Temi

Shape 5 Live Search

logo

La normativa, europea e nazionale, prevede che, in base alla finalità del trattamento il titolare deve fornire agli interessati, prima del trattamento, le informazioni richieste dalle norme. Ciò avviene tramite l'informativa.

L'informativa è una comunicazione rivolta all'interessato finalizzata ad informarlo, così che possa rendere un valido consenso. Essa è condizione, non tanto del rispetto del diritto individuale ad essere informato, quanto del dovere del titolare del trattamento di garantire la lealtà del trattamento.
L'informativa può anche essere orale, ma è preferibile sia data per iscritto al fine di provarne l'esistenza e per consentire alle autorità di vigilanza di verificarne la completezza e correttezza. 

 

Quando è dovuta

Se un sito web permette alcuna registrazione degli utenti, e non tratta dati degli utenti, non occorre l'informativa privacy, Invece l'informativa è sempre dovuta ogni qual volta vi sia una raccolta e trattamento dei dati (es. indirizzi IP, mail) degli utenti (es. compilazione moduli), per cui anche nel caso in cui il sito utilizzi cookie tramite i quali raccoglie dati degli utenti. E' altresì dovuta anche quando il consenso dell'interessato non è richiesto, oppure quando l'interessato è tenuto obbligatoriamente per legge a fornire i dati. 

Se il sito permette la registrazione degli utenti, ma i dati vengono usati solo per fini del sito medesimo (es. mailing list) e non per l'invio di proposte commerciali ecc..., occorre solo l'informativa privacy (da linkare al modulo di registrazione per consentirne la consultazione), ma non occorre la raccolta del consenso;

Invece, se il sito permette la registrazione degli utenti e raccoglie dati anche a fini promozionali e pubblicitari, compreso la trasmissione a terzi, occorre l'informativa privacy e il consenso deve essere espresso con accettazione separata dell'informativa.

 


Contenuto minimo

L'informativa deve avere il seguente contenuto minimo (articoli 13 e 14 del Regolamento europeo): 

- finalità e modalità del trattamento (non come vengono trattati i dati ma quali dati vengono trattati divisi per categorie, a quale fine, per quanto tempo sono trattati, se i dati verranno trasferiti all'estero e, in questo caso, attraverso quali strumenti); 
- natura obbligatoria o facoltativa del conferimento dei dati (se il soggetto può rifiutare il consenso e le conseguenze di tale rifiuto, specificando che è possibile rifiutare il consenso a singoli trattamenti quali quelli a fini di marketing diretto); 
- soggetti e categorie di soggetti ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi (l'indicazione di soggetti terzi non può essere generica); 
- i diritti dell’interessato (diritto di chiedere se dati personali sono presenti nella banca dati, diritto di prenderne visione e di chiederne la modifica, diritto di presentare reclamo all'autorità di controllo, eventuale diritto alla portabilità); 
- dati identificativi (nome, denominazione o ragione sociale, domicilio o sede) del titolare del trattamento e, se designato, del responsabile per la protezione dei dati (DPO), quindi un recapito al quale gli interessati potranno rivolgersi per esercitare i propri diritti; 
- quale è la base giuridica del trattamento, quindi se si tratta di trattamento basato su consenso o giustificato da leggi, legittimi interessi (in questo caso specificando quale è il legittimo interesse), ecc...; 
- se il trattamento comporta processi decisionali automatizzati (come la profilazione) deve essere specificato indicando anche la logica di tali processi decisionali e le conseguenze previste per l'interessato. 

All'interno dell'informativa privacy devono essere indicati anche i cookie che veicola il sito, le modalità di disabilitazione dei cookie (es. tramite opzioni del browser), e nel caso di cookie di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti. Si rimanda ad altro articolo per ulteriori dettagli sulla regolamentazione dei cookie. Si fa presente che l'informativa cookie è una sezione dell'informativa privacy, non un documento separato, per cui generalmente si ammette che possa essere una pagina diversa da quella che contiene l'informativa privacy, ma quest'ultima deve assolutamente richiamarla (link). 

Nel caso in cui i dati non siano raccolti direttamente presso l'interessato (art. 14 del Regolamento), l'informativa deve essere fornita entro un termine ragionevole, e comunque non oltre 1 mese dalla raccolta dei dati. Oppure va fatta al momento della comunicazione dei dati a terzi.
Comunque, in questo caso spetta al titolare valutare se la prestazione dell'informativa agli interessati comporti uno sforzo sproporzionato.

 

Modalità dell'informativa

L'informativa deve avere forma coincisa, deve essere chiara, facilmente accessibile ed intellegibile per l'interessato, eventualmente anche utilizzando immagini o icone (le icone devono essere identiche per tutta l'Unione europea e saranno identificate da un successivo provvedimento della Commissione europea).Va data preferibilmente per iscritto e in formato elettronico, ma sono ammessi anche altri mezzi, compreso la forma orale.
E' ammessa la possibilità di pubblicare l'informativa su un sito web, inserendo il collegamento (link) a tale pagina web nella pagina principale (home) del sito web, ma anche nelle comunicazioni e nella corrispondenza, compreso la corrispondenza cartacea. Nel caso di comunicazioni postali è, però, necessario prevedere anche delle forme alternative, come ad esempio l'invio di fax a seguito di richiesta da parte degli interessati, per coloro che non hanno la possibilità di leggerla online. 

 

Sanzioni

Una violazione in materia di informazione agli utenti può avere come conseguenza l'indagine da parte dell'autorità per la protezione dei dati, il quale può imporre sanzioni fino a 100mila euro e eventualmente anche il blocco di tutti i dati raccolti ed elaborati in violazione delle norme.

Inoltre, gli utenti acquistano il diritto di avviare una azione civile per il risarcimento dei danno contro il titolare del trattamento o comunque il gestore del sito.