GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI
17/IT
WP260 rev.01
Linee guida sulla trasparenza ai sensi del regolamento 2016/679
Adottate il 29 novembre 2017
Versione emendata adottata l’11 aprile 2018
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI
istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, visti gli articoli 29 e 30 della stessa, visto il suo regolamento interno, HA ADOTTATO LE PRESENTI LINEE GUIDA:
Il Gruppo di lavoro e' stato istituito in virtu' dell’articolo 29 della direttiva 95/46/CE. E' l’organo consultivo indipendente dell’UE per la protezione dei dati personali e della vita privata. I suoi compiti sono fissati all’articolo 30 della direttiva 95/46/CE e all’articolo 15 della direttiva 2002/58/CE.
Le funzioni di segreteria sono espletate dalla direzione C (Diritti fondamentali e Stato di diritto) della direzione generale Giustizia, Commissione europea, B-1049 Bruxelles, Belgio, ufficio MO-59 02/013.
Introduzione
Le presenti linee guida riportano gli orientamenti pratici e l’assistenza interpretativa offerta dal Gruppo di lavoro articolo 29 (“Gruppo”) sul nuovo obbligo di trasparenza relativo al trattamento dei dati personali ai sensi del regolamento generale sulla protezione dei dati (“regolamento”)1. La trasparenza e' un obbligo trasversale a norma del regolamento, che si esplica in tre elementi centrali: 1) la fornitura agli interessati d’informazioni relative al trattamento corretto; 2) le modalita' con le quali il titolare del trattamento comunica con gli interessati riguardo ai diritti di cui godono ai sensi del regolamento; 3) le modalita' con le quali il titolare del trattamento agevola agli interessati l’esercizio dei diritti di cui godono2. Nella misura in cui il rispetto della trasparenza e' imposto con riferimento al trattamento dei dati ai sensi della direttiva (UE) 2016/680, le presenti linee guida si applicano anche all’interpretazione di tale principio4. Come tutte quelle emanate dal Gruppo, anche le presenti linee guida sono da intendersi come applicabili in generale ai titolari del trattamento, a prescindere dalle specifiche a livello settoriale o normativo tipiche per l’uno o l’altro di essi. Non possono quindi cogliere tutte le sfumature e le numerose variabili che possono presentarsi nel contesto degli obblighi di trasparenza di uno specifico settore o di un’area regolamentata. Mirano tuttavia a consentire ai titolari del trattamento di comprendere, a un livello elevato, come il Gruppo interpreti gli effetti pratici degli obblighi di trasparenza e a indicare l’approccio che, secondo il Gruppo, i titolari del trattamento dovrebbero adottare per essere trasparenti, ricomprendendo al contempo correttezza e responsabilizzazione nelle loro misure di trasparenza.
La trasparenza e' un aspetto che da tempo si e' consolidato nel diritto dell’Unione europea. Mira a infondere fiducia nei processi che riguardano i cittadini, permettendo loro di comprenderli e, se necessario, di opporvisi. Inoltre, e' espressione del principio di correttezza in relazione al trattamento dei dati personali affermato all’articolo 8 della Carta dei diritti fondamentali dell’Unione europea. Ai sensi dell’articolo 5, paragrafo 1, lettera a), del regolamento, oltre ai requisiti che il trattamento dei dati sia lecito e corretto, la trasparenza e' ora inclusa in quanto elemento fondamentale di questi principi. La trasparenza e' intrinsecamente legata alla correttezza e al nuovo principio di responsabilizzazione ai sensi del regolamento. Dall’articolo 5, paragrafo 2, risulta inoltre che il titolare del trattamento dev’essere sempre in grado di dimostrare che i dati personali sono trattati in modo trasparente nei confronti dell’interessato8. A questo si aggiunge il fatto che il principio di responsabilizzazione impone la trasparenza delle operazioni di trattamento affinche' il titolare del trattamento sia in grado di dimostrare il rispetto degli obblighi che il regolamento gli impone9.
Secondo il considerando 171 del regolamento, laddove il trattamento sia gia' in corso prima del 25 maggio 2018, il titolare del trattamento dovrebbe garantirne la conformita' agli obblighi di trasparenza alla data del 25 maggio 2018 (cosi' come a tutti gli altri obblighi previsti dal regolamento). Cio' significa che prima del 25 maggio 2018 il titolare del trattamento dovrebbe revisionare tutte le informazioni fornite agli interessati riguardo al trattamento dei dati personali che li riguardano (ad esempio in dichiarazioni/informative sulla privacy, ecc.), al fine di garantire l’adempimento degli obblighi di trasparenza esaminati nelle presenti linee guida. In caso di modifiche o aggiunte a tali informazioni, il titolare del trattamento dovrebbe esplicitare agli interessati che esse discendono dall’esigenza di conformarsi al regolamento. Il Gruppo raccomanda di portare tali modifiche o aggiunte attivamente all’attenzione degli interessati, ma il titolare del trattamento dovrebbe perlomeno mettere le informazioni a disposizione del pubblico (ad es. sul suo sito web). Se sono di carattere materiale o sostanziale, in linea con i paragrafi 29-32 infra le modifiche o le aggiunte dovrebbero tuttavia essere portate attivamente all’attenzione dell’interessato.
Quando il titolare del trattamento la rispetta, la trasparenza consente agli interessati di imputare la responsabilita' al titolare e al responsabile del trattamento e di esercitare il controllo sui dati personali che li riguardano, ad esempio dando o revocando il consenso informato e attivando i loro diritti di interessati. Nel regolamento il concetto di trasparenza non e' legalistico, ma piuttosto incentrato sull’utente e si concreta in vari articoli contenenti gli specifici obblighi imposti ai titolari e ai responsabili del trattamento. Gli obblighi concreti (d’informazione) sono indicati negli articoli 12-14 del regolamento. A ogni modo, la qualita', l’accessibilita' e la comprensibilita' delle informazioni sono altrettanto importanti del contenuto effettivo delle informazioni finalizzate alla trasparenza che devono essere fornite agli interessati.
5. Gli obblighi di trasparenza imposti dal regolamento si applicano a prescindere dalla base giuridica del trattamento e per tutto il ciclo di vita dello stesso. Cio' risulta chiaro dall’articolo 12, il quale stabilisce che la trasparenza si applica nelle seguenti fasi del ciclo di trattamento dei dati:
prima o all’inizio del ciclo di trattamento dei dati, vale a dire quando i dati personali sono raccolti presso l’interessato od ottenuti in altro modo;
nell’arco dell’intero ciclo di vita del trattamento, ovvero nella comunicazione con gli interessati sui loro diritti;
in momenti specifici in cui il trattamento e' in corso, ad esempio quando si verifica una violazione di dati oppure in caso di modifica rilevante del trattamento.
Il significato della trasparenza
6. Il concetto di trasparenza non e' definito nel regolamento. Il considerando 39 del regolamento ne illustra il significato e l’effetto nell’ambito del trattamento dei dati:
“Dovrebbero essere trasparenti per le persone fisiche le modalita' con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonche' la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identita' del titolare del trattamento e sulle finalita' del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano...”.
Elementi della trasparenza ai sensi del regolamento
7. Applicandosi ai diritti dell’interessato, gli articoli fondamentali per quanto concerne la trasparenza nel regolamento si trovano nel capo III (Diritti dell’interessato). L’articolo 12 fissa le regole generali che si applicano alla fornitura d’informazioni agli interessati (ai sensi degli articoli 13 e 14), alla comunicazione con gli interessati riguardo all’esercizio dei loro diritti (ai sensi degli articoli 15-22) e alle comunicazioni relative alle violazioni di dati (articolo 34). In particolare, l’articolo 12 impone che le informazioni o le comunicazioni in questione debbano rispettare i criteri seguenti:
devono essere concise, trasparenti, intelligibili e facilmente accessibili (articolo 12, paragrafo 1);
devono essere formulate con un linguaggio semplice e chiaro (articolo 12, paragrafo 1);
il requisito di un linguaggio semplice e chiaro e' di particolare importanza nel caso d’informazioni destinate ai minori (articolo 12, paragrafo 1);
devono essere fornite per iscritto “o con altri mezzi, anche, se del caso, con mezzi elettronici” (articolo 12, paragrafo 1);
se richiesto dall’interessato, possono essere fornite oralmente (articolo 12, paragrafo 1);
devono essere in genere gratuite (articolo 12, paragrafo 5).
“Concise, trasparenti, intelligibili e facilmente accessibili”
L’obbligo di fornire agli interessati le informazioni e le comunicazioni in forma “concisa e trasparente” implica che il titolare del trattamento presenti le informazioni/comunicazioni in maniera efficace e succinta al fine di evitare un subissamento informativo. Tali informazioni dovrebbero essere differenziate nettamente da altre che non riguardano la vita privata, quali clausole contrattuali o condizioni generali d’uso. Nell’ambiente online l’utilizzo di una dichiarazione/informativa sulla privacy stratificata consentira' all’interessato di consultarne immediatamente la specifica sezione desiderata, senza dover scorrere ampie porzioni di testo alla ricerca di un argomento in particolare.
L’obbligo di fornire informazioni “intelligibili” implica che risultino comprensibili a un esponente medio del pubblico cui sono dirette. L’intelligibilita' e' strettamente connessa all’obbligo di utilizzare un linguaggio semplice e chiaro. Il titolare dei dati responsabilizzato sapra' su che tipo di persone raccoglie informazioni e potra' utilizzare tali conoscenze per stabilire che cosa e' probabile che il pubblico in questione comprenda. Ad esempio, il titolare che raccoglie dati personali di professionisti potra' immaginare che il suo pubblico presenti un livello di comprensione superiore rispetto a quello cui si rivolge il titolare che ottiene dati personali di minori. Se non e' certo del livello di intelligibilita' e trasparenza delle informazioni e dell’efficacia delle interfacce utente/informative/dichiarazioni, ecc., il titolare puo' effettuare dei test, ad esempio ricorrendo, secondo il caso, a meccanismi quali gruppi di utenti, test di leggibilita', interazioni formali e informali e dialoghi con gruppi di settore, associazioni dei consumatori ed enti normativi.
Una considerazione centrale al principio della trasparenza evidenziata in queste disposizioni e' che l’interessato dovrebbe essere in grado di determinare in anticipo quali siano la portata del trattamento e le relative conseguenze e non dovrebbe successivamente essere colto di sorpresa dalle modalita' di utilizzo dei dati personali che lo riguardano. Cio' costituisce un aspetto importante del principio di correttezza di cui all’articolo 5, paragrafo 1, del regolamento ed e' altresi' connesso al considerando 39, il quale stabilisce che “[e'] opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali...”. In particolare per il trattamento di dati in casi complessi, tecnici o inattesi, la posizione del Gruppo e' che, oltre a fornire le informazioni prescritte agli articoli 13 e 14 (di cui ci si occupera' nel prosieguo delle presenti linee guida), il titolare del trattamento debba dichiarare in una sede distinta, in un linguaggio privo di ambiguita', quali saranno le principali conseguenze del trattamento, in altre parole, quale tipo di effetto sull’interessato, descritto in una dichiarazione/informativa sulla privacy, avra' concretamente il trattamento specifico. Conformemente al principio di responsabilizzazione e in linea con il considerando 39, il titolare del trattamento dovrebbe valutare se questo tipo di trattamento presenti per le persone fisiche rischi particolari da segnalare loro. Cio' puo' contribuire a offrire una panoramica dei tipi di trattamento che potrebbero avere l’impatto piu' forte sui diritti e liberta' fondamentali degli interessati in relazione alla protezione dei dati personali che li riguardano.
11. L’elemento della “facile accessibilita'” implica che l’interessato non sia costretto a cercare le informazioni, ma che anzi gli sia immediatamente chiaro dove e come queste siano accessibili, ad esempio perche' gli sono fornite direttamente, un link lo dirige verso di esse o le informazioni sono contrassegnate chiaramente oppure perche' le informazioni si configurano come risposta a una domanda in linguaggio naturale (ad esempio in una dichiarazione/informativa sulla privacy stratificata online, in FAQ, mediante pop-up contestuali che si attivano quando l’interessato compila un modulo online oppure, in un contesto digitale interattivo, attraverso un’interfaccia chatbot, ecc. Questi meccanismi sono trattati nel dettaglio in seguito, tra cui ai paragrafi 33-40.
Esempio
Tutte le organizzazioni che hanno un sito Internet dovrebbero pubblicarvi una dichiarazione/informativa sulla privacy. Su ogni pagina del sito dovrebbe essere chiaramente visibile un link diretto alla dichiarazione/informativa sulla privacy che riporti una dicitura di uso comune (come “Privacy”, “Informativa sulla privacy” o “Informativa sulla protezione dei dati”). Non sono considerati facilmente accessibili un posizionamento o codici cromatici tali da rendere il testo o il link meno visibile o difficile da individuare in una pagina Internet.
Per le app le informazioni necessarie dovrebbero essere messe a disposizione presso uno store online prima del download. Una volta installata l’app, le informazioni devono continuare a essere facilmente accessibili al suo interno. Un modo per soddisfare questo requisito consiste nel garantire che le informazioni non siano mai a piu' di due “tocchi” di distanza (ad es. includendo un’opzione “Privacy”/”Protezione dei dati” nella funzione di menu' dell’app). Inoltre, l’informativa sulla privacy dovrebbe essere specifica alla app e non meramente l’informativa generica dell’azienda che e' proprietaria dell’app o che la mette a disposizione pubblicamente.
Il Gruppo raccomanda come migliore prassi che, al momento della raccolta dei dati personali in ambiente online, sia fornito un link alla dichiarazione/informativa sulla privacy o che tali informazioni siano messe a disposizione sulla stessa pagina in cui sono raccolti i dati personali.
“Linguaggio semplice e chiaro”
12. Se le informazioni sono scritte (e, nel caso in cui le informazioni scritte siano fornite oralmente, o con metodi audio/audiovisivi, fra l’altro per interessati con disabilita' visive), si devono seguire le migliori prassi per una scrittura chiara11. Un analogo requisito linguistico (di un “linguaggio chiaro e comprensibile”) e' stato precedentemente utilizzato dal legislatore dell’Unione europea12; ad esso e' fatto esplicito riferimento nel considerando 42 del regolamento13 in relazione al consenso. Il fatto che il linguaggio debba essere semplice e chiaro significa che le informazioni dovrebbero essere fornite nel modo piu' semplice possibile, evitando frasi e strutture linguistiche complesse. Le informazioni dovrebbero essere concrete e certe, non dovrebbero essere formulate in termini astratti o ambigui ne' lasciare spazio a interpretazioni multiple. In particolare dovrebbero risultare chiare le finalita' e la base giuridica del trattamento dei dati personali.
Esempi di cattive prassi
Le espressioni seguenti non sono sufficientemente chiare con riferimento alle finalita' del trattamento:
“Conserveremo e valuteremo informazioni sulle tue recenti visite del nostro sito Internet e sul modo in cui navighi nelle sue diverse sezioni per finalita' di analisi volte a comprendere come e' usato il nostro sito, cosi' da renderlo piu' intuitivo” (e' chiaro quali tipi di dati saranno trattati e il tipo di analisi che effettuera' il titolare del trattamento).
“Registreremo gli articoli del nostro sito da te consultati e useremo le informazioni cosi' ottenute per inviarti, su questo sito Internet, pubblicita' mirata che risponda ai tuoi interessi, da noi individuati sulla base degli articoli che hai letto” (e' chiaro che cosa implica la personalizzazione e quali interessi attribuiti all’interessato sono stati individuati).
Si dovrebbe evitare l’uso di qualificatori linguistici come “puoÌ�”, “potrebbe”, “alcuni”, “spesso” e “possibile”. Se il titolare del trattamento sceglie di usare un linguaggio vago, conformemente al principio di responsabilizzazione dovrebbe essere in grado di dimostrare il motivo per cui tale linguaggio e' inevitabile e il motivo per cui non compromette la correttezza del trattamento. Paragrafi e frasi dovrebbero essere ben strutturati, utilizzando pallini e rientri per segnalare rapporti gerarchici. Si dovrebbe prediligere la forma attiva a quella passiva ed evitare l’uso eccessivo di costruzioni nominali. Le informazioni fornite all’interessato non dovrebbero contenere linguaggio o terminologia eccessivamente legalistica, tecnica o specialistica. Se le informazioni sono tradotte in una o piu' lingue, il titolare del trattamento dovrebbe accertare che tutte le traduzioni siano corrette e che, nella o nelle altre lingue, la fraseologia e la sintassi risultino comprensibili, in maniera tale da non costringere il lettore a decifrare o reinterpretare il testo tradotto (si dovrebbe fornire una traduzione in una o piu' lingue nel caso in cui il titolare del trattamento si rivolga a interessati che parlano tali lingue).
Informazioni fornite a minori e ad altre persone vulnerabili
Il titolare del trattamento che si rivolge a minori o e' (o dovrebbe essere) consapevole del fatto che i suoi beni/servizi sono utilizzati soprattutto da minori (anche quando presuppone il consenso del minore) dovrebbe accertare che il lessico, il tono e lo stile utilizzati siano adeguati ai minori e per loro comprensibili, cosi' che il minore destinatario delle informazioni si renda conto che il messaggio o l’informazione sono diretti a lui. Un esempio calzante di linguaggio adatto ai minori utilizzato come alternativa al linguaggio giuridico originario e' la pubblicazione “I diritti dei bambini in parole semplici”, che spiega in linguaggio adatto ai bambini la convenzione delle Nazioni Unite sui diritti dell’infanzia e dell’adolescenza.
15. La posizione assunta dal Gruppo e' che la trasparenza e' un diritto a se stante, che si applica tanto ai minori quanto agli adulti. Il Gruppo sottolinea in particolare che i minori non perdono i loro diritti alla trasparenza in quanto interessati semplicemente per il fatto che il consenso e' stato dato/autorizzato dal titolare della responsabilita' genitoriale in una situazione in cui trova applicazione l’articolo 8 del regolamento. Sebbene in molti casi tale consenso sia concesso o autorizzato una tantum dal titolare della responsabilita' genitoriale, il minore (come qualsiasi altro interessato) gode di un diritto permanente alla trasparenza per tutta la durata del rapporto con il titolare del trattamento. Cio' e' coerente con l’articolo 13 della convenzione delle Nazioni Unite sui diritti dell’infanzia e dell’adolescenza, secondo cui il minore ha diritto alla liberta' di espressione, che comprende la liberta' di ricercare, di ricevere e di divulgare informazioni e idee di ogni specie. E' importante sottolineare che, nel disporre la prestazione del consenso per conto del minore che non ha ancora raggiunto una determinata eta', l’articolo 8 non prevede misure di trasparenza dirette al titolare della responsabilita' genitoriale che da' tale consenso. Pertanto, stando agli specifici rimandi alle misure di trasparenza destinate ai minori di cui all’articolo 12, paragrafo 1 (supportato dai considerando 38 e 58), il titolare del trattamento che si rivolge a minori o che sa che i suoi beni o servizi sono utilizzati soprattutto da minori in eta' da essere in grado di leggere e scrivere e' tenuto a garantire che le informazioni e comunicazioni siano trasmesse in un linguaggio semplice e chiaro o con un mezzo che i minori possano comprendere con facilita'. Onde fugare ogni dubbio, tuttavia, il Gruppo riconosce che, nel caso di bambini molto piccoli o che non sanno ancora leggere e scrivere, le misure di trasparenza possono essere rivolte ai titolari della responsabilita' genitoriale, dal momento che, nella maggior parte dei casi, tali bambini non saranno probabilmente in grado di comprendere nemmeno i messaggi piu' semplici relativi alla trasparenza, siano essi redatti per iscritto o comunicati diversamente.
Se e' consapevole che i suoi beni/servizi sono utilizzati da (o destinati ad) altri soggetti vulnerabili della societa', tra cui persone con disabilita' o persone che possono incontrare difficolta' ad accedere alle informazioni, il titolare del trattamento dovrebbe tenere conto delle vulnerabilita' di tali interessati nella valutazione del modo in cui assolvere gli obblighi di trasparenza nei loro confronti. Cio' si ricollega alla necessita' che il titolare del trattamento valuti il probabile livello di comprensione del proprio pubblico, come illustrato sopra al paragrafo 9.
“Per iscritto o con altri mezzi”
Ai sensi dell’articolo 12, paragrafo 1, la fornitura d’informazioni o comunicazioni agli interessati avviene di regola in forma scritta23 (l’articolo 12, paragrafo 7, prevede inoltre che le informazioni siano fornite in combinazione con icone standardizzate; quest’aspetto e' esaminato nella sezione sugli strumenti di visualizzazione ai paragrafi 49—53). Tuttavia, il regolamento consente anche l’utilizzo di altri mezzi non specificati, tra cui quelli elettronici. La posizione del Gruppo con riferimento ai mezzi elettronici scritti e' la seguente: laddove il titolare del trattamento abbia un sito Internet (o operi, in tutto o in parte, tramite un sito Internet), e' raccomandato l’uso di dichiarazioni/informative sulla privacy stratificate, che consentano ai visitatori del sito di consultare le sezioni particolari della dichiarazione/informativa sulla privacy di loro interesse (si vedano maggiori informazioni sulle dichiarazioni/informative sulla privacy stratificate ai paragrafi 35-37). Tutte le informazioni rivolte agli interessati dovrebbero comunque essere disponibili in un unico luogo o in un documento completo (in formato digitale o cartaceo), al quale essi possano accedere facilmente qualora intendano consultare nella loro interezza le informazioni di cui sono destinatari. Va rilevato che l’utilizzo dell’approccio stratificato per fornire informazioni agli interessati non e' circoscritto ai mezzi elettronici scritti. Come esposto ai paragrafi 35, 36 e 38, puo' essere usato anche impiegando una combinazione di metodi al fine di garantire trasparenza in relazione al trattamento dei dati.
Ovviamente, l’utilizzo di dichiarazioni/informative sulla privacy digitali stratificate non e' l’unico mezzo elettronico scritto cui i titolari del trattamento possono ricorrere. Altri mezzi elettronici includono pop-up contestuali “just-in-time”, notifiche touch 3D o hover-over e apposite dashboard. Gli strumenti elettronici non scritti che possono essere utilizzati in aggiunta alla dichiarazione/informativa sulla privacy stratificata potrebbero includere video e notifiche vocali su smartphone o IoT25. Gli “altri mezzi” non necessariamente elettronici potrebbero comprendere, ad esempio, vignette, infografica o diagrammi. Se le informazioni finalizzate alla trasparenza sono dirette specificamente ai minori, il titolare del trattamento dovrebbe valutare quali tipi di misure possano essere accessibili in modo particolare ai minori (tra gli altri, ad es., fumetti/vignette, pittogrammi, animazioni, ecc.).
Un aspetto di fondamentale importanza e' che il o i metodi scelti per fornire le informazioni siano adeguati alle circostanze, vale a dire la modalita' di interazione tra il titolare del trattamento e l’interessato o la modalita' di raccolta delle informazioni dell’interessato. Ad esempio, limitarsi a fornire le informazioni in formato elettronico scritto, come con una dichiarazione/informativa sulla privacy online, potrebbe non essere adeguato/non funzionare nel caso in cui il dispositivo che cattura i dati personali non ha uno schermo (ad es. dispositivi IoT/smart) per accedere al sito Internet/visualizzare le informazioni scritte. In tali casi dovrebbe essere preso in considerazione un ulteriore mezzo alternativo adeguato, ad esempio l’inserimento della dichiarazione/informativa sulla privacy in manuali di istruzioni cartacei oppure l’indicazione, nelle istruzioni in formato cartaceo o sulla confezione, dell’indirizzo URL del sito Internet (ovvero la pagina specifica del sito) al quale e' reperibile la dichiarazione/informativa sulla privacy. Se il dispositivo privo di schermo dispone di funzioni audio, si potrebbe provvedere anche la fornitura audio (orale) delle informazioni. Il Gruppo ha gia' formulato raccomandazioni sulla trasparenza e sulla fornitura d’informazioni agli interessati nel parere sui recenti sviluppi nel campo dell’Internet degli oggetti (come l’utilizzo di codici QR stampati su tali oggetti, in maniera tale che, una volta scansionati, il codice QR visualizzi le necessarie informazioni finalizzate alla trasparenza). Tali raccomandazioni rimangono applicabili ai sensi del regolamento.
“..le informazioni possono essere fornite oralmente”
L’articolo 12, paragrafo 1, prevede specificamente che le informazioni possano essere fornite oralmente su richiesta dell’interessato, purche' sia comprovata con altri mezzi l’identita' di questi. In altre parole, il mezzo impiegato dovrebbe andare oltre il semplice fatto di basarsi sull’affermazione con cui l’interessato sostiene di essere una determinata persona e dovrebbe consentire al titolare del trattamento di identificare l’interessato con sufficiente certezza. L’obbligo di verificare l’identita' dell’interessato prima di fornire informazioni oralmente si applica soltanto alle informazioni relative all’esercizio dei diritti di cui agli articoli 15-22 e all’articolo 34 da parte di uno specifico interessato. Questo prerequisito della comunicazione d’informazioni orali non puo' applicarsi alla fornitura delle informazioni generali sulla privacy, prevista agli articoli 13 e 14, dal momento che le informazioni richieste da detti articoli devono essere accessibili anche ai futuri utenti/clienti (la cui identita' il titolare del trattamento non sarebbe in grado di verificare). Pertanto, le informazioni necessarie ai sensi degli articoli 13 e 14 possono essere fornite oralmente senza che il titolare del trattamento richieda la prova dell’identita' dell’interessato.
La fornitura orale delle informazioni richieste dagli articoli 13 e 14 non implica necessariamente che le informazioni orali siano fornite individualmente (vale a dire di persona o al telefono). Possono essere fornite informazioni orali automatizzate in aggiunta a mezzi scritti. Puo' essere il caso, ad esempio, per le persone con disabilita' visive nell’interazione con fornitori di servizi della societa' dell’informazione o nel contesto dei dispositivi smart senza schermo richiamati al paragrafo 19. Se il titolare del trattamento ha scelto di fornire informazioni all’interessato oralmente o se questi richiede la fornitura d’informazioni o comunicazioni orali, il Gruppo reputa che il titolare del trattamento debba consentire all’interessato di riascoltare messaggi preregistrati. E' obbligatorio procedere in tal senso qualora la richiesta d’informazioni orali si riferisca a interessati con disabilita' visive o ad interessati che possano incontrare difficolta' nell’accesso o nella comprensione delle informazioni scritte. Il titolare del trattamento dovrebbe altresi' provvedere a conservare traccia e a poter dimostrare (ai fini della rispondenza al requisito di responsabilizzazione): i) la richiesta di fornire informazioni oralmente, ii) il metodo con cui e' stata verificata l’identita' dell’interessato (ove applicabile – si veda il paragrafo 20) e iii) il fatto che le informazioni sono state fornite all’interessato.
“Gratuitamente”
Ai sensi dell’articolo 12, paragrafo 527, il titolare del trattamento non puo' in genere addebitare alcunche' all’interessato per la fornitura d’informazioni ai sensi degli articoli 13 e 14 o per le comunicazioni e azioni intraprese ai sensi degli articoli 15-22 (sui diritti degli interessati) e dell’articolo 34 (comunicazione di violazioni dei dati personali all’interessato). Quest’aspetto della trasparenza implica anche che le informazioni fornite in ossequio agli obblighi di trasparenza non possono essere subordinate ad operazioni finanziarie, ad esempio il pagamento o l’acquisto di servizi o beni.
Informazioni da fornire all’interessato – articoli 13 e 14
Contenuto
23. Il regolamento elenca le categorie d’informazioni che devono essere fornite all’interessato relativamente al trattamento dei dati personali che lo riguardano, quando i dati personali sono raccolti presso l’interessato (articolo 13) od ottenuti da altra fonte (articolo 14). La tabella allegata alle presenti linee guida sintetizza le categorie d’informazioni da fornire ai sensi degli articoli 13 e 14, tenendo altresi' conto della natura, della portata e del contenuto degli obblighi in questione. Per chiarezza, il Gruppo reputa che non vi sia differenza tra lo stato delle informazioni che devono essere fornite ai sensi dei paragrafi 1 e 2 dell’articolo 13 o, rispettivamente, dell’articolo 14. Tutte le informazioni previste in detti paragrafi sono di uguale importanza e devono essere fornite all’interessato.
“Misure appropriate”
Oltre al contenuto, sono importanti anche la forma e il modo in cui dovrebbero essere fornite le informazioni richieste dagli articoli 13 e 14. Spesso il documento contenente dette informazioni e' chiamato informativa sulla protezione dei dati, informativa sulla privacy, privacy policy, dichiarazione sulla privacy o informativa sul trattamento dei dati personali. Il regolamento non contiene prescrizioni circa il formato o la modalita' con cui tali informazioni dovrebbero essere fornite all’interessato, ma precisa che spetta al titolare del trattamento adottare “misure appropriate” per fornire le informazioni necessarie a fini di trasparenza. Cio' significa che il titolare del trattamento dovrebbe prendere una decisione sulla modalita' e sulla forma appropriate per fornire le informazioni tenendo conto di tutte le circostanze della raccolta e del trattamento dei dati. In particolare, le misure appropriate dovranno essere valutate alla luce dell’esperienza dell’utente con il prodotto/servizio, vale a dire tenendo conto del dispositivo utilizzato (se applicabile), della natura delle interfacce utente/interazioni con il titolare del trattamento (il cosiddetto “percorso utente”) e delle limitazioni che tali fattori implicano. Come osservato al paragrafo 17, il Gruppo raccomanda che, se il titolare del trattamento ha una presenza online, sia predisposta una dichiarazione/informativa sulla privacy stratificata online.
Come ausilio per individuare la modalita' piu' appropriata per fornire le informazioni, sarebbe utile che, prima dell’attivazione, il titolare del trattamento sperimentasse diversi metodi mediante test sugli utenti (ad es. test di Hall o altri test standardizzati della leggibilita' o accessibilita') per sondare gli utenti sull’accessibilita', comprensibilita' e facilita' d’uso della misura (si vedano anche gli ulteriori commenti sopra riportati, al paragrafo 9, su altri meccanismi per condurre test sugli utenti). Documentare questo approccio dovrebbe peraltro aiutare il titolare del trattamento negli obblighi di responsabilizzazione, dimostrando come lo strumento/l’approccio scelto per trasmettere le informazioni sia quello piu' appropriato nel caso specifico.
Tempistiche per la fornitura delle informazioni
Gli articoli 13 e 14 stabiliscono quali informazioni devono essere fornite all’interessato nella fase iniziale del ciclo del trattamento. L’articolo 13 si applica al caso in cui i dati sono raccolti presso l’interessato. Sono compresi i dati personali che:
L’articolo 14 trova applicazione qualora i dati personali non siano stati ottenuti presso l’interessato. Sono compresi i dati personali che il titolare del trattamento ha ottenuto da altre fonti quali:
titolari del trattamento terzi;
fonti pubblicamente disponibili;
intermediari di dati;
altri interessati.
Per quanto riguarda la tempistica della fornitura di queste informazioni, la tempestivita' eÌ� un elemento di fondamentale importanza dell’obbligo di trasparenza e dell’obbligo di trattare i dati in maniera corretta. Qualora trovi applicazione l’articolo 13, ai sensi del suo paragrafo 1 le informazioni devono essere fornite “nel momento in cui i dati personali sono ottenuti”. Nel caso di dati personali ottenuti indirettamente ai sensi dell’articolo 14, le tempistiche entro cui le informazioni devono essere fornite all’interessato sono stabilite al medesimo articolo, paragrafo 3, lettere da a) a c), come segue:
il requisito generale e' che le informazioni siano fornite entro “un termine ragionevole” dall’ottenimento dei dati personali e non piu' tardi di un mese, “in considerazione delle specifiche circostanze in cui i dati personali sono trattati” (articolo 14, paragrafo 3, lettera a));
il limite generale di un mese di cui all’articolo 14, paragrafo 3, lettera a), puo' essere ulteriormente accorciato ai sensi dell’articolo 14, paragrafo 3, lettera b)31, il quale prevede la situazione in cui i dati sono destinati alla comunicazione con l’interessato. In tal caso, le informazioni devono essere fornite al piu' tardi al momento della prima comunicazione con l’interessato. Se la prima comunicazione si verifica prima del limite di un mese dall’ottenimento dei dati personali, le informazioni devono essere fornite al piu' tardi al momento della prima comunicazione con l’interessato, nonostante non sia trascorso un mese dal momento dell’ottenimento dei dati. Se la prima comunicazione con l’interessato si verifica piu' di un mese dopo l’ottenimento dei dati personali, l’articolo 14, paragrafo 3, lettera a), continua a trovare applicazione; le informazioni di cui all’articolo 14 devono quindi essere fornite all’interessato al piu' tardi entro un mese dal loro ottenimento;
28. Il limite massimo di tempo entro il quale le informazioni di cui all’articolo 14 devono essere fornite all’interessato e' in ogni caso di un mese. Tuttavia, i principi di correttezza e responsabilizzazione di cui al regolamento impongono al titolare del trattamento di decidere il momento in cui fornire le informazioni di cui all’articolo 14 considerando sempre le ragionevoli aspettative degli interessati e l’effetto che il trattamento potrebbe avere sugli stessi e sulla loro capacita' di esercitare i diritti di cui godono in relazione al trattamento. Il principio della responsabilizzazione impone al titolare del trattamento di dimostrare la motivazione alla base della decisione assunta e di giustificare la scelta del momento in cui fornire le informazioni. In pratica, puo' essere difficile adempiere tali obblighi quando si forniscono informazioni all’“ultimo momento”. A tale proposito, il considerando 39 precisa, tra l’altro, che le persone interessate dovrebbero essere “sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali, nonche' alle modalita' di esercizio dei loro diritti relativi a tale trattamento”. Il considerando 60 fa anch’esso riferimento al fatto che, nel contesto dei principi di trattamento corretto e trasparente, l’interessato dev’essere informato dell’esistenza del trattamento e delle sue finalita'. Per tutti questi motivi, la posizione del Gruppo e' che, conformemente al principio di correttezza, il titolare del trattamento dovrebbe ove possibile fornire le informazioni all’interessato con largo anticipo rispetto ai limiti di tempo previsti. I paragrafi 30, 31 e 48 riportano ulteriori considerazioni sull’adeguatezza del periodo che intercorre tra la comunicazione del trattamento agli interessati e il momento in cui il trattamento avviene.
Modifiche delle informazioni di cui agli articoli 13 e 14
29. La responsabilizzazione con riferimento alla trasparenza si applica non solo al momento della raccolta dei dati personali ma nell’intero ciclo di vita del trattamento, a prescindere dal fatto che le informazioni o le comunicazioni siano trasmesse. E' questo il caso, ad esempio, quando si modificano i contenuti di dichiarazioni/informative sulla privacy esistenti. Il titolare del trattamento dovrebbe attenersi agli stessi principi quando comunica la dichiarazione/informativa sulla privacy iniziale e quando comunica le modifiche materiali o sostanziali della stessa. I fattori di cui il titolare del trattamento dovrebbe tenere conto nel valutare che cosa si intenda per modifica materiale o sostanziale includono l’impatto sugli interessati (inclusa la loro capacita' di esercitare i diritti di cui godono) e il carattere inatteso/sorprendente della modifica per gli stessi. Le modifiche della dichiarazione/informativa sulla privacy che dovrebbero essere sempre comunicate agli interessati comprendono la modifica della finalita' del trattamento, la modifica dell’identita' del titolare del trattamento e la modifica del modo in cui gli interessati possono esercitare i diritti di cui godono in relazione al trattamento. Per contro, la modifica di una dichiarazione/informativa sulla privacy che il Gruppo non ritiene essere materiale o sostanziale e', ad esempio, la correzione di un refuso o di un’imprecisione sintattica/grammaticale. Dal momento che la maggior parte dei clienti o utenti si limita a dare una rapida occhiata alle comunicazioni relative alle modifiche della dichiarazione/informativa sulla privacy, il titolare del cambiamento dovrebbe adottare tutte le misure necessarie per garantire che tali modifiche siano comunicate in modo tale da essere effettivamente notate dalla maggior parte dei destinatari. Cio' significa, ad esempio, che la modifica dovrebbe essere sempre comunicata in una modalita' appropriata (ad es. e- mail, lettera scritta, finestra pop-up su una pagina Internet o altro modo che attiri efficacemente l’attenzione dell’interessato) specificamente dedicata alla modifica (ad es. non assieme a contenuti di commercializzazione diretta); inoltre, la comunicazione dovrebbe soddisfare i requisiti di cui all’articolo 12 di una forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. I riferimenti contenuti nella dichiarazione/informativa sulla privacy secondo cui l’interessato dovrebbe regolarmente controllarla per verificare la presenza di modifiche o aggiornamenti sono considerati non solo insufficienti, ma anche non corretti nel contesto dell’articolo 5, paragrafo 1, lettera a). Ulteriori orientamenti sulla tempistica per la comunicazione delle modifiche agli interessati figurano ai paragrafi 30 e 31.
Tempistica della comunicazione delle modifiche delle informazioni di cui agli articoli 13 e 14
Il regolamento non si esprime sui requisiti temporali (ne' sui metodi) che si applicano alla comunicazione delle modifiche delle informazioni precedentemente fornite all’interessato ai sensi dell’articolo 13 o 14 (escludendo un’ulteriore finalita' prevista per il trattamento, nel qual caso, conformemente all’articolo 13, paragrafo 3, e all’articolo 14, paragrafo 4, le corrispondenti informazioni devono essere comunicate prima di iniziare l’ulteriore trattamento - si veda il paragrafo 45). Tuttavia, come sopra evidenziato nel contesto della tempistica per la fornitura d’informazioni di cui all’articolo 14, il titolare del trattamento deve tenere nuovamente conto dei principi di correttezza e responsabilizzazione, in termini di ragionevoli aspettative dell’interessato o di potenziale impatto della modifica sullo stesso. Se la modifica apportata alle informazioni e' indicativa di un cambiamento fondamentale della natura del trattamento (ad es. ampliamento delle categorie di destinatari o introduzione di trasferimenti a un paese terzo) o di un cambiamento che, senza essere necessariamente fondamentale in termini di trattamento, puo' avere rilevanza e impatto sull’interessato, le informazioni in tal senso dovrebbero essere fornite all’interessato con largo anticipo sull’effettiva efficacia della modifica e il metodo utilizzato per segnalare la modifica all’interessato dovrebbe essere esplicito ed efficace. L’obiettivo e' che l’interessato non si “perda” la modifica e che disponga di un termine ragionevole per a) valutare la natura e l’impatto della modifica e b) esercitare i diritti di cui gode in virtu' del regolamento in relazione alla modifica stessa (ad es., revoca del consenso od opposizione al trattamento).
Il titolare del trattamento dovrebbe valutare con attenzione le circostanze e il contesto di ogni situazione qualora si renda necessario un aggiornamento delle informazioni finalizzate alla trasparenza, considerando tra l’altro il potenziale impatto delle modifiche sull’interessato e la modalita' utilizzata per comunicarle, ed essere in grado di dimostrare che il periodo intercorso tra la comunicazione delle modifiche e la loro efficacia rispetta il principio di correttezza nei confronti dell’interessato. Inoltre, la posizione del Gruppo e' che, coerentemente con il principio di correttezza, nel comunicare le modifiche agli interessati il titolare del trattamento debba anche spiegare quale sara' il probabile impatto su di essi. In ogni caso, la conformita' ai requisiti di trasparenza non “sdogana” la situazione in cui le modifiche apportate al trattamento sono a tal punto rilevanti da snaturarlo. Il Gruppo sottolinea che tutte le altre norme del regolamento, incluse quelle relative all’ulteriore trattamento incompatibile, continuano a trovare applicazione a prescindere dalla conformita' agli obblighi di trasparenza.
Anche quando le informazioni finalizzate alla trasparenza (ad es. contenute in una dichiarazione/informativa sulla privacy) non cambiano sostanzialmente, e' probabile che gli interessati che utilizzano un servizio da molto tempo non rammentino le informazioni loro fornite all’inizio a norma dell’articolo 13 e/o 14. Il Gruppo raccomanda al titolare del trattamento di agevolare agli interessati un facile accesso continuativo alle informazioni, cos' che possano riacquisire familiarita' con la portata del trattamento dei dati. Secondo il principio di responsabilizzazione, il titolare del trattamento dovrebbe valutare anche se, e a quali intervalli, sia appropriato inviare un promemoria esplicito agli interessati riguardo alla dichiarazione/informativa sulla privacy e al luogo in cui trovarla.
Modalita' e formato della fornitura delle informazioni
Gli articoli 13 e 14 si riferiscono entrambi all’obbligo del titolare del trattamento, il quale “fornisce all’interessato [...] le seguenti informazioni...”. Il termine operativo e' qui “fornisce”. Cio' significa che il titolare del trattamento deve attivarsi per fornire le informazioni in questione all’interessato o per indirizzarlo verso il punto in cui si trovano (ad es. mediante link diretto, utilizzo di un codice QR, ecc.). L’interessato non dev’essere costretto a cercare le informazioni contemplate in questi articoli tra le altre, come ad esempio fra le condizioni generali d’uso di un sito Internet o un’app. L’esempio riportato al paragrafo 11 illustra il punto. Come precisato al paragrafo 17, il Gruppo raccomanda che tutte le informazioni rivolte agli interessati siano messe a loro disposizione in un unico luogo o in un unico documento completo (ad es., in formato digitale su un sito Internet o su supporto cartaceo) cui si possa accedere facilmente per consultarle nella loro interezza.
Nel regolamento e' insita una tensione tra, da un lato, l’obbligo di fornire agli interessati le necessarie informazioni complete e, dall’altro, l’obbligo di fornirle in una forma concisa, trasparente, intelligibile e facilmente accessibile. Tenuto conto dei principi fondamentali di responsabilizzazione e correttezza, il titolare del trattamento deve procedere quindi ad una propria analisi della natura, delle circostanze, della portata e del contesto del trattamento dei dati personali svolto e decidere, nell’ambito degli obblighi giuridici imposti dal regolamento e tenendo conto delle raccomandazioni contenute nelle presenti linee guida, in particolare al paragrafo 36, quale priorita' assegnare alle informazioni da fornire agli interessati e quali livelli di dettaglio e metodi siano appropriati per trasmetterle.
Stratificazione in ambiente digitale e dichiarazioni/informative sulla privacy stratificate
Alla luce della quantita' d’informazioni da fornire all’interessato, in ambiente digitale il titolare del trattamento puo' seguire un approccio stratificato, optando per una combinazione di metodi al fine di assicurare la trasparenza. Per evitare un subissamento informativo, il Gruppo raccomanda in particolare l’impiego di dichiarazioni/informative sulla privacy stratificate per collegare le varie categorie d’informazioni da fornire all’interessato, piuttosto che l’inserimento di tutte le informazioni in un’unica informativa sulla schermata. L’approccio stratificato puo' aiutare a superare la tensione tra completezza e comprensione, nello specifico consentendo agli utenti di muoversi direttamente verso la sezione della dichiarazione/informativa che vogliono leggere. Va notato che le dichiarazioni/informative sulla privacy non sono mere pagine annidiate in altre che richiedono diversi clic per arrivare all’informazione voluta: il design e il layout del primo strato della dichiarazione/informativa sulla privacy dovrebbe essere tale da offrire all’interessato una panoramica chiara delle informazioni a sua disposizione sul trattamento dei dati personali e del luogo e del modo in cui puo' trovarle fra i diversi strati. Un altro aspetto importante e' la coerenza delle informazioni sia fra i diversi strati di una siffatta informativa sia all’interno di ogni singolo strato.
Con riferimento al contenuto della prima modalita' utilizzata dal titolare del trattamento per informare gli interessati in un approccio stratificato (in altre parole, il metodo principale con cui il titolare si rivolge all’interessato) o al contenuto del primo strato della dichiarazione/informativa sulla privacy stratificata, il Gruppo raccomanda che il primo strato/la prima modalita' comprenda i dettagli delle finalita' del trattamento, l’identita' del titolare e una descrizione dei diritti dell’interessato (le informazioni dovrebbero inoltre essere portate direttamente all’attenzione dell’interessato nel momento della raccolta dei dati personali, vale a dire visualizzate quando l’interessato compila il modulo online). L’importanza di fornire tali informazioni in anticipo deriva in particolare dal considerando 39. Mentre i titolari del trattamento devono essere in grado di dar prova di responsabilizzazione per quanto concerne le ulteriori informazioni cui decidono di assegnare priorita', la posizione del Gruppo e' che, in linea con il principio di correttezza, oltre alle informazioni indicate nel presente paragrafo il primo strato/la prima modalita' debba contenere anche quelle relative al trattamento che ha il maggiore impatto sull’interessato e al trattamento che potrebbe coglierlo di sorpresa. Pertanto, l’interessato dovrebbe essere in grado di comprendere dalle informazioni contenute nel primo strato/nella prima modalita' quali saranno per lui le conseguenze del trattamento (si veda anche il paragrafo 10).
In ambiente digitale, al di la' della dichiarazione/informativa sulla privacy stratificata online il titolare del trattamento potrebbe anche scegliere di utilizzare altri strumenti di trasparenza (si vedano gli esempi sotto riportati) che forniscano all’interessato informazioni ad hoc specifiche per la sua situazione e per i beni/servizi di cui si avvale. Va tuttavia osservato che, mentre il Gruppo raccomanda l’utilizzo di dichiarazioni/informative sulla privacy stratificate online, la raccomandazione non esclude lo sviluppo e l’impiego di altri metodi innovativi di conformita' agli obblighi di trasparenza.
Approccio stratificato in ambiente non digitale
Un approccio stratificato alla fornitura all’interessato delle informazioni finalizzate alla trasparenza e' possibile anche in ambiente offline/non digitale (ad esempio nel mondo reale, come nella comunicazione telefonica o con presenza fisica degli interlocutori), nel quale il titolare del trattamento puo' scegliere fra varie modalita' per facilitare la fornitura delle informazioni (si vedano anche i paragrafi da 33 a 37, 39 e 40 relativamente alle diverse modalita' di fornire le informazioni). Quest’approccio non dev’essere confuso con la questione distinta delle dichiarazioni/informative sulla privacy stratificate. Quale che sia il formato utilizzato in quest’approccio stratificato, il Gruppo raccomanda che il primo “strato” (in altre parole, la modalita' principale con cui il titolare del trattamento si rivolge inizialmente all’interessato) trasmetta di regola le informazioni piu' importanti (come indicato al paragrafo 36), vale a dire le finalita' del trattamento, l’identita' del titolare e una descrizione dei diritti dell’interessato, oltre a informazioni sull’impatto piu' consistente del trattamento o informazioni sul trattamento che potrebbe cogliere di sorpresa l’interessato. Ad esempio, se il primo contatto con l’interessato avviene telefonicamente, le informazioni potrebbero essere fornite durante la chiamata e, all’insegna del bilanciamento delle informazioni richieste agli articoli 13 e 14, potrebbero essere comunicate con un ulteriore mezzo diverso, ad esempio inviando all’interessato una copia dell’informativa sulla privacy via e-mail e/o un link alla dichiarazione/informativa sulla privacy stratificata online del titolare del trattamento.
Notifiche “push” e “pull”
39. Un altro possibile modo per fornire informazioni finalizzate alla trasparenza e' attraverso l’uso di notifiche “push” e “pull”. Le notifiche “push” implicano la fornitura di messaggi “just in time”, mentre quelle “pull” facilitano l’accesso alle informazioni con metodi quali la gestione dei permessi, dashboard per la privacy e tutorial per saperne di piu'. L’interessato puo' cosi' fruire di un’esperienza maggiormente incentrata sull’utente.
Altri tipi di “misure appropriate”
Considerato il livello molto elevato di accesso a Internet nell’UE e il fatto che gli interessati possono collegarsi online in qualsiasi momento, da molteplici luoghi e da diversi dispositivi (come illustrato sopra), il Gruppo ritiene che, nel caso dei titolari del trattamento che hanno una presenza digitale/online, una “misura appropriata” per fornire informazioni finalizzate alla trasparenza e' fornirle mediante una dichiarazione/informativa sulla privacy elettronica. In funzione delle circostanze della raccolta e del trattamento dei dati, il titolare del trattamento potrebbe tuttavia dover far uso di altre modalita' e forme in aggiunta a detto metodo (o in alternativa ad esso, se non ha una presenza digitale/online). Altri modi possibili per trasmettere le informazioni all’interessato in funzione dei diversi ambienti dei dati personali possono includere le modalita' di seguito elencate, applicabili al rispettivo ambiente. Come precedentemente osservato, il titolare del trattamento puo' adottare un approccio stratificato optando per una combinazione di tali metodi e garantendo al contempo che le informazioni piu' importanti (si vedano i paragrafi 36 e 38) siano sempre trasmesse nella prima modalita' usata per comunicare con l’interessato.
Ambiente cartaceo, ad esempio quando si stipulano contratti per via postale: spiegazioni scritte, opuscoli, informazioni contenute nella documentazione contrattuale, vignette, infografica o diagrammi.
Ambiente telefonico: spiegazioni orali date da una persona in carne e ossa, per consentire l’interazione e risposte alle domande, oppure informazioni automatiche o preregistrate con opzioni per ascoltare altre informazioni piu' dettagliate.
Tecnologia smart senza schermo/ambiente IoT come analisi del tracciamento Wi-Fi: icone, codici QR, notifiche vocali, dettagli scritti incorporati in istruzioni di set-up cartacee, video incorporati in istruzioni di set-up digitali, informazioni scritte sul dispositivo smart, messaggi inviati via SMS o e-mail, pannelli visibili contenenti informazioni, segnaletica o campagne pubbliche d’informazione.
Ambiente interpersonale, come la risposta a sondaggi di opinione, la registrazione di persona per un servizio: spiegazioni orali o scritte fornite in forma cartacea o digitale.
Ambiente di “vita reale” con registrazione CCTV/ tramite drone: pannelli visibili contenenti informazioni, segnaletica pubblica, campagne pubbliche d’informazione o avvisi sui giornali/media.
Informazioni sulla profilazione e sul processo decisionale automatizzato
Nelle informazioni obbligatorie da fornire all’interessato ai sensi dell’articolo 13, paragrafo 2, lettera f), e dell’articolo 14, paragrafo 2, lettera g), rientrano le informazioni sull’esistenza di un processo decisionale automatizzato, comprensivo della profilazione, quale previsto all’articolo 22, paragrafi 1 e 4, unitamente a informazioni pregnanti sulla logica applicata e le conseguenze rilevanti che si prevede il trattamento avra' per l’interessato. Il Gruppo ha elaborato linee guida sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione, cui si dovrebbe fare riferimento per un ulteriore orientamento sul modo in cui attuare la trasparenza nelle particolari circostanze della profilazione. Va notato che, a parte gli specifici obblighi di trasparenza applicabili al processo decisionale automatizzato di cui all’articolo 13, paragrafo 2, lettera f), e all’articolo 14, paragrafo 2, lettera g), le considerazioni contenute nelle presenti linee guida relativamente all’importanza d’informare gli interessati delle conseguenze del trattamento dei dati personali che li riguardano e il principio generale secondo cui questo trattamento non dovrebbe cogliere di sorpresa l’interessato si applicano parimenti alla profilazione in generale (non solo a quella descritta all’articolo 22) in quanto tipologia di trattamento.
Altre questioni – rischi, norme e garanzie
Il considerando 39 del regolamento fa riferimento alla fornitura di determinate informazioni non esplicitamente trattate dagli articoli 13 e 14 (si veda il testo del considerando riportato al paragrafo 28). Il riferimento alla sensibilizzazione degli interessati ai rischi, alle norme e alle garanzie relativi al trattamento dei dati personali e' connesso a varie altre questioni, che includono le valutazioni d’impatto sulla protezione dei dati. Come stabilito nelle linee guida del Gruppo in materia di valutazione d’impatto sulla protezione dei dati, benche' non esista un obbligo in tal senso il titolare del trattamento puo' vagliare l’ipotesi di pubblicare la valutazione d’impatto sulla protezione dei dati (o una sua parte) come modo per iniettare fiducia nei trattamenti effettuati e dar prova di responsabilizzazione e trasparenza. Per dar prova di trasparenza puo' inoltre risultare utile il rispetto di un codice di condotta (previsto all’articolo 40), dal momento che e' possibile predisporre codici di condotta allo scopo di specificare alcuni aspetti dell’applicazione del regolamento, quali trattamento corretto e trasparente, informazioni fornite al pubblico e agli interessati e informazioni fornite ai minori e tutela degli stessi.
Un altro aspetto rilevante riguardo alla trasparenza e' la protezione dei dati fin dalla progettazione e la protezione per impostazione predefinita (previste all’articolo 25). Questi principi impongono al titolare di integrare le considerazioni sulla protezione dei dati nelle operazioni e nei sistemi di trattamento fin dalla fase iniziale, anziche' considerare la protezione dei dati una questione di conformita' di cui occuparsi all’ultimo minuto. Il considerando 78 si riferisce ai titolari del trattamento che attuano misure che soddisfano i requisiti della protezione dei dati fin dalla progettazione e per impostazione predefinita, tra cui misure di trasparenza con riferimento alle funzioni e al trattamento dei dati personali.
44. La questione distinta dei contitolari del trattamento e' anch’essa connessa alla sensibilizzazione degli interessati ai rischi, alle norme e alle garanzie. L ’articolo 26, paragrafo 1, impone ai contitolari di determinare le rispettive responsabilita' di ciascuno in merito all’osservanza degli obblighi derivanti dal regolamento in maniera trasparente, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14. L’articolo 26, paragrafo 2, prescrive che il contenuto essenziale dell’accordo tra i titolari del trattamento debba essere messo a disposizione dell’interessato. In altre parole, dev’essere completamente chiaro all’interessato a quale titolare debba rivolgersi qualora intenda esercitare uno o piu' dei diritti che gli spettano ai sensi del regolamento.
Informazioni relative all’ulteriore trattamento
45. Gli articoli 13 e 14 contengono entrambi una disposizione che impone al titolare del trattamento d’informare l’interessato qualora intenda trattare ulteriormente i dati personali che lo riguardano per una finalita' diversa da quella per cui sono stati raccolti/ottenuti. In tal caso, “prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalita' e ogni ulteriore informazione pertinente di cui al paragrafo 2”. Tali disposizioni danno concreta attuazione al principio di cui all’articolo 5, paragrafo 1, lettera b), secondo cui i dati personali devono essere raccolti per finalita' determinate, esplicite e legittime ed e' vietato trattarli successivamente in modo incompatibile con tali finalita'. La seconda parte dell’articolo 5, paragrafo 1, lettera b), afferma che un ulteriore trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non e', conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalita' iniziali. Qualora i dati personali siano ulteriormente trattati per finalita' compatibili con quelle iniziali (l’articolo 6, paragrafo 4, regola la questione), trovano applicazione l’articolo 13, paragrafo 3, e l’articolo 14, paragrafo 4. Le disposizioni di questi articoli che impongono di informare l’interessato dell’ulteriore trattamento supportano la posizione assunta nel regolamento, secondo cui l’interessato dovrebbe ragionevolmente attendersi, al momento e nel contesto della raccolta dei dati personali, che possa avere luogo un trattamento per una particolare finalita'. In altre parole, l’interessato non dovrebbe essere colto di sorpresa dalla finalita' del trattamento dei dati personali che lo riguardano.
Nella parte in cui si riferiscono alla fornitura di “ogni ulteriore informazione pertinente di cui al paragrafo 2”, l’articolo 13, paragrafo 3, e l’articolo 14, paragrafo 4, possono essere interpretati a prima vista come se lasciassero al titolare del trattamento una certa liberta' di valutazione circa la portata e le categorie particolari d’informazioni di cui al rispettivo paragrafo 2 (ovvero, a seconda del caso, articolo 13, paragrafo 2, o articolo 14, paragrafo 2) che dovrebbero essere fornite all’interessato (il considerando 61 parla a tale proposito di “altre informazioni necessarie”). La posizione prestabilita e' comunque che tutte le informazioni di cui a detto paragrafo dovrebbero essere fornite all’interessato, salvo che una o piu' categorie d’informazioni non esistano o non siano applicabili.
Il Gruppo raccomanda che i titolari del trattamento, per essere trasparenti, corretti e responsabili, considerino di mettere a disposizione degli interessati, nella rispettiva dichiarazione/informativa sulla privacy, informazioni sull’analisi di compatibilita' svolta ai sensi dell’articolo 6, paragrafo 4, qualora la nuova finalita' del trattamento si fondi su una base giuridica diversa dal consenso o da un atto legislativo dell’Unione o degli Stati membri (in altre parole, una spiegazione del modo in cui il trattamento per una finalita' diversa sia compatibile con la finalita' iniziale). L’intento e' offrire agli interessati la possibilita' di valutare la compatibilita' dell’ulteriore trattamento e delle garanzie fornite e di decidere se esercitare o no i loro diritti, ad es., tra gli altri, il diritto di limitazione di trattamento o il diritto di opporsi al trattamento. Laddove i titolari del trattamento scelgano di non includere tali informazioni nella dichiarazione/informativa sulla privacy, il Gruppo raccomanda che esplicitino agli interessati il fatto che tali informazioni possono essere ottenute su richiesta.
Connessa all’esercizio dei diritti dell’interessato e' la questione della tempestivita'. Come evidenziato sopra, la fornitura d’informazioni in maniera tempestiva e' un elemento di vitale importanza degli obblighi di trasparenza di cui agli articoli 13 e 14, intrinsecamente legato al concetto di trattamento corretto. Le informazioni relative all’ulteriore trattamento devono essere fornite “prima di tale ulteriore trattamento”. Il Gruppo ritiene che tra la comunicazione e l’inizio del trattamento debba intercorrere un periodo di tempo ragionevole, e non che il trattamento cominci non appena l’interessato riceve la comunicazione. Cio' garantisce agli interessati i vantaggi pratici del principio della trasparenza, offrendo loro una possibilita' significativa di valutare l’ulteriore trattamento (e potenzialmente esercitare i loro diritti al riguardo). Quale sia un termine ragionevole dipende dalle circostanze specifiche. Il principio della correttezza impone che piu' invasivo (o meno atteso) e' l’ulteriore trattamento, piuÌ� lungo debba essere il periodo. Allo stesso modo, il principio di responsabilizzazione implica che i titolari del trattamento siano in grado di dimostrare che le conclusioni cui sono giunti circa la tempistica della fornitura delle informazioni sono giustificate nel caso specifico e che la tempistica e' nel complesso corretta nei confronti degli interessati (si vedano anche le precedenti considerazioni circa la valutazione dei termini ragionevoli ai paragrafi 30-32.)
Strumenti di visualizzazione
Un aspetto importante e' che nel regolamento l’attuazione del principio della trasparenza non si limita alle comunicazioni linguistiche (siano essere scritte od orali). Il regolamento prevede, se del caso, il ricorso a strumenti di visualizzazione (con particolare riferimento a icone, meccanismi di certificazione, sigilli e marchi di protezione dei dati). Il considerando 58 indica che l’accessibilita' delle informazioni rivolte al pubblico o agli interessati e' particolarmente importante nell’ambiente online.
Icone
Il considerando 60 prevede che le informazioni siano fornite all’interessato “in combinazione” con icone standardizzate, ammettendo cosi' un approccio stratificato. Le icone non dovrebbero tuttavia essere usate come semplice sostituto delle informazioni necessarie per l’esercizio dei diritti dell’interessato ne' come sostituto per assicurare la conformita' agli obblighi del titolare del trattamento previsti agli articoli 13 e 14. L’articolo 12, paragrafo 7, prevede l’uso di tale icone affermando che:
“Le informazioni da fornire agli interessati a norma degli articoli 13 e 14 possono essere fornite in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone sono leggibili da dispositivo automatico”.
Dal momento che l’articolo 12, paragrafo 7, afferma che “[s]e presentate elettronicamente, le icone sono leggibili da dispositivo automatico”, possono esserci situazioni in cui le icone non sono presentate elettronicamente, ma sono, ad esempio, icone riportate su materiale cartaceo, dispositivi IoT oppure su imballaggi di dispositivi IoT, avvisi in luoghi pubblici riguardo al tracciamento Wi-Fi, codici QR e notifiche CCTV.
E' evidente che le icone sono utilizzate allo scopo di aumentare la trasparenza per gli interessati, in quanto presentano la potenzialita' di ridurre la necessita' di presentare loro grandi quantita' d’informazioni scritte. A ogni modo, l’utilita' delle icone per trasmettere in maniera efficace agli interessati le informazioni richieste dagli articoli 13 e 14 dipende dalla standardizzazione dei simboli/delle immagini, che dovrebbero essere di uso universale e riconosciuti in tutta l’UE come rappresentazione schematica dell’informazione corrispondente. A tale riguardo, il regolamento attribuisce alla Commissione la responsabilita' dello sviluppo di un codice iconografico, ma in definitiva il comitato europeo per la protezione dei dati puo', su richiesta della Commissione o di propria iniziativa, fornire alla Commissione un parere in merito a dette icone49. Il Gruppo riconosce che, in linea con il considerando 166, lo sviluppo di un codice iconografico dovrebbe basarsi su un approccio empirico e che, prima di una simile standardizzazione, sara' necessario condurre, in collaborazione con gli operatori del settore e il pubblico in generale, estese ricerche sull’efficacia delle icone in questo contesto.
Meccanismi di certificazione, sigilli e marchi
Oltre alle icone standardizzate, il regolamento (articolo 42) prevede anche l’uso di meccanismi di certificazione della protezione dei dati, nonche' di sigilli e marchi di protezione dei dati, allo scopo di dimostrare la conformita' al regolamento dei trattamenti effettuati dai titolari del trattamento e dai responsabili del trattamento e migliorare la trasparenza per gli interessati. Il Gruppo pubblichera' a tempo debito linee guida sui meccanismi di certificazione.
Esercizio dei diritti degli interessati
54. La trasparenza impone al titolare del trattamento un triplice obbligo per quanto attiene ai diritti dell’interessato previsti dal regolamento, dal momento che deve:
55. Gli obblighi imposti dal regolamento in relazione all’esercizio di tali diritti e alla natura delle informazioni necessarie mirano a posizionare adeguatamente gli interessati in modo che possano rivendicare i loro diritti e ritenere i titolari del trattamento responsabili del trattamento dei dati personali che li riguardano. Il considerando 59 precisa che “[e'] opportuno prevedere modalita' volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti” e che i titolari del trattamento dovrebbero “predisporre anche i mezzi per inoltrare le richieste per via elettronica, in particolare qualora i dati personali siano trattati con mezzi elettronici”. La modalita' che il titolare del trattamento offre all’interessato per l’esercizio dei suoi diritti dovrebbe essere appropriata al contesto e alla natura del rapporto e delle interazioni tra loro. A tal fine, puo' risultare utile al titolare del trattamento offrire una o piu' modalita' diverse che rispecchino i diversi modi in cui interagisce con l’interessato.
Esempio
Un fornitore di servizi sanitari utilizza un modulo elettronico sul proprio sito Internet e moduli cartacei alla reception delle sue cliniche per facilitare l’inoltro di richieste di accesso ai dati personali, online e di persona. Pur offrendo queste modalita', il fornitore di servizi sanitari accetta anche richieste di accesso presentate in altri modi (ad esempio via lettera o e-mail) e mette a disposizione un ufficio dedicato (accessibile via e-mail o telefonicamente) per assistere gli interessati nell’esercizio dei loro diritti.
Eccezioni all’obbligo di fornire informazioni
Eccezioni all’articolo 13
56. La sola eccezione agli obblighi del titolare del trattamento di cui all’articolo 13, qualora abbia raccolto dati personali direttamente presso l’interessato, si ha “se e nella misura in cui l’interessato dispone gia' delle informazioni”. Il principio di responsabilizzazione impone al titolare del trattamento di dimostrare (e documentare) quali informazioni l’interessato possiede gia', come e quando le ha ricevute e l’assenza di modifiche delle informazioni tali da renderle obsolete. Inoltre, l’espressione “nella misura in cui” all’articolo 13, paragrafo 4, chiarisce che, anche se all’interessato sono state precedentemente fornite determinate categorie d’informazioni fra quelle previste all’articolo 13, sussiste comunque, in capo al titolare del trattamento, l’obbligo di integrarle per garantire che l’interessato disponga di un insieme completo delle informazioni elencate all’articolo 13, paragrafi 1 e 2. Segue un esempio di migliore prassi relativamente al modo restrittivo in cui andrebbe interpretata l’eccezione prevista all’articolo 13, paragrafo 4.
Esempio
Una persona sottoscrive un servizio di posta elettronica online e riceve tutte le informazioni richieste dall’articolo 13, paragrafi 1 e 2, al momento della sottoscrizione. Sei mesi dopo l’interessato attiva una funzione di messaggeria istantanea tramite il fornitore del servizio di posta elettronica e a tal fine comunica il proprio numero di cellulare. Il fornitore del servizio trasmette all’interessato alcune informazioni di cui all’articolo 13, paragrafi 1 e 2, riguardo al trattamento del numero di telefono (ad es. finalita' e base giuridica del trattamento, destinatari, periodo di conservazione), ma omette di fornirne altre di cui la persona e' gia' in possesso da 6 mesi e che da allora non sono cambiate (ad es. l’identita' e i dati di contatto del titolare e del responsabile della protezione dei dati, informazioni sui diritti dell’interessato e sul diritto di proporre reclamo all’autorita' di controllo competente). La migliore prassi richiede tuttavia che all’interessato sia nuovamente fornito il pacchetto completo d’informazioni, ma che sia in grado di individuare con facilita' le novita' rispetto al passato. Il nuovo trattamento per la finalita' del servizio di messaggeria istantanea potrebbe incidere sull’interessato a tal punto da indurlo a esercitare un diritto di cui potrebbe essersi dimenticato, avendo ricevuto le informazioni sei mesi prima. Fornire di nuovo tutte le informazioni contribuisce a garantire che l’interessato rimanga adeguatamente informato sul modo in cui sono utilizzati i dati che lo riguardano e sui diritti di cui gode.
Eccezioni all’articolo 14
57. Se i dati personali non sono stati ottenuti presso l’interessato, l’articolo 14 prevede una serie molto piu' ampia di eccezioni all’obbligo d’informazione incombente al titolare del trattamento. In linea generale, tali eccezioni dovrebbero essere interpretate e applicate restrittivamente. Oltre alle circostanze in cui l’interessato dispone gia' delle informazioni in questione (articolo 14, paragrafo 5, lettera a)), l’articolo 14, paragrafo 5, ammette le seguenti eccezioni:
comunicare le informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato, in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, o renderebbe impossibile o pregiudicherebbe gravemente il conseguimento delle finalita' del trattamento;
l’ottenimento o la comunicazione dei dati personali sono previsti dal diritto dell’Unione o dello Stato membro cui e' soggetto il titolare del trattamento e che prevede misure appropriate per tutelare i legittimi interessi dell’interessato;
un obbligo di segreto professionale (incluso un obbligo di segretezza previsto per legge) disciplinato dal diritto dell’Unione o degli Stati membri implica che i dati personali devono rimanere riservati.
Impossibilita', sforzo sproporzionato e grave pregiudizio delle finalita'
L’articolo 14, paragrafo 5, lettera b), prevede tre situazioni distinte in cui e' fatta eccezione all’obbligo di fornire le informazioni di cui all’articolo 14, paragrafi 1, 2 e 4:
(i) qualora cio' risulti impossibile (in particolare per il trattamento a fini di archiviazione, di ricerca scientifica o storica o a fini statistici);
(ii) qualora implichi uno sforzo sproporzionato (in particolare per il trattamento a fini di archiviazione, di ricerca scientifica o storica o a fini statistici);
(iii) qualora comunicare le informazioni richieste dall’articolo 14, paragrafo 1, rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalita' del trattamento.
“Risulta impossibile”
La situazione in cui la comunicazione delle informazioni “risulta impossibile” ai sensi dell’articolo 14, paragrafo 5, lettera b), e' del tipo “bianco o nero”, perche' una certa cosa e' impossibile oppure non lo e': non esistono gradazioni di impossibilita'. Pertanto, se intende valersi dell’eccezione, il titolare del trattamento deve dimostrare i fattori che effettivamente gli impediscono di fornire le informazioni all’interessato. Se, trascorso un certo periodo di tempo, i fattori che hanno determinato l’“impossibilita'” svaniscono e la comunicazione delle informazioni all’interessato diventa possibile, il titolare del trattamento dovrebbe provvedervi immediatamente. In pratica, vi saranno pochissime situazioni in cui il titolare del trattamento potra' dimostrare l’effettiva impossibilita' di fornire le informazioni all’interessato; l’esempio seguente lo dimostra.
Esempio
L’interessato si registra per un servizio di abbonamento online con pagamento a posteriori. Dopo la registrazione, il titolare del trattamento raccoglie dati relativi alla solvibilita' dell’interessato da un’agenzia dedicata, al fine di decidere se fornire o no il servizio. Il protocollo del titolare del trattamento prevede che si informino gli interessati della raccolta di tali dati entro tre giorni, conformemente all’articolo 14, paragrafo 3, lettera a). Tuttavia, l’indirizzo e il numero di telefono dell’interessato non sono riportati nei pubblici registri (l’interessato vive all’estero). L’interessato non ha lasciato un indirizzo e-mail al momento della registrazione per il servizio o l’indirizzo e-mail fornito non e' valido. Il titolare del trattamento ritiene di non avere mezzi per contattare direttamente l’interessato. In questo caso, comunque, il titolare del trattamento potrebbe fornire informazioni circa la raccolta dei dati sulla solvibilita' sul proprio sito Internet, prima della registrazione. In tal modo non risulterebbe impossibile fornire le informazioni a norma dell’articolo 14.
Impossibilita' di specificare la fonte dei dati
Il considerando 61 afferma che “[q]ualora non sia possibile comunicare all’interessato l’origine dei dati personali, perche' sono state utilizzate varie fonti, dovrebbe essere fornita un’informazione di carattere generale”. L’esenzione dall’obbligo di fornire all’interessato informazioni sulla fonte dei dati personali che lo riguardano si applica solo se e' impossibile attribuire a una determinata fonte i diversi dati personali ottenuti. Ad esempio, il mero fatto che il titolare del trattamento abbia compilato una banca dati contenente i dati personali di diversi interessati utilizzando piu' di una fonte non e sufficiente per derogare all’obbligo se e' possibile (benche' laborioso e dispendioso in termini di tempo) individuare la fonte a cui sono stati attinti i dati personali dei singoli interessati. Dato l’obbligo della protezione dei dati fin dalla progettazione e per impostazione predefinita, i meccanismi di trasparenza dovrebbero essere integrati nei sistemi di trattamento sin dall’inizio, in maniera tale da poter rintracciare tutte le fonti dei dati personali ricevuti in un’organizzazione e da poter risalire ad esse in qualsiasi momento del ciclo di vita del trattamento (si veda il paragrafo 43).
“Sforzo sproporzionato”
Ai sensi dell’articolo 14, paragrafo 5, lettera b), oltre alla situazione di “impossibilita'” puo' trovare applicazione lo “sforzo sproporzionato”, in particolare per il trattamento “a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all’articolo 89, paragrafo 1”. Anche il considerando 62 si riferisce a queste finalita' come a situazioni in cui informare l’interessato richiederebbe uno sforzo sproporzionato e afferma che, in tali casi, si dovrebbe tener conto del numero di interessati, dell’antichita' dei dati e delle eventuali garanzie adeguate in essere. Considerato il rilievo posto dal considerando 62 e dall’articolo 14, paragrafo 5, lettera b), sulle finalita' di archiviazione, di ricerca o statistiche, il Gruppo considera che, nell’ordinario, il titolare che non tratta dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non debba avvalersi di quest’esenzione. Il Gruppo sottolinea che, se queste sono le finalita' perseguite, occorre soddisfare le condizioni di cui all’articolo 89, paragrafo 1, e che la comunicazione delle informazioni deve costituire uno sforzo sproporzionato.
Nel determinare che cosa possa configurare un’impossibilita' o uno sforzo sproporzionato ai sensi dell’articolo 14, paragrafo 5, lettera b), e' interessante rilevare che esenzioni analoghe non sono previste all’articolo 13 (se i dati personali sono raccolti presso l’interessato). L’unica differenza tra la situazione di cui all’articolo 13 e quella di cui all’articolo 14 e' che, nella seconda, i dati personali non sono raccolti presso l’interessato. Ne consegue pertanto che l’impossibilita' o lo sforzo sproporzionato deriva tipicamente da circostanze che non si applicano se i dati personali sono raccolti presso l’interessato. In altre parole, l’impossibilita' o lo sforzo sproporzionato deve ricollegarsi direttamente al fatto che i dati personali sono stati ottenuti da fonte diversa dall’interessato.
Esempio
L’ospedale di una grande citta' chiede a tutti i pazienti che vi si recano per trattamenti in day-hospital, ricoveri di lunga durata o visite mediche di compilare un modulo di raccolta dati del paziente in cui occorre indicare gli estremi di due parenti stretti (gli interessati). Considerato l’enorme numero di pazienti che ogni giorno passano per l’ospedale, comunicare le informazioni di cui all’articolo 14 a tutte le persone elencate come parenti stretti sui moduli compilati dai pazienti richiederebbe uno sforzo sproporzionato da parte dell’ospedale.
63. I fattori richiamati nel considerando 62 (numero di interessati, antichita' dei dati ed eventuali garanzie adeguate in essere) possono essere indicativi dei tipi di questioni che contribuiscono a far si' che il titolare del trattamento debba compiere uno sforzo sproporzionato per comunicare all’interessato le informazioni di cui all’articolo 14.
Esempio
Alcuni storici conducono una ricerca intesa a ricostruire la genealogia in base ai cognomi; in tale contesto ottengono indirettamente una consistente serie di dati su 20 000 interessati. I dati sono tuttavia stati raccolti 50 anni prima, non sono piu' stati aggiornati da allora e non includono i dati di contatto. Considerata la mole di dati e, piu' particolarmente, l’antichita' degli stessi, rintracciare gli interessati a uno a uno per fornire loro le informazioni di cui all’articolo 14 richiederebbe uno sforzo sproporzionato da parte dei ricercatori.
64. Qualora intenda avvalersi dell’eccezione di cui all’articolo 14, paragrafo 5, lettera b), perche' la comunicazione delle informazioni implicherebbe uno sforzo sproporzionato, il titolare del trattamento dovrebbe effettuare una valutazione mettendo sulla bilancia, da un lato, lo sforzo che fornire le informazioni all’interessato gli implicherebbe e, dall’altro, l’impatto e gli effetti dell’omessa comunicazione sull’interessato. Il titolare del trattamento dovrebbe documentare tale valutazione conformemente agli obblighi di responsabilizzazione che gl’incombono. In siffatto caso, l’articolo 14, paragrafo 5, lettera b), precisa che il titolare deve adottare misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell’interessato. Cio' si applica parimenti se il titolare del trattamento stabilisce che la comunicazione delle informazioni risulta impossibile oppure puo' rendere impossibile o pregiudicare gravemente il conseguimento delle finalita' del trattamento. Come specificato all’articolo 14, paragrafo 5, lettera b), una delle misure appropriate che il titolare del trattamento deve adottare sempre e' rendere pubbliche le informazioni. Questo e' possibile in un certo numero di modi, ad esempio pubblicando le informazioni sul proprio sito Internet oppure pubblicizzandole proattivamente su un giornale o su manifesti nei propri locali. Le altre misure appropriate, oltre alla pubblicita' delle informazioni, dipenderanno dalle circostanze del trattamento, ma potranno includere l’effettuazione di una valutazione d’impatto sulla protezione dei dati, l’applicazione di tecniche di pseudonimizzazione dei dati, la minimizzazione dei dati raccolti e del periodo di conservazione e l’attuazione di misure tecniche e organizzative finalizzate a un livello elevato di sicurezza. Vi possono inoltre essere situazioni in cui il titolare tratta dati personali che non richiedono l’identificazione dell’interessato (ad esempio dati pseudonimizzati). In tali casi, puo' risultare pertinente anche l’articolo 11, paragrafo 1, dal momento che afferma che il titolare del trattamento non e' obbligato a conservare, acquisire o trattare ulteriori informazioni per identificare l’interessato al solo fine di rispettare il regolamento.
Grave pregiudizio delle finalita'
65. L’ultima situazione contemplata dall’articolo 14, paragrafo 5, lettera b), e' quella in cui la comunicazione all’interessato, da parte del titolare del trattamento, delle informazioni di cui all’articolo 14, paragrafo 1, potrebbe rendere impossibile o pregiudicare gravemente il conseguimento delle finalita' del trattamento. Per avvalersi di quest’eccezione, il titolare del trattamento deve dimostrare che basterebbe fornire le informazioni di cui all’articolo 14, paragrafo 1, per vanificare le finalita' del trattamento. Segnatamente, quest’aspetto dell’articolo 14, paragrafo 5, lettera b), puo' essere addotto presupponendo che il trattamento dei dati rispetti tutti i principi stabiliti all’articolo 5 e che, cosa ancor piu' importante, il trattamento dei dati personali sia corretto e abbia una base giuridica in tutte le circostanze.
Esempio
La normativa antiriciclaggio obbliga la banca A a segnalare alla competente autorita' di polizia economico-finanziaria le operazioni sospette relative ai conti detenuti presso di essa. La banca A riceve dalla banca B (di un altro Stato membro) l’informazione che un dato correntista ha disposto il trasferimento di una certa somma a un altro conto detenuto presso la banca A, il che appare sospetto. La banca A trasmette i dati relativi al correntista e alle operazioni sospette alla competente autorita' di polizia economico-finanziaria. Secondo la normativa antiriciclaggio in questione, commette reato la banca segnalatrice che, con una “soffiata”, avvisa il correntista del fatto che potrebbe essere sottoposto a indagini a norma di legge. In tale situazione, l’articolo 14, paragrafo 5, lettera b), trova applicazione, dal momento che fornire all’interessato (il correntista della banca A) le informazioni di cui all’articolo 14 sul trattamento dei dati personali che lo riguardano, ricevuti dalla banca B, pregiudicherebbe gravemente le finalita' della normativa, che include la prevenzione delle “soffiate”. Tuttavia, all’apertura di un conto la banca A dovrebbe fornire a tutti i correntisti informazioni generali che indichino che i dati che li riguardano potranno essere trattati per finalita' di antiriciclaggio.
Ottenimento o comunicazione d’informazioni espressamente previsti per legge
66. L’articolo 14, paragrafo 5, lettera c), ammette l’esenzione dagli obblighi d’informazione di cui all’articolo 14, paragrafi 1, 2 e 4, nella misura in cui l’ottenimento o la comunicazione dei dati personali “sono espressamente previsti dal diritto dell’Unione o dello Stato membro cui e' soggetto il titolare del trattamento”. L’esenzione e' subordinata alla condizione che il diritto in questione preveda “misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell’interessato”. Il diritto in questione deve riguardare direttamente il titolare del trattamento, per il quale l’ottenimento o la comunicazione dovrebbero essere obbligatori. Di conseguenza, il titolare del trattamento dev’essere in grado di dimostrare che il diritto in questione trova applicazione nei suoi confronti e gli impone l’ottenimento o la comunicazione dei dati personali. Sebbene spetti al diritto dell’Unione europea o dello Stato membro inquadrare la normativa in maniera tale che preveda “misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell’interessato”, il titolare del trattamento dovrebbe garantire (ed essere in grado di dimostrare) di aver ottenuto o comunicato i dati personali in conformita' di tali misure. Salvo se la legge gli impedisce di agire in tal senso, il titolare del trattamento dovrebbe inoltre chiarire agli interessati che l’ottenimento o la comunicazione dei dati personali e' conforme al diritto in questione. Cio' e' in linea con il considerando 41 del regolamento, il quale afferma che una base giuridica o una misura legislativa dovrebbe essere chiara e precisa e la sua applicazione prevedibile per le persone che vi sono sottoposte, in conformita' della giurisprudenza della Corte di giustizia dell’Unione europea e della Corte europea dei diritti dell’uomo. Tuttavia, l’articolo 14, paragrafo 5, lettera c), non trovera' applicazione qualora sussista per il titolare del trattamento l’obbligo di ottenere i dati direttamente presso l’interessato, nel qual caso si applichera' l’articolo 13. In tal caso, la sola eccezione prevista dal regolamento che esoneri il titolare del trattamento dal fornire all’interessato le informazioni sul trattamento sara' quella prevista all’articolo 13, paragrafo 4 (vale a dire se e nella misura in cui l’interessato dispone gia' delle informazioni). Come riportato al paragrafo 68, a livello nazionale gli Stati membri possono tuttavia legiferare, conformemente all’articolo 23, su ulteriori specifiche limitazioni del diritto alla trasparenza di cui all’articolo 12 e all’informazione ai sensi degli articoli 13 e 14.
Esempio
Un’autorita' fiscale e' soggetta all’obbligo, previsto dal diritto nazionale, di ottenere dai datori di lavoro dati sui salari dei dipendenti. I dati personali non sono ottenuti presso gli interessati e pertanto l’autorita' fiscale e' soggetta agli obblighi di cui all’articolo 14. Dal momento che questo tipo di ottenimento dei dati personali presso i datori di lavoro e' espressamente previsto dalla legge, l’autorita' fiscale non e' sottoposta agli obblighi d’informazione di cui all’articolo 14.
Riservatezza a fronte di un obbligo di segretezza
67. L’articolo 14, paragrafo 5, lettera d), prevede un’esenzione dall’obbligo d’informazione in capo al titolare del trattamento qualora i dati personali “debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri”. Se intende avvalersi di quest’esenzione, il titolare del trattamento dev’essere in grado di provare di averla identificata in maniera appropriata e di mostrare come l’obbligo del segreto professionale lo riguardi direttamente al punto tale da impedirgli di fornire all’interessato tutte le informazioni di cui all’articolo 14, paragrafi 1, 2 e 4.
Esempio
Un medico (titolare del trattamento) e' soggetto all’obbligo di segreto professionale per quanto concerne le informazioni mediche dei suoi pazienti. Una paziente (nei confronti della quale si applica l’obbligo di segreto professionale) fornisce al medico informazioni sul suo stato di salute relativamente a una condizione genetica che interessa anche un certo numero di suoi parenti stretti. La paziente fornisce al medico anche determinati dati personali dei parenti (gli interessati) che presentano la stessa condizione. Al medico non e' imposto di fornire ai parenti le informazioni di cui all’articolo 14, dal momento che trova applicazione l’esenzione prevista all’articolo 14, paragrafo 5, lettera d). Se il medico dovesse fornire le informazioni di cui all’articolo 14 ai parenti, sarebbe violato l’obbligo di segreto professionale cui e' soggetto nei confronti della paziente.
Limitazioni dei diritti degli interessati
68. L’articolo 23 prevede che gli Stati membri (o l’UE) legiferino su ulteriori limitazioni della portata dei diritti degli interessati relativi alla trasparenza e dei loro diritti sostanziali, nella misura in cui tali misure rispettino l’essenza dei diritti e delle liberta' fondamentali e siano necessarie e proporzionate per salvaguardare una o piu' delle dieci finalita' previste all’articolo 23, paragrafo 1, lettere da a) a j). Qualora tali misure nazionali limitino i diritti specifici degli interessati o gli obblighi generali di trasparenza che altrimenti si applicherebbero ai titolari del trattamento ai sensi del regolamento, questi ultimi dovrebbero essere in grado di dimostrare in che modo la norma nazionale si applichi loro. Come stabilito all’articolo 23, paragrafo 2, lettera h), la misura legislativa deve contenere una disposizione circa il diritto degli interessati di essere informati della limitazione, a meno che cio' possa comprometterne la finalita'. Coerentemente, e in linea con il principio di correttezza, il titolare del trattamento dovrebbe informare l’interessato anche del fatto che si sta avvalendo (o si avvarra' nel caso in cui sia esercitato un particolare diritto dell’interessato) di una limitazione legislativa nazionale dell’esercizio dei diritti degli interessati o dell’obbligo di trasparenza, a meno che cio' possa compromettere la finalita' di tale limitazione. Per sua natura la trasparenza impone che i titolari del trattamento forniscano anticipatamente agli interessati informazioni adeguate relative ai diritti di cui godono e alle eventuali riserve al riguardo di cui il titolare possa avvalersi, in maniera tale che l’interessato non sia colto di sorpresa dalla dichiarata limitazione di uno specifico diritto nel momento in cui successivamente tenti di esercitarlo nei confronti del titolare. Per quanto concerne la pseudonimizzazione e la minimizzazione dei dati e nella misura in cui i titolari del trattamento intendano valersi dell’articolo 11 del regolamento, il Gruppo ha precedentemente confermato nel parere 3/ 2017 che tale articolo dovrebbe essere interpretato come un modo per far valere il vero principio della riduzione al minimo dei dati senza ostacolare l’esercizio dei diritti dell’interessato e che questo esercizio dev’essere reso possibile con l’ausilio delle ulteriori informazioni fornite dall’interessato.
69. L’articolo 85 impone agli Stati membri, per legge, di conciliare la protezione dei dati personali con il diritto alla liberta' d’espressione e d’informazione. Cio' implica tra l’altro che, ai fini del trattamento effettuato a scopi giornalistici o di espressione accademica, artistica o letteraria, gli Stati membri prevedano, qualora siano necessarie per conciliare i due diritti, esenzioni o deroghe appropriate rispetto a determinate disposizioni del regolamento (inclusi gli obblighi di trasparenza di cui agli articoli 12-14).
Trasparenza e violazione dei dati
70. Il Gruppo ha elaborato linee guida distinte sulle violazioni dei dati, ma ai fini delle presenti linee guida gli obblighi del titolare del trattamento relativi alla comunicazione delle violazioni di dati all’interessato devono tenere integralmente conto degli obblighi di trasparenza stabiliti all’articolo 12. La comunicazione di una violazione dei dati deve soddisfare gli stessi requisiti sopra illustrati (in particolare quelli sull’uso di un linguaggio semplice e chiaro), che si applicano a qualsiasi altra comunicazione con l’interessato sui suoi diritti o in connessione con la trasmissione delle informazioni di cui agli articoli 13 e 14.
Fonte: Garante per la Protezione dei dati - Linee guida sulla trasparenza ai sensi del regolamento 2016/679
LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227