GDPR-Developer-Guide/12-Informa gli utenti.md

Scheda n°12: Informa gli utenti

Il principio di trasparenza del GDPR richiede che ogni informazione relativa al trattamento di dati personali sia concisa, trasparente, comprensibile e facilmente accessibile in linguaggio chiaro e semplice.

Chi informare, e quando?

• Gli interessati devono essere informati:

  • sia nel caso di raccolta diretta dei dati, per esempio quando i dati sono raccolti direttamente dagli interessati (ad es. moduli, acquisti online, sottoscrizione di un contratto, apertura di un conto corrente bancario) oppure tramite strumenti o tecnologie che monitorano l’attività delle persone (ad es. analisi della navigazione Internet, geolocalizzazione e analytics o tracciamento Wi-Fi per la misura del pubblico, ecc.);

  • che nel caso di raccolta indiretta di dati personali, quando i dati non sono raccolti dai diretti interessati (ad es.: dati ottenuti da partner commerciali, data broker, fonti pubblicamente disponibili, o altro).

• Le informazioni devono essere fornite:

  • prima dell’avvio della raccolta di dati, nel caso di raccolta diretta;
  • il prima possibile nel caso di raccolta indiretta (tutt’al più al primo contatto con la persona) e non oltre un mese dalla raccolta (con alcune eccezioni);
  • nel caso di modifiche sostanziali al trattamento o di eventi particolari. Per esempio: nuova finalità, nuovi destinatari, modifiche al modo in cui si possono esercitare i diritti, data breach.

Quali informazioni devo fornire?

• In tutti i casi, devi specificare:

  • L’identità e i contatti dell’organizzazione che tratta i dati (chi tratta i dati?) ;
  • Le finalità (per cosa saranno usati i dati raccolti?);
  • La base giuridica su cui si fonda il trattamento (vedi tutte le informazioni sulla base giuridica);
  • La natura obbligatoria o facoltativa della raccolta di dati (la qual cosa richiede una riflessione a monte riguardo all’utilità della raccolta rispetto alla finalità perseguita – il principio di “minimizzazione” dei dati) e le conseguenze per l’interessato nel caso decida di non fornire i dati;
  • I destinatari o le categorie di destinatari dei dati (chi, per le finalità dichiarate, ha bisogno di accedere ai dati, o di riceverli, inclusi eventuali responsabili esterni?) ;
  • Il periodo di conservazione dei dati (o i criteri per determinarlo);
  • L’esistenza dei diritti dell’interessato e il modo in cui può esercitarli (diritti di accesso, rettifica, cancellazione, opposizione sono applicabili a tutte le operazioni di trattamento) ;
  • I contatti del responsabile per la Protezione dei Dati/Data Protection Officer dell’organizzazione, se nominato, o della persona che segue le problematiche relative alla protezione dati;
  • Il diritto di presentare reclamo all’Autorità Garante.

• In certi casi particolare bisogna fornire informazioni ulteriori, come per esempio nel caso che i dati siano trasferiti al di fuori della UE, nel caso di profilazione o decisioni automatizzate, o quando la base giuridica del trattamento è il legittimo interesse di chi raccoglie i dati (Titolare); (v. le linee guida sulla trasparenza per ulteriori informazioni).

• Nel caso di raccolta indiretta dei dati, occorre specificare anche:

  • Le categorie di dati raccolti;
  • L’origine dei dati (indicando in particolare se vengono da fonti pubblicamente disponibili).

In quale forma devo fornire queste informazioni (informativa)?

• Le informazioni devono essere di facile accesso: l’utente deve essere in gradi di trovarle senza difficoltà.

• Devono essere fornite in modo chiaro e comprensibile, ad es. con un vocabolario ridotto (frasi brevi, niente termini tecnici o legali, niente ambiguità) e con informazioni adattate al tipo di pubblico (con particolare attenzione ai minori e alle persone vulnerabili).

• Devono essere scritte in modo conciso. Per evitare che troppe informazioni distolgano l’utente, è necessario fornire le informazioni più rilevanti al momento giusto.

• Le informazioni relative alla protezione dei dati devono essere distinguibili da informazioni non specificamente relative alla privacy (come clausole contrattuali o termini generali e condizioni d’uso).

Cosa devo comunicare quando la sicurezza dei dati viene compromessa?

• Un’organizzazione può, per errore o negligenza, accidentalmente o in seguito a un attacco, subire una violazione di dati personali, cioè la perdita, alterazione, distruzione o distribuzione non autorizzata di dati. In questo caso, se l’evento può rappresentare un rischio per i diritti e le libertà fondamentali degli interessati, l’organizzazione deve comunicare l’evento alla propria Autorità Garante entro 72 ore.

• Se questi rischi sono elevati, l’organizzazione deve anche informare il prima possibile gli interessati, fornendo loro indicazioni su come proteggere i propri dati (ad es. cancellazione di carte di credito compromesse, modifica di password, modifica dei parametri di sicurezza, ecc.).

• La notifica della violazione all’Autorità Garante deve avvenire tramite il modulo sul sito del Garante

Risorse utili

• Il sito Data & Design (in Inglese) sviluppato dal Digital Innovation Laboratory di CNIL sviluppa questi concetti e contiene esempi di interfaccia.
• Il sito di CNIL e del Garante contengono anche molti esempi in Francese e in italiano.
• La pagina sulle violazioni dei dati personali sul sito di CNIL (in Francese) ) e del Garante (in Italiano).