L’informativa privacy
L’informativa privacy è probabilmente il documento più importante fra quelli richiesti dal GDPR, perché ha lo scopo di comunicare agli interessati come l’organizzazione tratta i loro dati personali.
Tutte le imprese, in misura maggiore o minore, trattano dati personali. La maggior parte di esse tratta dati dei propri clienti, dipendenti e fornitori. Anche le imprese che operano nel settore B2B ed hanno come clienti solo persone giuridiche trattano inevitabilmente i dati delle persone che ne fanno parte, ad esempio gli amministratori o alcuni dipendenti.
Ciò significa che tutte le imprese devono redigere alcune informative privacy, di solito almeno una per i clienti, una per i fornitori e una per i dipendenti.
Ma come si scrive un’informativa privacy?
Lasciatevi dire da un Avvocato che non è sempre indispensabile un Avvocato per scrivere una buona informativa. Certo, ci sono dei contenuti obbligatori, che sono indicati agli artt. 13 e 14 del GDPR ma, imparati questi, sarete in grado di scrivere da soli le vostre informative. Forse riuscirete a farlo anche meglio di molti professionisti che non conoscono a fondo il vostro business.
Il mio consiglio invece è quello di evitare fac-simile e modelli prestampati. Evitate anche o di copiare le informative privacy da altri. Non soltanto perché molte sono sbagliate ma anche perché l’informativa dev’essere un vestito su misura, che si adatta ai trattamenti di dati personali effettuati dalla vostra organizzazione.
Il principio di chiarezza e trasparenza
Il primo suggerimento è: dimenticatevi le formule in “legalese”, ovvero quei giri di parole inutili e complicati che nessuno capisce tranne gli Avvocati. Potete persino fare a meno dei richiami normativi. Le informative, infatti, non devono essere lette da giuristi ma da persone comuni, che difficilmente andranno a consultare il regolamento europeo.
Il secondo suggerimento è quello di scrivere l’informativa prendendo come riferimento il target a cui è destinata. Ad esempio, se l’informativa è destinata a ragazzi, non rivolgetevi a loro come fareste con dei professionisti. Non utilizzate termini tecnici e complicati ma siate semplici e, se possibile, usate il loro linguaggio.
Ponetevi questa domanda: se foste voi a dover essere informati sul trattamento dei vostri dati, cosa vorreste sapere?
Il principio cardine da seguire per scrivere una buona informativa è quello della chiarezza. L’informativa privacy non deve necessariamente essere un foglio inutile, scritto in caratteri piccoli, che la legge vi obbliga a far firmare ma che nessuno legge. L’informativa può e deve diventare un modo per consolidare il rapporto di fiducia con i nostri clienti e non solo per evitare delle sanzioni.
Il Legal Design nelle informative privacy
Per rendere ancora più chiara e gradevole da consultare un’informativa sul trattamento dei dati personali si può ricorrere al Legal Design. Persino il GDPR incoraggia l’utilizzo di icone nelle informative. Il Legal Design però non consiste solo nell’utilizzare immagini e nel rendere i documenti esteticamente gradevoli. Il Legal Design ci consente di progettare documenti legali mettendo al centro il loro utilizzatore. Il documento deve essere progettato in modo da essere chiaro, facilmente accessibile e consultabile e, allo stesso tempo, conforme ai requisiti di legge.
Un altro suggerimento che viene direttamente dal GDPR per rendere le informative facilmente consultabili è quello di utilizzare i layers (strati). In altre parole, si possono creare informative sintetiche consultabili a prima vista e permettere a chi voglia approfondire alcuni punti di accedere a dei moduli con informazioni aggiuntive. Ovviamente, questo è difficile in un modello privacy cartaceo ma può essere facilmente ottenuto in una pagina web, mediante l’utilizzo di sezioni, link o toggle etc.
Il contenuto obbligatorio dell’informativa privacy
Nel redigere la nostra informativa privacy possiamo essere creativi ma, allo stesso tempo, dobbiamo inserire alcune informazioni che sono elencate negli articoli 13 e 14 del GDPR.
Titolare del trattamento e responsabile della protezione dei dati
L’informativa deve innanzi tutto contenere i riferimenti del soggetto che tratta i dati personali, ovvero il titolare del trattamento. Quando a trattare i dati è una società o una persona giuridica, titolare del trattamento è la società stessa. Non sarà necessario, quindi, indicare i dati del suo legale rappresentante. Preoccupatevi invece di inserire tutte le informazioni rilevanti sulla società, ovvero la denominazione sociale, la sede legale, la partita iva e i dati di contatto (telefono e indirizzo e-mail).
Se avete nominato un Responsabile della Protezione dei Dati (più comunemente conosciuto come Data Protection Officer o DPO), dovete indicare anche i suoi riferimenti e dati di contatto.
Le categorie di dati trattati
Quando i dati non sono raccolti direttamente dalle persone interessate, dovete specificare le categorie di dati che trattate. L’art. 14 del GDPR non richiede di elencare i dati trattati uno per uno ma solo di indicare le “categorie di dati”. Da ciò si evince che, se ad esempio si raccolgono numero di telefono e indirizzo e-mail, potrebbe essere sufficiente scrivere nell’informativa: “dati di contatto”.
Nonostante ciò, il mio consiglio è quello di essere il più precisi possibile, ma senza esagerare. Ponetevi sempre la stessa domanda: “se fossi la persone interessata, cosa vorrei sapere?”.
Personalmente, se qualcuno tratta i miei dati di contatto, vorrei sapere se si limita all’indirizzo e-mail oppure se ha anche il mio numero di telefono o addirittura quello del cellulare. Anche se la legge vi chiede di comunicare le categorie di dati, siate diretti e chiari e non usate termini troppo generici o giri di parole che non dicono niente. Se trattate soltanto nome, cognome, indirizzo di residenza e numero di telefono delle persone, non è meglio elencare questi dati piuttosto che scrivere “dati anagrafici” e “dati di contatto”?
Le finalità e le basi giuridiche
Per ciascuna categoria di dati che trattate, dovete indicare innanzi tutto la vostra finalità.
Supponiamo che la vostra impresa venda abbonamenti per una rivista cartacea. Avrete bisogno di raccogliere almeno nome, cognome e indirizzo degli abbonati per spedirgli le riviste. La vostra finalità nel trattare questi dati è quella di effettuare le spedizioni.
L’indicazione della base giuridica richiede invece un pizzico di conoscenza in più della normativa privacy. Le basi giuridiche per poter trattare i dati comuni sono elencate all’art. 6 del GDPR. Quando si devono trattare dati particolari (ad esempio dati sanitari, dati relativi a convinzioni politiche, religiose, filosofiche etc.), bisogna invece far riferimento alle eccezioni di cui all’art. 9 GDPR.
Nell’esempio precedente, la vostra finalità è la spedizione delle riviste, mentre la base giuridica è la necessità di trattare i dati per dare esecuzione al contratto con gli abbonati (art. 6, lett. b).
Attenzione, perché uno stesso dato può essere trattato per più finalità e, di conseguenza, avere basi giuridiche diverse. Ad esempio, utilizzerete il nome e cognome dell’abbonato anche al fine di emettere la fattura. Per questa finalità, la base vostra giuridica sarà l’adempimento di un obbligo di legge (art. 6, lett. c) e, più in particolare, degli obblighi fiscali.
Obbligatorietà dei dati e conseguenza della mancata comunicazione
Quando si raccolgono dati personali, nell’informativa occorre precisare quali sono le conseguenze della mancata comunicazione dei dati.
Tornando al solito esempio, senza l’indirizzo l’editore non sarà in grado di spedire la rivista. Di conseguenza, quel dato è obbligatorio ai fini della sottoscrizione dell’abbonamento. Invece, un indirizzo e-mail chiesto per l’invio di comunicazioni commerciali non è indispensabile per l’esecuzione del contratto di abbonamento. La comunicazione di questo dato deve quindi essere indicata come facoltativa e nell’informativa scriveremo che, se l’indirizzo e-mail non viene comunicato, l’abbonato non potrà ricevere comunicazioni relative a nuove offerte e servizi.
Da chi si ricevono i dati e a chi si comunicano
Se raccogliete i dati personali direttamente dalle persone a cui si riferiscono, ovviamente non importa scrivere nell’informativa che avete ottenuto i dati da loro. Se invece avete ricevuto i dati da un altro soggetto o li avete reperiti altrove, nell’informativa deve essere indicata la fonte di provenienza.
Nell’informativa privacy dovete inoltre indicare a chi comunicate i dati personali al di fuori della vostra organizzazione. Riprendendo il solito esempio, nell’informativa rivolta agli abbonati della rivista, dovrete scrivere che il loro indirizzo, nome e cognome verranno comunicati al vettore che si occuperà della spedizione, mentre i dati fiscali verranno comunicati al commercialista e, ovviamente, all’Agenzia dell’entrate.
Anche in questo caso, la norma consente di indicare solo le categorie di destinatari, senza dover necessariamente specificare l’identità dei destinatari. Non dovremo quindi scrivere il nome del nostro commercialista nell’informativa privacy.
Oltre ai destinatari o alle categorie di destinatari, nell’informativa dobbiamo specificare se comunichiamo i dati fuori dall’Unione Europea e, se sì, in quali Paesi.
I tempi di conservazione
Fate salve rarissime eccezioni, i dati personali non possono essere conservati per sempre. La durata di conservazione dipende dalla finalità per cui i dati vengono trattati. Una volta esaurita la finalità, i dati vanno cancellati.
Ad esempio, se un abbonato revoca il proprio abbonamento, non avrete più bisogno di conservare il suo indirizzo di residenza per le spedizioni. A meno che questo dato non vi serva per altre finalità (anch’esse specificate nell’informativa) dovrete quindi cancellarlo. I dati trattati per finalità fiscali dovranno invece essere conservati per il periodo richiesto dalla legge, dopodiché anch’essi andranno cancellati.
Nell’informativa dovete quindi indicare quanto tempo conservate i dati. Quando non è possibile indicare una durata esatta (ad esempio 1 mese, 2 o 10 anni), potrete limitarvi a indicare il criterio in base al quale stabilite il tempo di conservazione (ad esempio, conservate i dati finché l’abbonato non disdice l’abbonamento).
I diritti degli interessati
Infine, l’informativa deve contenere l’indicazione dei diritti privacy che gli interessati possono esercitare e le modalità con cui esercitarli (ad esempio scrivendo al DPO o all’indirizzo e-mail dell’organizzazione).
I diritti degli interessati sono indicati nel Capo III del GDPR, agli articoli da 12 a 23. Si tratta del diritto di informazione e di accesso, diritto di rettifica, di cancellazione, di limitazione, diritto alla portabilità dei dati e diritto di opposizione.
Piuttosto che limitarsi a elencare questi diritti, sarebbe opportuno spiegarne brevemente il significato. Inoltre, se un diritto non è applicabile ai vostri trattamenti, non è necessario indicarlo. Ad esempio, il diritto alla portabilità dei dati è esercitabile solo per i trattamenti che si basano sul consenso o sull’esecuzione di un contratto e che vengono effettuati con mezzi automatizzati.
Oltre all’indicazione dei diritti privacy, nell’informativa bisogna informare l’interessato della possibilità di effettuare un reclamo all’autorità Garante per lamentare la violazione dei suoi diritti.
Conclusioni
Dopo aver appreso i fondamentali della normativa sul trattamento dei dati personali e seguendo le indicazioni di questo articolo, chiunque sarà in grado di redigere una semplice informativa privacy.
Con questo non voglio certo dirvi che tutte le informative siano semplici da scrivere, né tantomeno consigliarvi il “fai da te”, soprattutto se non avete familiarità con la normativa. È chiaro che le organizzazioni che effettuano trattamenti di dati complessi dovrebbero sempre rivolgersi ad un professionista per la redazione delle informative.
Invece, i freelance e le piccole imprese che effettuano pochi e semplici trattamenti di dati personali e che non hanno grossi budget a disposizione possono benissimo seguire le indicazioni di questo articolo e, con un piccolo sforzo e un po’ di studio, redigere in autonomia le loro informative. Sicuramente, questa soluzione è preferibile rispetto a copiare documenti da altri o scaricare dei modelli privacy prestampati. Questi ultimi, se ben fatti, possono semmai servire come linee guida ma devono poi essere adattati alle specificità della vostra organizzazione.