6.2 KiB
Scheda n°12: Informa gli utenti
Il principio di trasparenza del GDPR richiede che ogni informazione relativa al trattamento di dati personali sia concisa, trasparente, comprensibile e facilmente accessibile in linguaggio chiaro e semplice.
Chi informare, e quando?
-
Gli interessati devono essere informati:
-
sia nel caso di raccolta diretta dei dati, per esempio quando i dati sono raccolti direttamente dagli interessati (ad es. moduli, acquisti online, sottoscrizione di un contratto, apertura di un conto corrente bancario) oppure tramite strumenti o tecnologie che monitorano l’attività delle persone (ad es. analisi della navigazione Internet, geolocalizzazione e analytics o tracciamento Wi-Fi per la misura del pubblico, ecc.);
-
che nel caso di raccolta indiretta di dati personali, quando i dati non sono raccolti dai diretti interessati (ad es.: dati ottenuti da partner commerciali, data broker, fonti pubblicamente disponibili, o altro).
-
-
Le informazioni devono essere fornite:
- prima dell’avvio della raccolta di dati, nel caso di raccolta diretta;
- il prima possibile nel caso di raccolta indiretta (tutt’al più al primo contatto con la persona) e non oltre un mese dalla raccolta (con alcune eccezioni);
- nel caso di modifiche sostanziali al trattamento o di eventi particolari. Per esempio: nuova finalità, nuovi destinatari, modifiche al modo in cui si possono esercitare i diritti, data breach.
Quali informazioni devo fornire?
-
In tutti i casi, devi specificare:
- L’identità e i contatti dell’organizzazione che tratta i dati (chi tratta i dati?) ;
- Le finalità (per cosa saranno usati i dati raccolti?);
- La base giuridica su cui si fonda il trattamento (vedi tutte le informazioni sulla base giuridica);
- La natura obbligatoria o facoltativa della raccolta di dati (la qual cosa richiede una riflessione a monte riguardo all’utilità della raccolta rispetto alla finalità perseguita – il principio di “minimizzazione” dei dati) e le conseguenze per l’interessato nel caso decida di non fornire i dati;
- I destinatari o le categorie di destinatari dei dati (chi, per le finalità dichiarate, ha bisogno di accedere ai dati, o di riceverli, inclusi eventuali responsabili esterni?) ;
- Il periodo di conservazione dei dati (o i criteri per determinarlo);
- L’esistenza dei diritti dell’interessato e il modo in cui può esercitarli (diritti di accesso, rettifica, cancellazione, opposizione sono applicabili a tutte le operazioni di trattamento) ;
- I contatti del responsabile per la Protezione dei Dati/Data Protection Officer dell’organizzazione, se nominato, o della persona che segue le problematiche relative alla protezione dati;
- Il diritto di presentare reclamo all’Autorità Garante.
-
In certi casi particolare bisogna fornire informazioni ulteriori, come per esempio nel caso che i dati siano trasferiti al di fuori della UE, nel caso di profilazione o decisioni automatizzate, o quando la base giuridica del trattamento è il legittimo interesse di chi raccoglie i dati (Titolare); (v. le linee guida sulla trasparenza per ulteriori informazioni).
-
Nel caso di raccolta indiretta dei dati, occorre specificare anche:
- Le categorie di dati raccolti;
- L’origine dei dati (indicando in particolare se vengono da fonti pubblicamente disponibili).
In quale forma devo fornire queste informazioni (informativa)?
-
Le informazioni devono essere di facile accesso: l’utente deve essere in gradi di trovarle senza difficoltà.
-
Devono essere fornite in modo chiaro e comprensibile, ad es. con un vocabolario ridotto (frasi brevi, niente termini tecnici o legali, niente ambiguità) e con informazioni adattate al tipo di pubblico (con particolare attenzione ai minori e alle persone vulnerabili).
-
Devono essere scritte in modo conciso. Per evitare che troppe informazioni distolgano l’utente, è necessario fornire le informazioni più rilevanti al momento giusto.
-
Le informazioni relative alla protezione dei dati devono essere distinguibili da informazioni non specificamente relative alla privacy (come clausole contrattuali o termini generali e condizioni d’uso).
Cosa devo comunicare quando la sicurezza dei dati viene compromessa?
-
Un’organizzazione può, per errore o negligenza, accidentalmente o in seguito a un attacco, subire una violazione di dati personali, cioè la perdita, alterazione, distruzione o distribuzione non autorizzata di dati. In questo caso, se l’evento può rappresentare un rischio per i diritti e le libertà fondamentali degli interessati, l’organizzazione deve comunicare l’evento alla propria Autorità Garante entro 72 ore.
-
Se questi rischi sono elevati, l’organizzazione deve anche informare il prima possibile gli interessati, fornendo loro indicazioni su come proteggere i propri dati (ad es. cancellazione di carte di credito compromesse, modifica di password, modifica dei parametri di sicurezza, ecc.).
-
La notifica della violazione all’Autorità Garante deve avvenire tramite il modulo sul sito del Garante
Risorse utili
- Il sito Data & Design (in Inglese) sviluppato dal Digital Innovation Laboratory di CNIL sviluppa questi concetti e contiene esempi di interfaccia.
- Il sito di CNIL e del Garante contengono anche molti esempi in Francese e in italiano.
- La pagina sulle violazioni dei dati personali sul sito di CNIL (in Francese) ) e del Garante (in Italiano).