Molte organizzazioni si sono affrettate, a ridosso del 25 maggio scorso, a riformulare le informative secondo le previsioni dell’art. 13 del Regolamento Europeo 679/2016[i] (GDPR).
Le mosse iniziali hanno avuto due effetti, entrambi poco felici dal punto di vista degli interessati:
Un aspetto positivo delle decine di informative pervenute via email è stato quello di generare la meraviglia degli interessati rispetto al numero di soggetti che erano in possesso del loro indirizzo di posta elettronica. Di fatto, tuttavia, pochi si sono preoccupati di leggere l’informativa e, semmai, di procedere a far valere i propri diritti (per esempio, invocando il diritto all’oblìo rispetto al trattamento per scopi di marketing).
Lo smarrimento degli interessati poteva (e potrà) essere evitato con la lettura attenta e sistematica di tutti gli articoli del GDPR, in particolare degli articoli iniziali. Infatti, oltre ai 173 Considerando, che spiegano quali sono gli effetti concretamente voluti dal legislatore europeo, l’articolo 5 fissa i principi che costituiscono la vera bussola dei titolari nel trattamento dei dati personali.
Tra gli altri, quelli più rilevanti, rispetto al rapporto titolare-interessato, sono il principio di trasparenza e quello di correttezza.
Il principio di trasparenza è declinabile come la possibilità da parte dell’interessato di avere il pieno controllo dei propri dati personali: sapere chi li tratta, per quale motivo, dove vanno a finire e quali strumenti giuridici esistono per rendere il trattamento conforme alle proprie esigenze e volontà.
Questo principio è talmente importante che il WP29 (oggi sostituito dall’European Data Protection Board) lo ha approfondito nelle linee guida 260 adottate in via definitiva l’11 aprile scorso[ii].
Nelle linee guida vengono sottolineati gli elementi che devono caratterizzare il comportamento trasparente del titolare in ogni interazione con l’interessato:
Queste indicazioni devono caratterizzare l’informativa di cui all’art. 13 ma anche tutte le successive comunicazioni con l’interessato.
Il principio di correttezza si estende al comportamento concreto del titolare durante tutto il trattamento e va oltre la trasparenza dell’interazione titolare‑interessato. È la declinazione del più generale e classico principio del neminem laedere (non offendere nessuno) ovvero del dovere del titolare di non arrecare danno, con comportamenti consapevoli o inconsapevoli, all’interessato.
Il rispetto di questo principio passa attraverso una chiara individuazione delle basi giuridiche poste a fondamento del trattamento ed elencate, rispettivamente, nell’art. 6 per i dati personali comuni e nell’art. 9 per le particolari categorie di dati personali (dati riguardanti la salute, le origini razziali, gli orientamenti sessuali, ecc.).
Ed il titolare deve applicare una particolare attenzione al principio di correttezza quando la base giuridica del trattamento è il consenso dell’interessato. Lo spiegano bene le linee guida 259 adottate in via definitiva il 10 aprile scorso dedicate ad approfondire le modalità di acquisizione del consenso.
Rispettare il principio di trasparenza significa, innanzitutto, far nascere il rapporto titolare‑interessato su basi di fiducia. Per questo, al di là dei contenuti (chiaramente stabiliti dall’art. 13), bisogna ricordare che:
Non casualmente il WP29 raccomanda, prima di tutto, un’informativa concisa cioè che non deve scoraggiarne la lettura solo osservandone la lunghezza e non deve richiedere fatica da parte dell’interessato.
Oltre alle caratteristiche dimensionali, il titolare deve essere attento alle modalità con le quali fornisce l’informativa: occorre renderla facilmente accessibile, sia quando viene fornita dal sito web sia quando si basa su metodi più tradizionali (p.e. un apposito cartello esposto da un’officina meccanica accanto allo sportello dell’accettazione). In particolare, il WP29, per le informative sui siti web, suggerisce di strutturarle in strati cioè di fornire un primo livello informativo, completo ma sintetico, che può essere approfondito, tramite appositi link, secondo le esigenze dell’interessato.
Il WP29 fornisce indicazioni utili anche sul linguaggio da utilizzare. Non ispirano fiducia e, quindi, non sono segno di trasparenza le forme lessicali vaghe ed indefinite come “può”, “potrebbe”, “alcuni”, “spesso” e le parole troppo legate alla terminologia tecnica come “backup”, “firewall”, “CRIF”, “applicativo world check”; bisognerebbe, invece, utilizzare forme precise come “saranno comunicati”, “dopo 2 anni”, “ogni 3 mesi” e comprensibili dall’utente medio come “copia di riserva”, “strumento di protezione della rete” e così via. Il WP29 arriva persino ad indicare un esempio di lessico da utilizzare per i minori realizzato nella stesura della “Convenzione delle Nazioni Unite sui Diritti dei Bambini nel Linguaggio dei Bambini”[iii].
Le frasi, inoltre, devono essere costruite senza troppi giri logici e cercando di arrivare agevolmente al concetto che si vuole esprimere.
La fiducia si costruisce anche applicando buone prassi per l’acquisizione del consenso, aggiungendo ad una informazione trasparente, comunque necessaria, la correttezza dovuta nei confronti del titolare.
Il consenso non è sempre obbligatorio perché è solo una delle possibili basi giuridiche (contratto, legge, interesse vitale, ecc.) che rendono lecito un particolare trattamento dei dati personali. Anzi, se la base giuridica è un’altra, può essere inutile e dannoso richiederlo perché può confondere le idee dell’interessato e, quindi, contrastare con un comportamento trasparente.
Tuttavia, è molto frequente che il titolare al quale forniamo i dati necessari per l’esecuzione del contratto (p.e. la piattaforma web di viaggi che ci riserva la stanza in albergo):
Questo comportamento risponde al principio di correttezza. Meno corretto, anzi illecito, è il comportamento che blocca la conclusione del contratto (la prenotazione via web) se non forniamo il consenso al trattamento per altre finalità (p.e. per comunicazioni pubblicitarie).
È per questo che il WP29 ha specificato che il consenso, qualora sia necessario al trattamento, deve essere:
Conviene, quindi, essere consapevoli del percorso di fiducia tracciato dal legislatore europeo e, soprattutto, non sovrapporre sistematicamente informativa e consenso rischiando di vanificare lo spirito del GDPR.
A cura di: Francesco Maldera
Nel panorama odierno della sicurezza informatica, la protezione degli endpoint rappresenta un obiettivo imprescindibile per…
I numeri dell’evento Oltre 1000 ospiti, 42 relatori, 20 interventi tematici e 5 Tavole Rotonde:…
Group-IB è un fornitore, con sede a Singapore, di sistemi ad elevata attendibilità per il…
Le interazioni di natura digitale, su rete pubblica o all’interno di reti private, hanno assunto…
La Commissione Europea ha di recente ricordato come “Artificial intelligence (AI) is not science fiction;…
Di seguito il programma della Cyber Crime Conference 2024, che avrà luogo a Roma nei…