Il GDPR dispone un preciso obbligo di legge in capo al Titolare del trattamento, che consiste nel fornire agli interessati precise informazioni che descrivano come verranno trattati i loro dati e che li avvertano di alcuni ulteriori aspetti in via preventiva rispetto all’inizio delle attività di trattamento.
L’obbligo di informazione degli interessati
A tal proposito, è necessario citare brevemente tre articoli del Reg. UE 679/2916:
- Art. 12, par. 1 GDPR – “Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro […]”;
- Art. 13 GDPR – rubricato: Informazioni da fornire qualora i dati siano raccolti presso l’interessato;
- Art. 14 GDPR – rubricato: Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato.
Possiamo osservare che, mentre l’articolo 12 del Regolamento fornisce disposizioni sulla forma delle informative privacy, gli articoli 13 e 14 danno disposizioni più concrete sul contenuto che i suddetti documenti devono necessariamente presentare.
Il contenuto delle informative: gli articoli 12-13-14 GDPR
Guardiamo, quindi, quali sono gli elementi essenziali che un’informativa privacy deve presentare ai sensi degli artt. 13 e 14 Reg. UE 679/2016:
- L’identità e i dati di contatto del Titolare del trattamento (su cui ricordiamo che ricade l’onere di redigere e consegnare l’informativa) e, ove applicabile, del suo legale rappresentante;
- Ove nominato ai sensi dell’art. 37 GDPR, i dati di contatto del Responsabile della Protezione dei Dati (RPD/DPO);
- Le finalità del trattamento per cui vengono utilizzati i dati raccolti;
- La base giuridica che legittima il trattamento (che, a seconda della pertinenza ed applicabilità, può essere di vari tipi: Consenso dell’interessato, Esecuzione di un contratto o misure precontrattuali, Adempimenti ad obblighi di legge, Interessi vitali dell’interessato, Legittimo interesse del Titolare, Esecuzione di un compito di pubblico interesse o legato all’Esercizio di pubblici poteri);
- Gli eventuali destinatari o le categorie di destinatari a cui verranno comunicati i dati personali;
- La modalità e il periodo in cui verranno conservati i dati;
- Ove applicabile, l’intenzione del Titolare del trattamento di trasferire dati personali a un paese terzo extra-UE o ad un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione;
- L’elenco dei diritti spettanti all’interessato ai sensi degli artt. 15 – 12 GDPR;
- (se la comunicazione di dati personali è un obbligo legale o contrattuale) Se il conferimento dei dati da parte dell’interessato è obbligatorio e le possibili conseguenze della mancata comunicazione di tali dati;
- Ove applicabile, la presenza di un processo decisionale automatizzato.
Se, poi, i dati non dovessero essere raccolti presso l’interessato sarà necessario indicare nell’informativa dei dettagli aggiuntivi, quali, a titolo meramente esemplificativo e non esaustivo: la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico.
Le conseguenze dell’inadempimento e le sanzioni previste
Per concludere, è bene comprendere in quali conseguenze si incorre se non si adempie all’obbligo di redazione e messa a conoscenza dell’informativa privacy ai sensi degli articoli riportati ut supra.
In particolare, una violazione come questa può comportare, in conseguenza ad una indagine da parte dell’Autorità Garante, l’imposizione di pesanti sanzioni e anche il blocco di tutti i dati fino a quel momento trattati in violazione delle norme.
Altresì, è diritto spettante agli interessati avviare un’azione finalizzata all’ottenimento del risarcimento dei danni contro il Titolare del trattamento.
Dott.ssa Matilde Grassi
