Dal 25 Maggio 2018 entra in vigore il Regolamento Europeo 2016/679 che disciplina la sicurezza e la tutela dei dati personali trattati da privati e pubbliche amministrazioni. Il nuovo Regolamento, identificato con l’acronimo GDPR (General Data Protection Regulation), introduce nuovi obblighi e adempimenti per professionisti e aziende, ponendosi come un ampio e severo quadro giuridico dell’Unione Europea in materia di riservatezza dei dati personali.
Tra i nuovi obblighi, l’adeguamento delle Informative al GDPR e l’acquisizione dei nuovi consensi. Come cambia l’informativa con il GDPR, di seguito si riporta uno schema sintetico delle principali modifiche:
Informativa ex art. 13 TU | Informativa ex artt. 13 e 14 GDPR (applicabile dal 25 maggio 2018) |
Quando è obbligatoria l’informativa?
L’informativa è un obbligo generale che va adempiuto prima o al massimo al momento di dare avvio alla raccolta per il trattamento di dati personali. L’obbligo non scatta:
|
Quando è obbligatoria l’informativa?
Non vi sono variazioni rispetto a quanto riportato nel T.U.
|
Non deve prestare l’informativa:
il titolare che riceva un curriculum vitae spontaneamente trasmesso dall’interessato, almeno fino al momento del primo contatto. |
Non deve prestare l’informativa:
Non è tenuta a prestare l’informativa la persona fisica che effettui il trattamento dei dati per attività a carattere esclusivamente personale e domestico. |
I dati sono raccolti presso l’interessato o presso un terzo?
Nel caso di raccolta dei dati presso il terzo, l’informativa è data all’interessato:
L’informativa deve comprendere, oltre alle informazioni richieste in generale, anche l’indicazione delle categorie di dati trattati (solo dati personali comuni o anche dati sensibili e/o giudiziari). |
I dati sono raccolti presso l’interessato o presso un terzo?
Nel caso di raccolta dei dati presso il terzo, l’informativa è data all’interessato:
L’informativa deve essere completa dei contenuti prescritti in via generale, con le seguenti aggiunte/differenze:
|
(Nel caso di raccolta presso terzi) Il titolare è sempre tenuto ad informare l’interessato?
Il TU individua tre fattispecie nelle quali il titolare non è tenuto a informare l’interessato, quando:
|
(Nel caso di raccolta presso terzi) Il titolare è sempre tenuto ad informare l’interessato?
Il GDPR individua i casi in cui il titolare non è tenuto a informare l’interessato, quando:
|
L’informativa è da rendere in forma scritta o orale?
Sono forme parimenti ammesse dalla legge ma è chiaro che una informativa scritta (riportata su supporto cartaceo/digitale e inviata/consegnata al destinatario con evidenza della ricezione da parte del medesimo) costituisce prova obiettiva dell’assolvimento dell’obbligo da parte del titolare. |
Quali requisiti di forma sono stabiliti per l’informativa?
L’informativa deve essere resa in forma:
L’informativa deve essere resa per iscritto o con altri mezzi (anche elettronici, come per es., la posta elettronica). Ove richiesto dall’interessato, l’informativa è da rendere oralmente (purché sia comprovata con altri mezzi l’identità dell’interessato). Come segnalato per il TU, anche qui può essere opportuno che il titolare si procuri e conservi una evidenza del rilascio dell’informativa. |
Quali sono le finalità del trattamento?
Può riscontrarsi in tal modo come all’interno di una presunta unica finalità ve ne siano, in realtà, più di una. Occorre pertanto che:
|
Quali sono le finalità del trattamento?
Non vi sono variazioni rispetto a quanto riportato nel T.U. |
Nel TU non si fa riferimento al legittimo interesse del titolare o di terzi di cui al GDPR. Dal punto di vista sostanziale, la relativa informazione può dirsi compresa nell’ambito delle finalità del trattamento. | Il trattamento è necessario per perseguire un legittimo interesse del titolare o di terzi?
Quando il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi (es., trattamento finalizzato a prevenire delitti, ecc.) – a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore -, è necessario che il titolare espliciti detto interesse. |
Il conferimento dei dati è obbligatorio o facoltativo?
Il conferimento dei dati può essere dovuto:
|
L’interessato è obbligato a fornire i dati?
L’informativa deve precisare se l’interessato possa o meno rifiutare di fornire i dati e quali siano le conseguenze dell’eventuale rifiuto. |
A quali soggetti saranno comunicati i dati raccolti?
Oltre alla comunicazione di dati a terzi, l’interessato deve altresì essere informato dell’eventuale diffusione di detti dati, ove prevista e coerente con le finalità del trattamento (la diffusione non potrà mai concernere dati idonei a rivelare lo stato di salute). Lo scopo di questo requisito particolarmente importante dell’informativa è:
|
Chi sono i destinatari (o le eventuali categorie di destinatari) dei dati
E’ requisito analogo a quello già previsto nell’informativa ex art. 13 TU. Anche qui la finalità della norma è rendere consapevole l’interessato della destinazione dei dati a sé riferiti e permettergli l’esercizio dei vari diritti connessi al trattamento. |
Non è richiesta dal TU una informazione concernente il tempo o periodo di conservazione dei dati. |
Qual è il periodo di conservazione dei dati?
Si tratta di una informazione non sempre agevole. Implica una capillare autoanalisi dell’organizzazione del titolare, che deve preventivamente definire il tempo di conservazione dei dati, ovviamente, in relazione alla finalità del trattamento. E’ evidente che un trattamento di dati che si protragga oltre la scadenza temporale connessa, deve quanto meno essere preceduto da una nuova informativa ed essere sottoposto, ove richiesto, al consenso dell’interessato. Se l’indicazione di tale periodo non è possibile, si debbono perlomeno esplicitare i criteri per determinarlo. |
L’interessato è informato dei diritti di cui all’art. 7?
L’informativa deve contenere una pur succinta informazione dove si riepilogano i diritti dell’interessato:
|
L’interessato è informato dei suoi diritti?
L’interessato ha diritto:
|
Il trattamento contempla un processo decisionale automatizzato, compresa la profilazione?
L’informazione su un eventuale processo automatizzato (ivi inclusa la profilazione) – per quanto non specificamente richiesta dal TU – può ritenersi compresa nella esplicitazione delle finalità e delle modalità del trattamento. |
Il trattamento contempla un processo decisionale automatizzato, compresa la profilazione? Il titolare è tenuto a informare l’interessato dell’eventuale esistenza di un processo decisionale automatizzato, ivi inclusa la profilazione, intesa dal GDPR come qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica. |
Chi è titolare del trattamento?
L’informativa deve contenere il nome e cognome o la ragione sociale/denominazione del titolare, con i necessari riferimenti per i contatti (sede legale, numero di telefono, indirizzo mail, ecc.). |
Chi è titolare del trattamento?
L’art. 13 GDPR impone la esplicitazione:
|
E’ nominato un responsabile del trattamento?
La nomina di un responsabile del trattamento è facoltativaIl responsabile può essere:
Per conseguenza, i dati identificativi del responsabile e quelli di contatto con il medesimo – ove nominato – debbono figurare nell’informativa. |
E’ nominato un responsabile della protezione dei dati?
L’informativa deve contenere in tal caso (anche) i dati di contatto del detto responsabile (sempre se nominato). |
A cura di ITLAV