EntiOnLine
Categorie
indietro
29/11/2017 Trasparenza: Informative- significato e elementi della trasparenza-esempi e cattive prassi

Trasparenza: Informative-significato e elementi della trasparenza-esempi e cattive prassi

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

GRUPPO DI LAVORO ARTICOLO 29 PER LA PROTEZIONE DEI DATI

17/IT
WP260 rev.01

Linee guida sulla trasparenza ai sensi del regolamento 2016/679

Adottate il 29 novembre 2017

Versione emendata adottata l’11 aprile 2018

IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

istituito dalla direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, visti gli articoli 29 e 30 della stessa, visto il suo regolamento interno, HA ADOTTATO LE PRESENTI LINEE GUIDA:

Il Gruppo di lavoro e' stato istituito in virtu' dell’articolo 29 della direttiva 95/46/CE. E' l’organo consultivo indipendente dell’UE per la protezione dei dati personali e della vita privata. I suoi compiti sono fissati all’articolo 30 della direttiva 95/46/CE e all’articolo 15 della direttiva 2002/58/CE.

Le funzioni di segreteria sono espletate dalla direzione C (Diritti fondamentali e Stato di diritto) della direzione generale Giustizia, Commissione europea, B-1049 Bruxelles, Belgio, ufficio MO-59 02/013.

... (omissis) ...

Il significato della trasparenza

6. Il concetto di trasparenza non e' definito nel regolamento. Il considerando 39 del regolamento ne illustra il significato e l’effetto nell’ambito del trattamento dei dati:

“Dovrebbero essere trasparenti per le persone fisiche le modalita' con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonche' la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identita' del titolare del trattamento e sulle finalita' del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano...”.

Elementi della trasparenza ai sensi del regolamento

7. Applicandosi ai diritti dell’interessato, gli articoli fondamentali per quanto concerne la trasparenza nel regolamento si trovano nel capo III (Diritti dell’interessato). L’articolo 12 fissa le regole generali che si applicano alla fornitura d’informazioni agli interessati (ai sensi degli articoli 13 e 14), alla comunicazione con gli interessati riguardo all’esercizio dei loro diritti (ai sensi degli articoli 15-22) e alle comunicazioni relative alle violazioni di dati (articolo 34). In particolare, l’articolo 12 impone che le informazioni o le comunicazioni in questione debbano rispettare i criteri seguenti:

  • devono essere concise, trasparenti, intelligibili e facilmente accessibili (articolo 12, paragrafo 1);

  • devono essere formulate con un linguaggio semplice e chiaro (articolo 12, paragrafo 1);

  • il requisito di un linguaggio semplice e chiaro e' di particolare importanza nel caso d’informazioni destinate ai minori (articolo 12, paragrafo 1);

  • devono essere fornite per iscritto “o con altri mezzi, anche, se del caso, con mezzi elettronici” (articolo 12, paragrafo 1);

  • se richiesto dall’interessato, possono essere fornite oralmente (articolo 12, paragrafo 1);

  • devono essere in genere gratuite (articolo 12, paragrafo 5).

    “Concise, trasparenti, intelligibili e facilmente accessibili”

  1. L’obbligo di fornire agli interessati le informazioni e le comunicazioni in forma “concisa e trasparente” implica che il titolare del trattamento presenti le informazioni/comunicazioni in maniera efficace e succinta al fine di evitare un subissamento informativo. Tali informazioni dovrebbero essere differenziate nettamente da altre che non riguardano la vita privata, quali clausole contrattuali o condizioni generali d’uso. Nell’ambiente online l’utilizzo di una dichiarazione/informativa sulla privacy stratificata consentira' all’interessato di consultarne immediatamente la specifica sezione desiderata, senza dover scorrere ampie porzioni di testo alla ricerca di un argomento in particolare.

  2. L’obbligo di fornire informazioni “intelligibili” implica che risultino comprensibili a un esponente medio del pubblico cui sono dirette. L’intelligibilita' e' strettamente connessa all’obbligo di utilizzare un linguaggio semplice e chiaro. Il titolare dei dati responsabilizzato sapra' su che tipo di persone raccoglie informazioni e potra' utilizzare tali conoscenze per stabilire che cosa e' probabile che il pubblico in questione comprenda. Ad esempio, il titolare che raccoglie dati personali di professionisti potra' immaginare che il suo pubblico presenti un livello di comprensione superiore rispetto a quello cui si rivolge il titolare che ottiene dati personali di minori. Se non e' certo del livello di intelligibilita' e trasparenza delle informazioni e dell’efficacia delle interfacce utente/informative/dichiarazioni, ecc., il titolare puo' effettuare dei test, ad esempio ricorrendo, secondo il caso, a meccanismi quali gruppi di utenti, test di leggibilita', interazioni formali e informali e dialoghi con gruppi di settore, associazioni dei consumatori ed enti normativi.

  3. Una considerazione centrale al principio della trasparenza evidenziata in queste disposizioni e' che l’interessato dovrebbe essere in grado di determinare in anticipo quali siano la portata del trattamento e le relative conseguenze e non dovrebbe successivamente essere colto di sorpresa dalle modalita' di utilizzo dei dati personali che lo riguardano. Cio' costituisce un aspetto importante del principio di correttezza di cui all’articolo 5, paragrafo 1, del regolamento ed e' altresi' connesso al considerando 39, il quale stabilisce che “[e'] opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali...”. In particolare per il trattamento di dati in casi complessi, tecnici o inattesi, la posizione del Gruppo e' che, oltre a fornire le informazioni prescritte agli articoli 13 e 14 (di cui ci si occupera' nel prosieguo delle presenti linee guida), il titolare del trattamento debba dichiarare in una sede distinta, in un linguaggio privo di ambiguita', quali saranno le principali conseguenze del trattamento, in altre parole, quale tipo di effetto sull’interessato, descritto in una dichiarazione/informativa sulla privacy, avra' concretamente il trattamento specifico. Conformemente al principio di responsabilizzazione e in linea con il considerando 39, il titolare del trattamento dovrebbe valutare se questo tipo di trattamento presenti per le persone fisiche rischi particolari da segnalare loro. Cio' puo' contribuire a offrire una panoramica dei tipi di trattamento che potrebbero avere l’impatto piu' forte sui diritti e liberta' fondamentali degli interessati in relazione alla protezione dei dati personali che li riguardano.

11. L’elemento della “facile accessibilita'” implica che l’interessato non sia costretto a cercare le informazioni, ma che anzi gli sia immediatamente chiaro dove e come queste siano accessibili, ad esempio perche' gli sono fornite direttamente, un link lo dirige verso di esse o le informazioni sono contrassegnate chiaramente oppure perche' le informazioni si configurano come risposta a una domanda in linguaggio naturale (ad esempio in una dichiarazione/informativa sulla privacy stratificata online, in FAQ, mediante pop-up contestuali che si attivano quando l’interessato compila un modulo online oppure, in un contesto digitale interattivo, attraverso un’interfaccia chatbot, ecc. Questi meccanismi sono trattati nel dettaglio in seguito, tra cui ai paragrafi 33-40.

Esempio

Tutte le organizzazioni che hanno un sito Internet dovrebbero pubblicarvi una dichiarazione/informativa sulla privacy. Su ogni pagina del sito dovrebbe essere chiaramente visibile un link diretto alla dichiarazione/informativa sulla privacy che riporti una dicitura di uso comune (come “Privacy”, “Informativa sulla privacy” o “Informativa sulla protezione dei dati”). Non sono considerati facilmente accessibili un posizionamento o codici cromatici tali da rendere il testo o il link meno visibile o difficile da individuare in una pagina Internet.

Per le app le informazioni necessarie dovrebbero essere messe a disposizione presso uno store online prima del download. Una volta installata l’app, le informazioni devono continuare a essere facilmente accessibili al suo interno. Un modo per soddisfare questo requisito consiste nel garantire che le informazioni non siano mai a piu' di due “tocchi” di distanza (ad es. includendo un’opzione “Privacy”/”Protezione dei dati” nella funzione di menu' dell’app). Inoltre, l’informativa sulla privacy dovrebbe essere specifica alla app e non meramente l’informativa generica dell’azienda che e' proprietaria dell’app o che la mette a disposizione pubblicamente.

Il Gruppo raccomanda come migliore prassi che, al momento della raccolta dei dati personali in ambiente online, sia fornito un link alla dichiarazione/informativa sulla privacy o che tali informazioni siano messe a disposizione sulla stessa pagina in cui sono raccolti i dati personali.

“Linguaggio semplice e chiaro”

12. Se le informazioni sono scritte (e, nel caso in cui le informazioni scritte siano fornite oralmente, o con metodi audio/audiovisivi, fra l’altro per interessati con disabilita' visive), si devono seguire le migliori prassi per una scrittura chiara11. Un analogo requisito linguistico (di un “linguaggio chiaro e comprensibile”) e' stato precedentemente utilizzato dal legislatore dell’Unione europea12; ad esso e' fatto esplicito riferimento nel considerando 42 del regolamento13 in relazione al consenso. Il fatto che il linguaggio debba essere semplice e chiaro significa che le informazioni dovrebbero essere fornite nel modo piu' semplice possibile, evitando frasi e strutture linguistiche complesse. Le informazioni dovrebbero essere concrete e certe, non dovrebbero essere formulate in termini astratti o ambigui ne' lasciare spazio a interpretazioni multiple. In particolare dovrebbero risultare chiare le finalita' e la base giuridica del trattamento dei dati personali.

Esempi di cattive prassi

Le espressioni seguenti non sono sufficientemente chiare con riferimento alle finalita' del trattamento:

  • I tuoi dati personali potrebbero essere usati per sviluppare nuovi servizi” (non essendo chiaro quali siano i “servizi” o come i dati contribuiranno al loro sviluppo);
  • I tuoi dati personali potrebbero essere usati per finalita' di ricerca” (non essendo chiaro a quale tipo di “ricerca” si faccia riferimento);
  • I tuoi dati personali potrebbero essere usati per offrire servizi personalizzati” (non essendo chiaro che cosa implichi la “personalizzazione”).
  • Conserveremo lo storico dei tuoi acquisti e utilizzeremo i dati sui prodotti da te precedentemente acquistati per suggerirti altri prodotti che riteniamo siano di tuo interesse” (e' chiaro quali tipi di dati saranno trattati, che l’interessato ricevera' pubblicita' mirata di prodotti e che i suoi dati personali saranno utilizzati a tal fine).
  • Conserveremo e valuteremo informazioni sulle tue recenti visite del nostro sito Internet e sul modo in cui navighi nelle sue diverse sezioni per finalita' di analisi volte a comprendere come e' usato il nostro sito, cosi' da renderlo piu' intuitivo” (e' chiaro quali tipi di dati saranno trattati e il tipo di analisi che effettuera' il titolare del trattamento).

  • Registreremo gli articoli del nostro sito da te consultati e useremo le informazioni cosi' ottenute per inviarti, su questo sito Internet, pubblicita' mirata che risponda ai tuoi interessi, da noi individuati sulla base degli articoli che hai letto” (e' chiaro che cosa implica la personalizzazione e quali interessi attribuiti all’interessato sono stati individuati).

  1. Si dovrebbe evitare l’uso di qualificatori linguistici come “puoi", “potrebbe”, “alcuni”, “spesso” e “possibile”. Se il titolare del trattamento sceglie di usare un linguaggio vago, conformemente al principio di responsabilizzazione dovrebbe essere in grado di dimostrare il motivo per cui tale linguaggio e' inevitabile e il motivo per cui non compromette la correttezza del trattamento. Paragrafi e frasi dovrebbero essere ben strutturati, utilizzando pallini e rientri per segnalare rapporti gerarchici. Si dovrebbe prediligere la forma attiva a quella passiva ed evitare l’uso eccessivo di costruzioni nominali. Le informazioni fornite all’interessato non dovrebbero contenere linguaggio o terminologia eccessivamente legalistica, tecnica o specialistica. Se le informazioni sono tradotte in una o piu' lingue, il titolare del trattamento dovrebbe accertare che tutte le traduzioni siano corrette e che, nella o nelle altre lingue, la fraseologia e la sintassi risultino comprensibili, in maniera tale da non costringere il lettore a decifrare o reinterpretare il testo tradotto (si dovrebbe fornire una traduzione in una o piu' lingue nel caso in cui il titolare del trattamento si rivolga a interessati che parlano tali lingue).

    Informazioni fornite a minori e ad altre persone vulnerabili

  2. Il titolare del trattamento che si rivolge a minori o e' (o dovrebbe essere) consapevole del fatto che i suoi beni/servizi sono utilizzati soprattutto da minori (anche quando presuppone il consenso del minore) dovrebbe accertare che il lessico, il tono e lo stile utilizzati siano adeguati ai minori e per loro comprensibili, cosi' che il minore destinatario delle informazioni si renda conto che il messaggio o l’informazione sono diretti a lui. Un esempio calzante di linguaggio adatto ai minori utilizzato come alternativa al linguaggio giuridico originario e' la pubblicazione “I diritti dei bambini in parole semplici”, che spiega in linguaggio adatto ai bambini la convenzione delle Nazioni Unite sui diritti dell’infanzia e dell’adolescenza.

15. La posizione assunta dal Gruppo e' che la trasparenza e' un diritto a se stante, che si applica tanto ai minori quanto agli adulti. Il Gruppo sottolinea in particolare che i minori non perdono i loro diritti alla trasparenza in quanto interessati semplicemente per il fatto che il consenso e' stato dato/autorizzato dal titolare della responsabilita' genitoriale in una situazione in cui trova applicazione l’articolo 8 del regolamento. Sebbene in molti casi tale consenso sia concesso o autorizzato una tantum dal titolare della responsabilita' genitoriale, il minore (come qualsiasi altro interessato) gode di un diritto permanente alla trasparenza per tutta la durata del rapporto con il titolare del trattamento. Cio' e' coerente con l’articolo 13 della convenzione delle Nazioni Unite sui diritti dell’infanzia e dell’adolescenza, secondo cui il minore ha diritto alla liberta' di espressione, che comprende la liberta' di ricercare, di ricevere e di divulgare informazioni e idee di ogni specie. E' importante sottolineare che, nel disporre la prestazione del consenso per conto del minore che non ha ancora raggiunto una determinata eta', l’articolo 8 non prevede misure di trasparenza dirette al titolare della responsabilita' genitoriale che da' tale consenso. Pertanto, stando agli specifici rimandi alle misure di trasparenza destinate ai minori di cui all’articolo 12, paragrafo 1 (supportato dai considerando 38 e 58), il titolare del trattamento che si rivolge a minori o che sa che i suoi beni o servizi sono utilizzati soprattutto da minori in eta' da essere in grado di leggere e scrivere e' tenuto a garantire che le informazioni e comunicazioni siano trasmesse in un linguaggio semplice e chiaro o con un mezzo che i minori possano comprendere con facilita'. Onde fugare ogni dubbio, tuttavia, il Gruppo riconosce che, nel caso di bambini molto piccoli o che non sanno ancora leggere e scrivere, le misure di trasparenza possono essere rivolte ai titolari della responsabilita' genitoriale, dal momento che, nella maggior parte dei casi, tali bambini non saranno probabilmente in grado di comprendere nemmeno i messaggi piu' semplici relativi alla trasparenza, siano essi redatti per iscritto o comunicati diversamente.

  1. Se e' consapevole che i suoi beni/servizi sono utilizzati da (o destinati ad) altri soggetti vulnerabili della societa', tra cui persone con disabilita' o persone che possono incontrare difficolta' ad accedere alle informazioni, il titolare del trattamento dovrebbe tenere conto delle vulnerabilita' di tali interessati nella valutazione del modo in cui assolvere gli obblighi di trasparenza nei loro confronti. Cio' si ricollega alla necessita' che il titolare del trattamento valuti il probabile livello di comprensione del proprio pubblico, come illustrato sopra al paragrafo 9.

    “Per iscritto o con altri mezzi”

  2. Ai sensi dell’articolo 12, paragrafo 1, la fornitura d’informazioni o comunicazioni agli interessati avviene di regola in forma scritta23 (l’articolo 12, paragrafo 7, prevede inoltre che le informazioni siano fornite in combinazione con icone standardizzate; quest’aspetto e' esaminato nella sezione sugli strumenti di visualizzazione ai paragrafi 49—53). Tuttavia, il regolamento consente anche l’utilizzo di altri mezzi non specificati, tra cui quelli elettronici. La posizione del Gruppo con riferimento ai mezzi elettronici scritti e' la seguente: laddove il titolare del trattamento abbia un sito Internet (o operi, in tutto o in parte, tramite un sito Internet), e' raccomandato l’uso di dichiarazioni/informative sulla privacy stratificate, che consentano ai visitatori del sito di consultare le sezioni particolari della dichiarazione/informativa sulla privacy di loro interesse (si vedano maggiori informazioni sulle dichiarazioni/informative sulla privacy stratificate ai paragrafi 35-37). Tutte le informazioni rivolte agli interessati dovrebbero comunque essere disponibili in un unico luogo o in un documento completo (in formato digitale o cartaceo), al quale essi possano accedere facilmente qualora intendano consultare nella loro interezza le informazioni di cui sono destinatari. Va rilevato che l’utilizzo dell’approccio stratificato per fornire informazioni agli interessati non e' circoscritto ai mezzi elettronici scritti. Come esposto ai paragrafi 35, 36 e 38, puo' essere usato anche impiegando una combinazione di metodi al fine di garantire trasparenza in relazione al trattamento dei dati.

  3. Ovviamente, l’utilizzo di dichiarazioni/informative sulla privacy digitali stratificate non e' l’unico mezzo elettronico scritto cui i titolari del trattamento possono ricorrere. Altri mezzi elettronici includono pop-up contestuali “just-in-time”, notifiche touch 3D o hover-over e apposite dashboard. Gli strumenti elettronici non scritti che possono essere utilizzati in aggiunta alla dichiarazione/informativa sulla privacy stratificata potrebbero includere video e notifiche vocali su smartphone o IoT25. Gli “altri mezzi” non necessariamente elettronici potrebbero comprendere, ad esempio, vignette, infografica o diagrammi. Se le informazioni finalizzate alla trasparenza sono dirette specificamente ai minori, il titolare del trattamento dovrebbe valutare quali tipi di misure possano essere accessibili in modo particolare ai minori (tra gli altri, ad es., fumetti/vignette, pittogrammi, animazioni, ecc.).

  4. Un aspetto di fondamentale importanza e' che il o i metodi scelti per fornire le informazioni siano adeguati alle circostanze, vale a dire la modalita' di interazione tra il titolare del trattamento e l’interessato o la modalita' di raccolta delle informazioni dell’interessato. Ad esempio, limitarsi a fornire le informazioni in formato elettronico scritto, come con una dichiarazione/informativa sulla privacy online, potrebbe non essere adeguato/non funzionare nel caso in cui il dispositivo che cattura i dati personali non ha uno schermo (ad es. dispositivi IoT/smart) per accedere al sito Internet/visualizzare le informazioni scritte. In tali casi dovrebbe essere preso in considerazione un ulteriore mezzo alternativo adeguato, ad esempio l’inserimento della dichiarazione/informativa sulla privacy in manuali di istruzioni cartacei oppure l’indicazione, nelle istruzioni in formato cartaceo o sulla confezione, dell’indirizzo URL del sito Internet (ovvero la pagina specifica del sito) al quale e' reperibile la dichiarazione/informativa sulla privacy. Se il dispositivo privo di schermo dispone di funzioni audio, si potrebbe provvedere anche la fornitura audio (orale) delle informazioni. Il Gruppo ha gia' formulato raccomandazioni sulla trasparenza e sulla fornitura d’informazioni agli interessati nel parere sui recenti sviluppi nel campo dell’Internet degli oggetti (come l’utilizzo di codici QR stampati su tali oggetti, in maniera tale che, una volta scansionati, il codice QR visualizzi le necessarie informazioni finalizzate alla trasparenza). Tali raccomandazioni rimangono applicabili ai sensi del regolamento.

    “..le informazioni possono essere fornite oralmente”

  5. L’articolo 12, paragrafo 1, prevede specificamente che le informazioni possano essere fornite oralmente su richiesta dell’interessato, purche' sia comprovata con altri mezzi l’identita' di questi. In altre parole, il mezzo impiegato dovrebbe andare oltre il semplice fatto di basarsi sull’affermazione con cui l’interessato sostiene di essere una determinata persona e dovrebbe consentire al titolare del trattamento di identificare l’interessato con sufficiente certezza. L’obbligo di verificare l’identita' dell’interessato prima di fornire informazioni oralmente si applica soltanto alle informazioni relative all’esercizio dei diritti di cui agli articoli 15-22 e all’articolo 34 da parte di uno specifico interessato. Questo prerequisito della comunicazione d’informazioni orali non puo' applicarsi alla fornitura delle informazioni generali sulla privacy, prevista agli articoli 13 e 14, dal momento che le informazioni richieste da detti articoli devono essere accessibili anche ai futuri utenti/clienti (la cui identita' il titolare del trattamento non sarebbe in grado di verificare). Pertanto, le informazioni necessarie ai sensi degli articoli 13 e 14 possono essere fornite oralmente senza che il titolare del trattamento richieda la prova dell’identita' dell’interessato.

  6. La fornitura orale delle informazioni richieste dagli articoli 13 e 14 non implica necessariamente che le informazioni orali siano fornite individualmente (vale a dire di persona o al telefono). Possono essere fornite informazioni orali automatizzate in aggiunta a mezzi scritti. Puo' essere il caso, ad esempio, per le persone con disabilita' visive nell’interazione con fornitori di servizi della societa' dell’informazione o nel contesto dei dispositivi smart senza schermo richiamati al paragrafo 19. Se il titolare del trattamento ha scelto di fornire informazioni all’interessato oralmente o se questi richiede la fornitura d’informazioni o comunicazioni orali, il Gruppo reputa che il titolare del trattamento debba consentire all’interessato di riascoltare messaggi preregistrati. E' obbligatorio procedere in tal senso qualora la richiesta d’informazioni orali si riferisca a interessati con disabilita' visive o ad interessati che possano incontrare difficolta' nell’accesso o nella comprensione delle informazioni scritte. Il titolare del trattamento dovrebbe altresi' provvedere a conservare traccia e a poter dimostrare (ai fini della rispondenza al requisito di responsabilizzazione): i) la richiesta di fornire informazioni oralmente, ii) il metodo con cui e' stata verificata l’identita' dell’interessato (ove applicabile – si veda il paragrafo 20) e iii) il fatto che le informazioni sono state fornite all’interessato.

    “Gratuitamente”

  7. Ai sensi dell’articolo 12, paragrafo 527, il titolare del trattamento non puo' in genere addebitare alcunche' all’interessato per la fornitura d’informazioni ai sensi degli articoli 13 e 14 o per le comunicazioni e azioni intraprese ai sensi degli articoli 15-22 (sui diritti degli interessati) e dell’articolo 34 (comunicazione di violazioni dei dati personali all’interessato). Quest’aspetto della trasparenza implica anche che le informazioni fornite in ossequio agli obblighi di trasparenza non possono essere subordinate ad operazioni finanziarie, ad esempio il pagamento o l’acquisto di servizi o beni.

Fonte: Garante per la Protezione dei dati - Linee guida sulla trasparenza ai sensi del regolamento 2016/679

LINK: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=622227

Banca dati