LA NORMATIVA

Dal 25 maggio 2018 è in vigore il Regolamento (UE) 2016/679  relativo al trattamento dei dati, denominato (GDPR-General Data Protection Regulation)

•  Sono attribuiti maggiori diritti all’interessato in termini di privacy personale.
•  I titolari del trattamento devono dichiarare agli interessati, in modo trasparente, le finalità del trattamento e le misure di protezione dei dati.

 In sintesi il titolare del trattamento è tenuto a :

• Fornire informazioni chiare agli interessati della raccolta dei dati
• Evidenziare gli scopi dell’elaborazione e i casi di utilizzo
• Definire i criteri di conservazione e di eliminazione dei dati
• Proteggere i dati personali con misure di sicurezza appropriate
• Avvalersi di un responsabile della protezione dei dati (per le organizzazioni di grandi dimensioni)
• Segnalare alle autorità eventuali violazioni
• Conservare la documentazione dettagliata
• Il consenso al trattamento dei dati  DEVE essere "esplicito", libero, informato e specifico
• La diretta conseguenza è l’inammissibilità di un consenso tacito o presunto, come potrebbe avvenire nei casi delle caselle pre-spuntate. 
• Il consenso NON deve essere necessariamente "documentato per iscritto", nonostante spesso questa modalità venga considerata la più idonea per il suo essere esplicito.
• Il titolare DEVE essere in grado di dimostrare che l'interessato ha prestato il consenso ad uno specifico trattamento.
• Il consenso dei minori è valido a partire dai 16 anni. Prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci.
• Il consenso al trattamento così reso potrà inoltre essere sempre revocato, senza limiti di sorta, da parte degli interessati.
• Vengono espressamente previsti sia il diritto all’oblio (ossia alla cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento), che il diritto alla portabilità degli stessi da un titolare del trattamento ad un altro su richiesta degli interessati.
• Viene poi introdotto il concetto della protezione dei dati personali “by design” e “by default”, ossia la necessità per i titolari di adottare adeguate misure a protezione dei dati, sia al momento della loro raccolta, che per tutta la durata del trattamento, e di usarli secondo le finalità per cui gli interessati hanno prestato il loro consenso e per il tempo necessario alla realizzazione delle stesse
•  In capo ai titolari del trattamento vengono altresì previsti l’obbligo di compiere una “valutazione d’impatto” iniziale per i trattamenti di dati più delicati e l’obbligo di tenere un registro delle attività relative al trattamento stesso.
•  I titolari del trattamento sono, inoltre, soggetti ad un obbligo di notifica di eventuali violazioni di dati personali di cui siano venuti a conoscenza verso i Garanti nazionali e/o gli interessati.
•  Per gli enti pubblici e gli enti privati che trattino dati di natura delicata o monitorino su larga scala e in maniera sistematica gli individui, viene introdotta la figura del c.d. Data protection officer(DPO): un soggetto, dipendente o professionista esterno all’ente, esperto di normativa e prassi in materia di privacy, con il compito di informare e consigliare il titolare del trattamento in merito agli obblighi derivanti dal Regolamento stesso, di vigilare sul loro effettivo adempimento, di fornire le sopracitate valutazioni d’impatto sulla protezione dei dati raccolti e di interfacciarsi, da un lato, con gli interessati, dall’altro, direttamente con il Garante. 
• Infine, il regime sanzionatorio subisce un sensibile inasprimento: nel caso di violazioni delle norme previste dal Regolamento, infatti, sono previste sanzioni pecuniarie per un minimo di € 10.000 fino ad un massimo di € 20.000.000 o, nel caso di imprese, fino al 4% del fatturato annuo complessivo.Può anche essere disposto il divieto del trattamento con conseguenze per la sopravvivenza dell'azienda

La normativa, europea e nazionale, prevede che, in base alla finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento, le informazioni richieste dalle norme. Ciò avviene tramite l'informativa.

L'informativa è una comunicazione rivolta all'interessato finalizzata ad informarlo sulle finalità e le modalità del trattamento dei dati operato dal titolare del trattamento, e anche a permettere che l'interessato possa rendere un valido consenso, se necessario. Essa è condizione, non tanto del rispetto del diritto individuale ad essere informato, quanto del dovere del titolare del trattamento di garantire la lealtà del trattamento.

Quando è dovuta

L'informativa è dovuta ogni qual volta vi sia un trattamento di dati. L'obbligo di informare gli interessati va adempiuto prima o al massimo al momento di dare avvio alla raccolta dei dati. Non sussiste obbligo di fornire l'informativa se il trattamento riguarda dati anonimi (es. aggregati) o riguarda dati di enti o persone giuridiche (i cui dati non sono soggetti alla tutela prevista dal regolamento europeo).  

La persona fisica che effettua il trattamento dei dati per attività a carattere esclusivamente personale e domestico, non è tenuta a fornire l'informativa. 

 Nel caso in cui i dati non siano raccolti direttamente presso l'interessato (art. 14 del Regolamento), l'informativa deve essere fornita entro un termine ragionevole, e comunque non oltre un mese dalla raccolta dei dati. Oppure va fatta al momento della comunicazione dei dati a terzi. Non occorre informare l'interessato quando: 

- l'interessato dispone già delle informazioni; 
- comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; 
- l'ottenimento o la comunicazione sono espressamente previsti dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare; 
- i dati personali debbano rimanere riservati per obbligo di segreto professionale disciplinato dal diritto dell'Unione o degli Stati membri. 

Il Garante privacy italiano, ha ricordato che in alcuni casi non è necessaria l'informativa, quando: 
- i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria (vedi basi giuridiche del trattamento); 
- il trattamento è connesso allo svolgimento delle "investigazioni difensive" in materia penale (art. 38 norme di attuazione del c.p.p.) o alla difesa di un diritto in sede giudiziaria (a meno che il trattamento si protragga per un periodo superiore a quello strettamente necessario al perseguimento di tali finalità o sia svolto per ulteriori scopi). 

Il Garante ha anche emanato alcuni provvedimenti in materia di esenzione all'informativa: 
- Esonero dall'obbligo dell'informativa nel caso siano necessari mezzi manifestamente sproporzionati - 26 novembre 1998; 
- Esonero per l'obbligo dell'informativa per il trattamento dei dati utilizzati nello svolgimento dell'attività d'impresa - 19 febbraio 2015. 

Contenuto minimo

L'informativa deve avere il seguente contenuto minimo (articoli 13 e 14 del Regolamento europeo): 

- categorie di dati trattati e finalità  del trattamento (non le modalità del trattamento, ma quali dati vengono trattati divisi per categorie, a quale fine, per quanto tempo sono trattati, se i dati verranno trasferiti all'estero e, in questo caso, attraverso quali strumenti); 
- la base giuridica del trattamento, quindi se si tratta di trattamento basato su consenso o giustificato da leggi, legittimi interessi (in questo caso specificando quale è il legittimo interesse), ecc...; 
- natura obbligatoria o facoltativa del conferimento dei dati e le conseguenze di tale rifiuto (specificando che è possibile rifiutare il consenso a singoli trattamenti quali quelli a fini di marketing diretto); 
- se il titolare ha intenzione di utilizzare i dati per una finalità diversa da quella per la quale sono stati raccolti; 
- soggetti e categorie di soggetti ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi (l'indicazione di soggetti terzi non può essere generica); 
- se il titolare ha intenzione di trasferire i dati in paesi extra UE, nel qual caso se esiste o meno una decisione di adeguatezza della Commissione UE (ovvero se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all'interno del paese terzo, o l'organizzazione internazionale in questione garantiscono un livello di protezione adeguato, per cui il trasferimento non necessita di autorizzazioni specifiche); 
- il periodo di conservazione dei dati oppure l'indicazione dei criteri per determinarlo; 
- i diritti dell’interessato (diritto di accesso ai dati personali, di ottenere la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo
riguardano, di opporsi al trattamento, di revocare il consenso, diritto di presentare reclamo all'autorità di controllo, eventuale diritto alla portabilità); 
- dati identificativi (nome, denominazione o ragione sociale, domicilio o sede) del titolare del trattamento e, se designato, del responsabile per la protezione dei dati (DPO), quindi un recapito al quale gli interessati potranno rivolgersi per esercitare i propri diritti; 
- se il trattamento comporta processi decisionali automatizzati (come la profilazione) deve essere specificato indicando anche la logica di tali processi decisionali e le conseguenze previste per l'interessato. 

 All'interno dell'informativa privacy devono essere indicati anche i cookie che veicola il sito, le modalità di disabilitazione dei cookie (es. tramite opzioni del browser), e nel caso di cookie di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti. Si rimanda ad altro articolo per ulteriori dettagli sulla regolamentazione dei cookie. Si fa presente che l'informativa cookie è una sezione dell'informativa privacy, non un documento separato, per cui generalmente si ammette che possa essere una pagina diversa da quella che contiene l'informativa privacy, ma quest'ultima deve assolutamente richiamarla (tramite link). 

 Nel caso di dati raccolti presso terze parti, l'informativa deve presentare dei contenuti ulteriori, e cioè: 

- l'indicazione delle categorie dei dati personali oggetto del trattamento; 
- l'indicazione della fonte da cui hanno origine i dati personali (che può essere anche fonte accessibile al pubblico); 
- si omette, invece, l'informazione circa la natura obbligatoria o meno della comunicazione di dati personali, perché nella fattispecie i dati non sono raccolti presso l'interessato.

 Modalità dell'informativa

 L'informativa deve avere forma coincisa, deve essere chiara, facilmente accessibile ed intellegibile per l'interessato, eventualmente anche utilizzando immagini o icone (le icone devono essere identiche per tutta l'Unione europea e saranno identificate da un successivo provvedimento della Commissione europea). L'informativa deve essere resa per iscritto o con altri mezzi (anche elettronici, come per es., la posta elettronica). Se richiesto dall'interessato l'informativa va data oralmente (purché sia comprovata con altri mezzi l'identità dell'interessato). E' preferibile fornirla in forma tale da provarne l'esistenza e per consentire alle autorità di vigilanza di verificarne la completezza e correttezza.  

 E' ammessa la possibilità di pubblicare l'informativa su un sito web, inserendo il collegamento (link) a tale pagina web nella pagina principale (home) del sito web, ma anche nelle comunicazioni e nella corrispondenza, compreso la corrispondenza cartacea. Nel caso di comunicazioni postali è, però, necessario prevedere anche delle forme alternative, come ad esempio l'invio di fax a seguito di richiesta da parte degli interessati, per coloro che non hanno la possibilità di leggerla online. 

 Sanzioni

 Una violazione in materia di informazione agli utenti può avere come conseguenza l'indagine da parte dell'autorità di controllo, la quale può imporre delle sanzioni e anche il blocco di tutti i dati raccolti ed elaborati in violazione delle norme.

 Inoltre, gli utenti possono avviare una azione per il risarcimento dei danno contro il titolare del trattamento.

 Casi pratici (siti web)

 Se un sito web non permette alcuna registrazione degli utenti, e non tratta dati degli utenti, non occorre l'informativa privacy, anche se occorre tenere presente che i siti web in genere acquisiscono comunque informazioni tramite i server sui quali sono ospitati. Invece, l'informativa è sempre dovuta ogni qual volta vi sia una raccolta e trattamento dei dati (es. indirizzi IP, mail) degli utenti (es. compilazione moduli), per cui anche nel caso in cui il sito utilizzi cookie tramite i quali raccoglie dati degli utenti. E' altresì dovuta anche quando il consenso dell'interessato non è richiesto, oppure quando l'interessato è tenuto obbligatoriamente per legge a fornire i dati. 

Se il sito permette la registrazione degli utenti, ma i dati vengono usati solo per fini del sito medesimo (es. mailing list) e non per l'invio di proposte commerciali ecc..., occorre solo l'informativa privacy (da linkare al modulo di registrazione per consentirne la consultazione), ma non occorre la raccolta del consenso. 

Invece, se il sito permette la registrazione degli utenti e raccoglie dati anche a fini promozionali e pubblicitari, compreso la trasmissione a terzi, occorre l'informativa privacy e il consenso deve essere espresso con accettazione separata dell'informativa. 

In caso di violazione dei dati personali, il Titolare del trattamento notifica la violazione all’autorità di controllo competente senza ingiustificato ritardo, ove possibile entro 72 ore dal momento della conoscenza, a meno che sia improbabile che la violazione dei dati presenti un rischio per i diritti e le libertà delle persone fisiche. La ritardata notifica dovrà essere corredata di giustifica motivata.