti prontamente a renderle note ai Data Subject. Un nuovo paradigma al quanto strano, che ne dite?
Sarà quindi possibile, ad esempio, trattare dati personali disponibili sul web per finalità di marketing senza aver richiesto e ottenuto un valido Consenso? Sarà possibile inoltrare, quindi, una comunicazione promozionale tramite e-mail senza aver ottenuto un’autorizzazione specifica e acquisita prima di tale inoltro? E il Data Subject potrà limitarsi a manifestare il diritto di opposizione a tale trattamento, c.d. Opt Out, solo al ricevimento di tale comunicazione che includerà l’Informativa, c.d. Disclaimer, fornendo anche le indicazioni utili per potersi cancellare da quella mailing list?
Forse un ritorno al regime del c.d. Opt Out? E voi cosa ne pensate?
Facebook Comments