Ora che il GDPR si avvicina sarà necessario rivedere tutte le informative presenti su siti e contratti per renderle molto meno “legalesi” e molto più “trasparenti”. Ma cosa si intende con il termine “trasparenza”?
La trasparenza è basata su tre cardini fondamentali:
- la necessità di dare all’interessato tutte le informazioni relative al trattamento cui saranno soggetti i dati
- la chiara definizione di come il titolare agevolerà le comunicazioni e le interazioni con l’interessato
- la chiara identificazione delle modalità con le quali il titolare faciliterà all’interessato l’esercizio dei propri diritti
La trasparenza inoltre mette al centro di tutto l’utente finale che deve aver facile accesso alle informazione, le deve comprendere e deve poter facilmente interagire col titolare. Tutto questo va garantito nell’arco dell’intero ciclo di vita del trattamento e deve riguardare anche gli eventuali data breach.
Gli elementi che contraddistinguono la trasparenza (Art.12)
Le informazioni devono essere concise, comprensibili e accessibili
Il titolare deve fornire le informazioni in modo conciso e diretto. Tali informazioni devono essere differenziate trattamento per trattamento e distinte da altre informazioni contrattuali non pertintenti con la privacy. In un contesto online può essere opportuno indicizzare l’informativa in modo che l’utente possa andare esattamente al punto che gli interessa.
Per quanto riguarda la comprensibilità è necessario fare mente locale sul pubblico cui è diretta l’informativa e tarare la comunicazione in base al livello dell’audience stessa. Si pensi ad una informativa destinata ad un publico di minorenni, che deve essere scritta in modo sostanzialmente diverso da quello utilizzato per dei professionisti. Può rendersi necessario effettuare dei test per verificarne l’efficacia.
L’interessato deve poi essere pienamente consapevole delle conseguenze derivanti dal trattamento dei suoi dati e tali conseguenze devono essere illustrate non solo sulla base della situazione più verosimile, ma facendo un’attenta disamina di tutto ciò che può impattare i diritti e le libertà dell’interessato.
Il fatto che le informazioni siano immediatamente accessibili implica che l’utente non le debba cercare ma che al contrario queste siano immediatamente disponibili (e sicuramente inserirle in calce a tutte le pagine del sito rappresenta una buona opzione, per esempio).
Linguaggio chiaro
Le informazioni devono essere fornite in un modo chiaro e semplice, evitando frasi e termini complicati (cosa che fa sorridere se si pensa alle informative attualmente in circolazione) e non devono lasciare spazio a fraintendimenti o ambiguità. Frasi come “utilizzeremo i tuoi dati per sviluppare nuovi servizi” o “per scopi di ricerca” o “per offrire servizi maggiormente personalizzati” non son più da ritenersi idonee. Bisogna evitare termini eccessivamente tecnici o legalesi e nel caso di traduzioni la nuova versione deve essere ugualmente chiara e intellegibile. Ancora più attenzione va riposta nel caso il destinatario sia un bambino o appartenente a una categoria ugualmente vulnerabile.
Nella logica della semplificazione e immediatezza può essere utile ricorrere alle icone standard (in fase di elaborazione anche da parte degli esperti) per dare un impatto visivo più user friendly nelle informative online.
Modalità di comunicazione
In generale è da prediligere la forma scritta per dare l’informativa. Se l’informativa è presente sul sito, questa può essere stratificata per capitoli, in modo che l’argomento di interesse sia immediatamente disponibile, oppure fornita tramite pop up, 3d-touch, al passaggio sopra una scritta, etc e ancora tramite video o messaggi vocali. E’ necessario poi pensare alla modalità di fruizione del servizio: se per esempio mi sto avvalendo di un oggetto interconnesso privo di schermo devo pensare a un modo per consegnare l’informativa che non preveda esclusivamente il link sul sito (messaggio, descrizione all’interno del manuale, etc). Se l’informativa viene data oralmente, deve esserci una registrazione, bisogna chiarire il metodo con il quale è stata verificata l’identità dell’interessato e bisogna chiarire la necessità che ha imposto una informativa orale. Ovviamente il tutto senza costi aggiuntivi per l’interessato.
Approfondiamo cosa si intende con “informativa stratificata” del sito web. Per semplificare la lettura dell’informativa sui siti, i vari argomenti possono essere indicizzati in una sezione di semplice lettura e linkati ai diversi capitoli, in modo che l’interessato possa andare direttamente a leggere le informazioni che gli interessano senza dover faticare a trovarle. La sezione iniziale deve essere strutturata in modo da dare una panoramica generale delle logiche con cui vengono trattati i dati, rimandandando ad altre sezioni per specifici approfondimenti. Ovviamente le sezioni non devono essere in contraddizione tra loro e se ci sono trattamenti particolarmente impattanti o significativi è opportuno che vengano trattati già nella sezione generale.
Un buon strumento per la gestione del rapporto con l’interessato sono i layout delle app o dei siti stessi, con le loro notifiche e i loro pop up. Si potrebbe infatti impostare una dashboard (o scrivania utente) integrata nella app o nel sito, nella quale con gran facilità possa essere l’utente stesso a gestire le proprie impostazioni privacy, magari fornendogli chiarimenti con appositi tutorial o personalizzando l’informativa in funzione dei privacy settings impostati dall’utente. Attraverso apposite notifiche push (pop up o notifiche sul telefonino) è possibile poi veicolare l’informativa in fase iniziale e in tutte le situazioni in cui si verificano cambiamenti o in cui si raccolgono nuovi dati o per nuovi scopi. L’importante è che in ogni passaggio in cui vengono richiesti dei dati, sia chiarito all’utente lo scopo di tale raccolta in modo chiaro e semplice.
Ovviamente poi in base al contesto in cui vengono raccolti i dati e gestiti i rapporti con l’interessato possono esserci modalità non informatiche per fornire l’informativa quali ad esempio: brochure, foglietti informativi, clausole contrattuali, comunicazioni orali via telefono o faccia a faccia o messaggi pre registrati, informative scritte nel manuale di istruzione, QR code su oggetti IOT, sms inviati da oggetti interconnessi,pubblicazioni su giornali, campagne informative, segnaletica visibile al pubblico, ecc …
I contenuti
I contenuti di dettaglio dell’informativa sono riportati nell’art.13 e 14 del GDPR e prevedono:
- l’indicazione del titolare del trattamento e del DPO (ove presente)
- Le finalità della raccolta dei dati e le basi legali del processo in questione, nonchè l’obbligatorietà o meno del conferimento dei dati e le eventuali conseguenze in caso di mancata o incompleta comunicazione degli stessi
- Se esiste un legittimo interesse del titolare per lo svolgimento del trattamento
- le categorie di dati trattati
- i soggetti con cui tali dati son condivisi e l’eventuale invio all’estero
- la durata di conservazione del dato
- i diritti dell’interessato quali l’accesso, la rettifica, la cancellazione, la limitazione del trattamento, l’opposizione, la portabilità, la possibilità di revocare il consenso (ove richiesto) e il diritto al reclamo presso l’autorità
- l’esistenza di un processo automatizzato (se presente) con le relative logiche di funzionamento
- la fonte dei dati se questi non sono stati ottenuti direttamente
E’ fondamentale che l’informativa venga data al momento giusto, quando effettivamente vengono richiesti i dati. Per questo il titolare deve fare mente locale a tutte le situazione in cui richiede i dati e dare informazioni puntuali e contestualizzate. Bisogna immedesimarsi nell’esperienza dell’utente e seguire tutti i “percorsi” e le diramazioni che questo può seguire durante il suo “viaggio” nel nostro mondo, tenendo in considerazione gli strumenti che usa e le interfaccie che incontra. A ulteriore riprova dell’assunzione di responsabilità da parte del titolare vi può essere la dimostrazione che si sono effettuati appositi test per verificare l’accessibilità e il livello di comprensione e di completezza delle informazioni fornite.
Anche tutte le modifiche alle condizioni privacy andrebbero notificate agli interessati, in modo efficace e visibile. Come illustrato poi nell’apposito approfondimento sul processo decisionale automatizzato , ogni qualvolta ne esiste uno l’interessato deve essere informato in merito alle logiche che supportano il processo stesso ed alle conseguenze delle decisioni prese con tale metodo. Lo stesso valer per la comunicazione di eventuali data breach, secondo le logiche previste dal regolamento. In una logica di trasparenza può valer la pena condividere con gli interessati le conclusioni della Valutazione di impatto (vedi approfondimento) o i criteri che dimostrino che i processi del titolare sono ispirati ai principi di privacy by design e by default. Infine, nel caso di presenza di contitolari, è bene essere trasparenti nell’identificare e illustrare le specifiche responsabilità in modo che l’interessato sappia a chi rivolgersi per far valere i propri diritti.
Tempestività dell’informativa
I dati personali possono essere raccolti direttamente presso l’interessato, sia perchè è lui stesso a conferirli sia perchè vengono raccolti attraverso strumenti di osservazione (videocamere, sensori, tracciamenti WiFi, …), oppure possono essere raccolti non direttamente dall’interessato (attraverso terze parti, da registri pubblici, da rivenditori di DB, ecc). Quando i dati sono ottenuti per via diretta, l’informativa deve esssere necessariamente fornita contestualmente alla raccolta. Quando la via è indiretta, vale la “regola del mese” ossia il titolare ha un mese di tempo per informare l’interessato dell’ottenimento dei suoi dati a meno che non vi siano comunicazioni (o interazioni in generale) antecedenti il mese, che allora devono veicolare anche l’informativa privacy. Il titolare deve essere comunque in grado di dimostrare con quale logica è stata adottata una determinata tempistica per comunicare con l’interessato. Stessa logica va utilizzata per la comunicazione di eventuali modifiche nei processi o negli impatti sui diritti dell’interessato, che a fronte di un cambiamento deve essere messo in condizione di esercitare i propri diritti. Questo vale nel limite in cui le modifiche al processo non portano a un trattamento così diverso da quello iniziale da necessitare di una nuova raccolta dati.
Trattamenti ulteriori
Qualora il titolare voglia processare i dati per svolgere nuovi trattamenti, deve innanzitutto chiedersi se questi sono compatibili con quelli per i quali inizialmente è stata fatta la raccolta e deve comunque segnalarli all’interessato. Ma come si capisce se sono compatibili o meno? Indicativamente è necessario verificare che ci sia una connessione fra i due trattamenti; avere ben chiaro in che contesto son stati raccolti i dati e di che tipologia di dati si tratta; le possibili conseguenze del nuovo processo e l’esistenza di misure di sicurezza adeguate. Insomma l’interessato non dovrebbe esere colto di sorpresa da questo nuovo trattamento. Le valutazioni in merito alla compatbilità dei trattamenti dovrebbero essere illustrate all’interessato. La comunicazione dell’esistenza del nuovo trattamento deve essere necessariamente fatta prima dell’avvio del trattamento in modo da concedere l’esercizio dei propri diritti da parte dell’interessato.
Eccezioni all’obbligo di informativa
Gli unici casi in cui non è obbligatorio fornire una informativa sono:
- l’interessato ha già ricevuto tutte le informazioni necessarie
- assolvere a tale obbligo sarebbe impossibile o implicherebbe uno sforzo sproporzionato da parte del titolare. Il titolare deve però dimostrare l’effettiva impossibilità di fornire in qualche modo l’informativa
- i trattamenti sono coperti da una normativa specifica
- esiste l’obbligo di segreto professionale
Lascia un commento