Proseguiamo l’esame sintetico della disciplina del trattamento dei dati personali, contenuta nel Codice della Privacy ed integrata con le norme del Regolamento europeo 679/2016, in sigla GDPR.
Fulcro dell’attività di trattamento dei dati è la consegna dell’informativa dal titolare all’interessato, che avviene secondo modalità diverse a seconda che i dati siano stati raccolti o meno presso l’interessato.
DATI RACCOLTI PRESSO L’INTERESSATO
Nel primo caso l’art. 13 del Regolamento prevede che, nel momento in cui vengono raccolti i dati, l’interessato debba essere messo a conoscenza del nome e dei riferimenti del titolare del trattamento e del responsabile del trattamento nonché degli eventuali soggetti cui i dati stessi vengono comunicati e degli eventuali destinatari di Paesi terzi.
Oltre a ciò nell’informativa devono essere indicati la “finalità” e la “base giuridica” del trattamento: con il primo termine si fa riferimento allo scopo della raccolta dei dati, che coincide con l’oggetto del contratto stipulato con l’interessato ed alla natura della prestazione svolta dal titolare del trattamento; con la seconda espressione si indica il titolo giuridico in base al quale vengono raccolti i dati.
Ad esempio, nel contratto tra un professionista (avvocato, commercialista..) ed il cliente, la finalità del trattamento corrisponde al tipo di prestazione svolta dal professionista (consulenza e assistenza legale/contabile, redazione atti, tenuta registri contabili etc.) mentre la base giuridica è data dal mandato al professionista, dalla necessità di assolvere gli obblighi legali derivanti dal mandato, nonché dal legittimo interesse del cliente a conoscere le modalità del trattamento.
Completano l’informativa l’indicazione della durata del trattamento, del luogo dove i dati vengono raccolti e trattati, nonché le informazioni relative al diritto dell’interessato di presentare istanze di accesso ai propri dati, di revocare il consenso in qualunque momento e di chiedere la cancellazione dei propri dati, nonché di proporre reclamo amministrativo in caso di violazioni da parte del titolare o del responsabile.
DATI NON RACCOLTI PRESSO L’INTERESSATO
Se i dati non sono raccolti direttamente presso l’interessato (art. 14 del regolamento), l’informativa deve comprendere anche le categorie dei dati personali oggetto di trattamento, oltre agli elementi indicati dall’art. 13 anzidetti.
Quanto ai tempi di rilascio dell’informativa il Regolamento prevede, sempre per il caso di dati personali non raccolti direttamente presso l’interessato, che l’informativa debba essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione dei dati a terzi o all’interessato; è data tuttavia la possibilità, al titolare del trattamento, di valutare se la prestazione dell’informativa agli interessati comporti uno sforzo sproporzionato rispetto all’attività da svolgere e, in tal caso, di ritenersi esonerato da tale obbligo.
Se, invece, i dati vengono raccolti presso l’interessato l’informativa deve essere consegnata prima della raccolta.
INFORMATIVA STRATIFICATA
E’ importante rilevare che, in base al Regolamento, ogni volta che la finalità del trattamento cambia deve essere consegnata una nuova informativa all’interessato, con l’indicazione dei mutamenti relativi al trattamento; la nuova informativa potrà essere redatta integrando quella già esistente (informativa cosiddetta “stratificata”).
Completato l’esame delle norme relative all’informativa concludiamo rinviando ad altri articoli la trattazione del regime di responsabilità previsto dal GDPR.