Dal 2016 è stato stabilito il Regolamento Europeo in materia di protezione dei dati personali. Le nuove regole obbligano tutti coloro che effettuano un trattamento di dati al rilascio dell’informativa privacy.
Informativa sulla privacy: nuove regole per il trattamento dei dati personali
Il General Data Protection Regulation è il Regolamento Europeo n. 679 in materia di trattamento dei dati personali, approvato nel 2016 ed entrato definitivamente in vigore nel 2018, con il Decreto legislativo 101/2018. Esso è stato adottato automaticamente in tutti gli Stati membri dell’Unione Europea, senza la necessità di atti di recepimento interno da parte dei singoli ordinamenti nazionali. Il nuovo regolamento ha quindi sostituito il vecchio Codice della Privacy. Al suo interno sono previsti una serie di obblighi e di principi, che devono essere seguiti da tutti i soggetti che effettuano trattamento di dati personali. Per quanto riguarda gli obblighi, essi si applicano ogni qualvolta si realizza un trattamento di dati personali. Ad esempio è previsto in caso di raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, modifica, estrazione, consultazione, uso, comunicazione e diffusione di dati personali.
Che cos’è l’informativa sulla privacy?
Uno dei principali obblighi previsti dal GDPR è che il titolare del trattamento dei dati deve consegnare l’informativa sulla privacy. Ma in cosa consiste questa informativa? Essa ha lo scopo di garantire la trasparenza nei confronti dell’interessato, al quale devono essere rese note le finalità e le modalità del trattamento dei suoi dati personali, nonché dei tempi di conservazione degli stessi da parte del titolare. Si definisce dato personale una qualsiasi informazione che riguarda una persona fisica identificata o identificabile. Viene indicato come il titolare del trattamento la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che determina le finalità e i mezzi del trattamento di dati personali. Mentre l’interessato è la persona fisica a cui si riferisce il dato personale che viene trattato. Secondo queste definizioni, perciò, le informative scambiate tra società commerciali non rientrano nell’ambito di applicazione del GDPR.
Informativa sulla privacy: cosa è obbligatorio comunicare?
Gli elementi che devono essere necessariamente contenuti nell’informativa sono elencati negli articoli 13 e 14 del Regolamento Europeo. In base a queste disposizioni, essa deve prevedere:
- l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- i dati di contatto del responsabile della protezione dei dati;
- le finalità del trattamento cui sono destinati i dati personali;
- la base giuridica del trattamento;
- i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale;
- l’esistenza o l’assenza di una decisione di adeguatezza della Commissione Europea o il riferimento alle garanzie appropriate o opportune;
- i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili;
- il periodo di conservazione dei dati personali oppure, se non è possibile indicarlo, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare l’accesso ai dati personali, la rettifica, la cancellazione o la limitazione del trattamento dei dati personali che lo riguardano oppure la volontà di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- qualora il trattamento sia basato sul consenso dell’interessato, l’esistenza del diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento;
- il diritto di proporre reclamo a un’autorità di controllo;
- se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto;
- le possibili conseguenze della mancata comunicazione di tali dati;
- l’esistenza di un processo decisionale automatizzato, e, in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
La mancata o scorretta comunicazione dell’informativa sulla privacy possono comportare rilevanti conseguenze. Infatti il GDPR prevede delle sanzioni che possono giungere fino a 20 milioni di euro o fino al 4% del fatturato mondiale dell’impresa o gruppo.