Le Informative privacy (art. 13 e 14 GDPR 2016/679) e il Consenso (art. 6 co.1 lett. a GDPR)
Privacy e Curriculum Vite
Gentile lettore,
l’odierno aggiornamento in materia di privacy tratta due aspetti che troppo spesso gli operatori vivono con approssimazione e leggerezza.
La lettura delle cc.dd. “Informative” che circolano nei vari ambiti ci dimostrano come la lettura del Regolamento non riesca sempre a produrre documenti che soddisfino le reali richieste della norma, spingendo – talvolta – ad inondare le caselle di posta degli operatori con documenti che oltre che incompleti risultano non dovuti, se non inopportuni e finanche molesti.
Infatti dobbiamo notare che spesso (troppo spesso!) l’invio di Informativa richiede raccolta di “consensi” non dovuti dall'Interessato e per niente necessari al Titolare.
Non trattiamo volutamente in questo documento il consenso al trattamento di categorie particolari di dati (dati cc.dd. sensibili) che formerà oggetto di altro approfondimento e che sono disciplinati nell’art. 9 del GDPR. È però opportuno di ricordare in questa sede che quei dati, normalmente definiti sensibili, sono riconducibili a categorie come l’origine razziale, le convinzioni politiche o religiose, la genetica e la biometria, lo stato di salute e la vita sessuale delle persone.
INFORMATIVE
Partiamo col dire che l’art. 13 del D.Lgs. 196/2003 è stato abrogato dal D.Lgs. 101/2018 con effetti dal 19 settembre 2018. Ciò vale a dire che da quella data il riferimento normativo risulta il GDPR che disciplina le “informazioni da fornire” negli articoli 13 e 14, informazioni che finiscono nella “Informativa”, se proprio vogliamo mantenere in uso il vecchio termine del D.Lgs. 196/2003!
Nonostante molte informative ricevute recentemente richiamino il vecchio riferimento normativo, non riteniamo che si possa ignorare o respingere quelle informative sulla base dell’errato riferimento normativo: un’Informativa – comunque ricevuta e con qualsivoglia citazione di norma – va analizzata con una certa attenzione, prima di essere acquisita, riscontrata o – perché no? – respinta o cestinata. Naturalmente massima attenzione, infine, dovrà porsi quando vi sia richiesta di sottoscrizione (o , ancor di più , consenso).
Peraltro non risultano rari i casi in cui l’emissario della Informativa provveda a sollecitare il riscontro della stessa, la sottoscrizione e/o il consenso nel legittimo interesse di procurarsi la prova della ricezione da parte dell’Interessato.
L’esame di una singola informativa richiede del tempo e la ricezione di queste in numero consistente presenta un ventaglio significativo di casistiche che proveremo a sintetizzare.
Ciò premesso risulta necessario distinguere i casi in cui le Informazioni (leggasi pure Informative) vanno fornite, a seconda di come si sono acquisiti i dati personali, così come segue:
- Dati (personali) raccolti presso l’interessato (art. 13 del GDPR)
- Dati (personali) non ottenuti presso l’interessato (art. 13 del GDPR)
Ribadiamo la precisazione che trattasi di dati personali in quanto troppo spesso vediamo circolare Informative indirizzate a Clienti o Fornitori persone giuridiche e ciò per evidenti massivi ed indifferenziati invii da parte di aziende commerciali poco attente al senso dichiarato dell’obbligo.
È bene a questo punto precisare cosa si intenda per:
- raccolta presso l’interessato: fornitura del dato effettuata direttamente dalla persona fisica (Interessato) in fase di contatto con il Titolare (ad esempio adesione ad un contratto, iscrizione in una mailing list, ritiro di un coupon, registrazione web, etc.): in definitiva tutte le volte in cui la fornitura del dato risulti diretta, senza interposizione di altro soggetto, anche se l’acquisizione avviene per il mezzo di strumenti tecnici.
Facciamo degli esempi: in libreria, il personale addetto alla vendita richiede i dati per poter aggiornarci sulle prossime pubblicazioni in vendita; in albergo, in fase di accettazione, il portiere ci chiede di esibire i nostri documenti; sul web un sito commerciale ci chiede la registrazione attraverso dati personali (non pseudonimizzata!); una app che gestisce prenotazioni turistiche richiede la registrazione; etc.
- raccolta non presso l’interessato: il dato risulta ricevuto dal Titolare attraverso l’interposizione di altro soggetto e/o attraverso il prelievo da altra fonte (ad esempio attraverso l’acquisizione di mailing list di altro operatore, o alla contrattualizzazione di un finanziamento in coincidenza dell’acquisto di beni o servizi): in definitiva tutte le volte un operatore si trovi ad acquisire in qualità di Titolare dati personali per il tramite di altro soggetto.
Facciamo degli esempi: in libreria, il personale addetto alla vendita richiede i dati per poter inserirci in una mailing list dell’editore (Titolare distinto); in albergo, in fase di accettazione, il portiere ci invita a sottoscrivere un pacchetto turistico per la visita della città curato da altro ente; sul web un sito commerciale ci riserva la possibilità di sottoscrivere servizi di aggiornamento normativo resi da altro operatore; una app che gestisce prenotazioni turistiche ci invita a partecipare ad un sondaggio che è svolto da un tour operator; etc.
È bene ribadire un concetto: se il soggetto A sta sottoponendo al soggetto B una Informativa, il primo si sta dichiarando Titolare di dati personali del soggetto B che, in prima analisi, dovrebbe risultare una persona, un individuo, in definitiva una persona fisica. È questo il motivo per il quale la ricezione di Informativa da parte di una azienda Società di capitali ci lascerà sempre perplessi.
Dalla parte di chi la emette, un’Informativa non dovuta (ad esempio perché non si detengono dati personali del destinatario) può rappresentare l’assunzione di una responsabilità che non si ha e, dalla parte di chi la riceve, un inutile sforzo di analisi ed interpretazione.
Ciò detto, passiamo ad illustrare quali sono gli elementi caratterizzanti dell’Informativa, in sintesi le informazioni che devono essere rese da un Titolare di dati personali nei confronti di un soggetto interessato. Semplificheremo schematizzando quanto si può leggere negli artt. 13 e 14 del Regolamento e proponendone una lettura graduata:
Informazione | Dati raccolti presso l’interessato | Dati non raccolti presso l’interessato |
TITOLARE
| Identità e dati di contatto del Titolare o suo rappresentante (se ricorre la circostanza) | Identità e dati di contatto del Titolare o suo rappresentante (se ricorre la circostanza) |
FINALITÀ
| Le finalità del trattamento | Le finalità del trattamento |
BASE GIURIDICA | La/le basi giuridiche su cui fonda la liceità/legittimità del trattamento | La/le basi giuridiche su cui fonda la liceità/legittimità del trattamento |
BASI GIURICHE SPECIFICHE | Se il trattamento è legittimato da interessi del Titolare o di terzi, l’esplicitazione dei legittimi interessi perseguiti dal Titolare o dai terzi | Se il trattamento è legittimato da interessi del Titolare o di terzi, l’esplicitazione dei legittimi interessi perseguiti dal Titolare o dai terzi |
DESTINATARI | Identificazione di eventuali destinatari oppure le eventuali categorie di destinatari | Identificazione di eventuali destinatari oppure le eventuali categorie di destinatari |
CATEGORIE DI DATI RACCOLTI
| ------------------ NULLA------------------------------ | Le categorie dei dati personali |
DATI DI CONTATTO DEL DPO | Se il Titolare ha nominato un DPO/Responsabile della Protezione dei Dati, dati di contatti dello stesso | Se il Titolare ha nominato un DPO/Responsabile della Protezione dei Dati, dati di contatti dello stesso |
TRASFERIMENTO DI DATI | Eventuale intenzione di trasferimento dei dati fuori dall’UE con evidenza della adeguatezza e delle garanzie che ne supportano la protezione | Eventuale intenzione di trasferimento dei dati fuori dall’UE con evidenza della adeguatezza e delle garanzie che ne supportano la protezione |
In aggiunta………nel momento in cui i dati sono ottenuti …………..il Titolare fornisce queste ulteriori informazioni ……….. | …………oltre le suddette informazioni…………..il Titolare fornisce queste ulteriori informazioni | |
CONSERVAZIONE DATI | Periodo di conservazione dei dati personali oppure - se non è possibile - i criteri di determinazione del periodo di conservazione | Periodo di conservazione dei dati personali oppure - se non è possibile - i criteri di determinazione del periodo di conservazione |
Informazione | Dati raccolti presso l’interessato | Dati non raccolti presso l’interessato |
DIRITTI DELL’INTERESSATO | Esistenza di diritti di accesso, rettifica, cancellazione, limitazione, opposizione, portabilità - Diritto a proporre reclamo all’Autorità di controllo (Garante) | Esistenza di diritti di accesso, rettifica, cancellazione, limitazione, opposizione, portabilità - Diritto a proporre reclamo all’Autorità di controllo (Garante) |
DIRITTO ALLA REVOCA DI CONSENSO | Diritto di revocare il consenso (ove vi sia stato, ovviamente) al trattamento di dati personali non dovuti per contratto o per motivi di legge e diritto di revocare il consenso al trattamento di dati speciali (cc.dd. sensibili), senza che ciò pregiudichi la liceità del trattamento basata sul consenso prestato fino al momento della revoca stessa | Diritto di revocare il consenso (ove vi sia stato, ovviamente) al trattamento di dati personali non dovuti per contratto o per motivi di legge e diritto di revocare il consenso al trattamento di dati speciali (cc.dd. sensibili), senza che ciò pregiudichi la liceità del trattamento basata sul consenso prestato fino al momento della revoca stessa |
FONTE DEI DATI | --- Non Applicabile --- | Specifica della fonte da cui origina l’acquisizione dei dati personali e - se ricorre - la specifica che il dato è acquisito da fonti pubbliche |
NECESSITÀ O OBBLIGHI | Evidenza della circostanza laddove vi è obbligo legale, contrattuale o necessità contrattuale alla comunicazione dei dati personali | --- Non Applicabile --- |
TRATTAMENTI AUTOMATIZZATI E PROFILAZIONE | Evidenza dell’esistenza di eventuali processi decisionali automatizzati (ivi compresa la profilazione) con eventuale informazione sulla logica di processo, l’importanza e le conseguenze previste per l’interessato a seguito dei trattamenti suddetti | Evidenza della esistenza di eventuali processi decisionali automatizzati (ivi compresa la profilazione) con eventuale informazione sulla logica di processo, l’importanza e le conseguenze previste per l’interessato a seguito dei trattamenti suddetti |
Risulta evidente che la comunicazione dei dati personali, nel caso della raccolta presso l’interessato abbia carattere di immediatezza ed è giusto il caso di segnalare che essa non prevede necessariamente una presenza “fisica” dell’interessato in quanto può sostanziarsi anche attraverso una raccolta a distanza (scambio di mail, web, trasmissione via fax, etc.); pertanto in questi casi le informazioni (l’Informativa) saranno scambiate congiuntamente alla raccolta dei dati.
È da porre in evidenza che solo laddove i dati non siano raccolti presso l’Interessato l’Informativa deve contenere l’indicazione della categoria di dati trattati: è un’ovvia conseguenza collegata al fatto che, se la raccolta avviene presso l’Interessato, quest’ultimo conosce esattamente quali dati ha fornito. Ma in questo senso riteniamo suggerire ai nostri clienti di inserire in Informativa la specifica della categoria e possibilmente il dettaglio dei dati raccolti anche laddove raccolgono dati personali in maniera diretta.
Nel caso della raccolta indiretta, il Regolamento impone al Titolare che l’Informativa sia scambiata entro un termine ragionevole che comunque non dovrà superare un mese.
Nel caso in cui i dati forniti siano destinati proprio alla comunicazione con l’interessato il termine coinciderà con il momento della prima comunicazione all’interessato: è questa la circostanza - ad esempio - del candidato che ha fornito dati personali con la trasmissione del curriculum e che abbiamo trattato in precedente nostra circolare.
Infine, nel caso in cui sia prevista comunicazione ad altro destinatario quel termine non dovrà superare il momento della prima comunicazione dei dati personali.
Vi è in conclusione da evidenziare che - in entrambe le casistiche - qualora il Titolare intenda trattare i dati che già detiene per finalità diverse da quelle precedentemente dichiarate, provvederà ad esplicitare le nuove finalità fornendo ulteriore Informativa con ogni aggiuntiva e pertinente informazione, in ossequio ai principi di cui ai rispettivi articoli 13 e 14 del GDPR.
Volendo riepilogare le caratteristiche principali delle Informative che si dovranno rendere, specifichiamone i contenuti fondamentali del documento reso agli interessati:
- scritto, preferibilmente in formato digitale o elettronico in contesti di servizi online
- con linguaggio semplice e chiaro con possibilità di ricorrere all’uso di icone standardizzate per tutta la UE
- in maniera concisa e connotata da trasparenza espositiva
- facilmente accessibile ed intellegibile
- prima della raccolta dei dati, quando essa avviene presso l’interessato
- con l’indicazione delle categorie di dati raccolti e della fonte dei dati, quando non raccolti presso l’interessato (ma suggeriamo di fornirla sempre)
- con l’indicazione dei destinatari dei dati
- identificando il Titolare (o eventuale rappresentante nel territorio nazionale)
- rappresentando le finalità
- rappresentando la natura obbligatoria o facoltativa del conferimento dei dati
- specificando i diritti dell’interessato
- specificando il periodo di conservazione dei dati
- indicando l’identità del DPO (se ricorre)
CONSENSO
Il consenso è l’atto attraverso il quale l’Interessato autorizza altro soggetto (Titolare) al trattamento di propri dati personali per finalità e con modalità note all’atto della manifestazione di volontà.
Nella pratica il consenso è un atto esplicito che consegue all’illustrazione delle Informazioni di cui abbiamo detto al precedente paragrafo, che si rappresenta con un’adesione (con la firma, ma anche col flag di una casella o continuando nella consultazione di un sito); ma se è vero che il consenso non potrà che seguire ad una completa ed opportuna informazione, non è altrettanto vero che ogni informazione, seppure dovuta, richieda l’espressione di consenso.
È qui il caso di riflettere che tanto l’informativa che il consenso possono (quando la norma lo consente) risultare estremamente sintetici: vedasi il caso della videosorveglianza in cui l’informativa si sintetizza nel cartello esposto dal Titolare ed il consenso si manifesta attraverso l’azione dell’Interessato che accede all’area sottoposta a vigilanza.
Come abbiamo accennato non tutti i conferimenti di dati personali abbisognano di consenso per il trattamento in quanto alcuni trattamenti (in verità numerosi di essi) sono legalmente autonomamente legittimi o, più spesso, semplicemente necessari al Titolare come all’Interessato.
Non immaginiamo possibile sottrarci all’esibizione di un documento personale all’ingresso dello stadio se il regolamento di accesso richiede l’identificazione dei tifosi così come non ci sottraiamo ad esibire la patente di guida alle forze di polizia stradale nell’esercizio dei propri poteri di interesse pubblico.
Bene, abbiamo fatto due esempi in cui il consenso non è necessario. Nel primo caso rilevare l’identità risponde ad una norma contrattuale: il tifoso ha acquistato un biglietto nominale e l’identificazione è atto che riguarda le regole del contratto stipulato al momento dell’acquisto. Nel secondo caso l’esibizione del documento che rileva i dati personali risponde ad una norma imperativa di legge a tutela del pubblico interesse.
Tutto questo per dire che potremmo vedere il consenso come una categoria residuale di legittimazione all’uso (al trattamento) dei dati personali, tutte le volte in cui non vi sia un motivo di pubblico interesse, o un obbligo di legge o ancora una norma contrattuale che renda indispensabile rilevare la propria identità e le associate caratteristiche personali (più o meno sensibili): più semplicemente possiamo dire che il consenso legittima l’uso dei dati personali dell’Interessato quando l’interesse al trattamento è sbilanciato a favore del Titolare e non vi siano altre norme di legge che impongano il trattamento.
Proviamo a sintetizzare i casi in cui non è richiesto il consenso per legittimare il trattamento (GDPR - art. 6 co.1 lettere da b) ad f):
- il trattamento è necessario in ambito contrattuale o precontrattuale ( necessità di valutare il conferimento di un incarico ad un professionista o conferire lo stesso)
- il trattamento è necessario all’adempimento di un obbligo legale cui è soggetto il Titolare ( obbligo di identificazione dell’albergatore e successiva registrazione)
- il trattamento è necessario per la salvaguardia di interessi vitali dell’interessato o di altra persona fisica ( necessità di valutare lo stato di salute dell’infortunato, in caso di un incidente stradale)
- il trattamento è necessario a perseguire un interesse pubblico ( identificazioni per controlli di polizia)
- il trattamento è necessario nell’interesse del Titolare [sempre che non prevalgano diritti e libertà dell’interessato] ( necessità di tutelare il patrimonio del titolare, come nel caso della videosorveglianza)
Ciò detto, in tutti gli altri casi ed in particolare in tutti i casi in cui si trattino dati cc.dd. sensibili, è invece necessario il consenso.
Ad esito di questo excursus, comprendiamo bene come la maggior parte delle Informative che scambiamo in ambito di rapporti commerciali non richiederebbero la manifestazione di consenso.
Vi è tuttavia una ricorrente casistica che merita attenzione: la richiesta di consenso "per trattare i dati per finalità di marketing" (ad esempio per l’inoltro di materiale pubblicitario, newsletter e simili nella comunicazione commerciale) che pur non riguardando il trattamento di dati personali si riferisce alla normativa sulle cosiddette "Comunicazioni indesiderate" di cui all'art. 130 del D.Lgs. 196/2003 che riguardano contraenti (anche persone giuridiche - v. articolo 121).
Molto spesso, e a nostro avviso inopportunamente, tale richiesta di consenso (definito dalla norma consenso del contraente o dell’utente) viene inserito in un’unica informativa che riguarda i dati personali. Confusione, questa, forse generata dal fatto che la normativa sulle comunicazioni indesiderate è inserita nel D.Lgs. 196/2003 (anche nella recente novellata stesura) nella considerazione della circostanza che le quel tipo di comunicazioni, seppure di contenuto commerciale, transitano per l’utilizzo di dati di contatto personale e possono produrre molesti impatti sulla persona associata. Ma - dobbiamo ripeterlo - trattasi di consensi che nulla hanno a che vedere col trattamento di dati personali, tant’è che lo stesso comma 3 dell’art. 130 del 196/2003 rinvia alle norme del GDPR quando si è fuori della casistica delle Comunicazioni (commerciali) indesiderate. Quel tipo di raccolta di consenso dovrebbe portare il riferimento all’art. 130 co. 1 e 2 del D.Lgs. 196/2003 e ss.mm.ii.
COME TRATTARE LE INFORMATIVE RICEVUTE, E COME COMPORTARSI, CASO PER CASO
Per quanto abbiamo illustrato, le Informative - quando non sia dovuto consenso - non abbisognano di formale “accettazione”. Tuttavia anche in ambito di rapporti commerciali molte imprese richiedono quanto meno il riscontro di ricezione; riscontro che sarebbe già ottenibile se le informative fossero inviate a mezzo PEC, per esempio.
Come si è detto all'inizio un’informativa può essere acquisita, riscontrata o – perché no? – respinta
Innanzitutto suggeriamo che le Informative ricevute siano sempre e comunque archiviate, suddividendole per ragione sociale dell’emittente.
Per quanto superfluo, laddove non sia richiesto il riscontro, la sottoscrizione e/o il consenso vale il solo suggerimento di provvedere a leggerne i contenuti ed evidenziare al proprio referente eventuali dubbi o criticità rispetto a quanto illustrato in merito a ciascun contenuto dovuto. Un’informativa incompleta o inesatta va opportunamente valutata da un esperto.
Fuori dal caso specificato circa il consenso finalizzato alla promozione commerciale, le informative non andrebbero mai sottoscritte da un interessato; al più saranno sottoscritte dal Contraente/Utente, sempre che ricorra quella circostanza, e sempre che si abbia intenzione di ricevere quel tipo di comunicazione commerciale.
Come si è detto, però, molti operatori commerciali sollecitano le loro controparti (per lo più clienti o fornitori) al riscontro (quando non al consenso) e rispetto a questa circostanza il suggerimento che si fornisce si articola in questi possibili atteggiamenti:
- informativa completa e legittima: provvedere al riscontro, in segno di cortesia, anche se non sarebbe dovuto. Spetterebbe al Titolare l’eventuale onere di provare di aver diretto l’Informativa al soggetto interessato.
- informativa non legittima (non dovuta): evidenziare l’inesistenza dei presupposti per la ricezione e/o l’impossibilità di identificare l’Interessato (quasi sempre le Informative non sono intestate ad un singolo soggetto e recano la dicitura “Gentile Interessato”)
Per ogni dubbio od evenienza futura, contattaci.