Il WP29 pubblica la bozza di Linee Guida sulla trasparenza

 

Background

Lo scorso 12 dicembre 2017, il Gruppo di lavoro Articolo 29 (WP29) ha pubblicato la propria bozza di Linee Guida sulla trasparenza (disponibili al momento solo in inglese) ai sensi del Regolamento Generale UE sulla Protezione dei Dati Personali 2016/679 (di seguito, rispettivamente, Linee Guida e RGPD). Le Linee Guida in oggetto sono state pubblicate assieme alla correlata bozza di Linee Guida sul consenso (anch’esse solo in inglese), in attesa di ricevere osservazioni e proposte entro il 23 gennaio 2018.

La trasparenza costituisce un principio generale del RGPD ed è strettamente connessa al nuovo principio di accountability ed al principio di correttezza per quanto riguarda il trattamento dei dati personali, così come sancito dall’art. 8 della Carta sui diritti fondamentali dell’Unione Europea.

Il concetto di trasparenza non è esplicitamente definito nel RGPD, e tuttavia il Considerando 39 chiarisce il significato e gli effetti del principio di trasparenza che “[…] impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro […]”.

 

Questioni principali

Le Linee Guida sono sviluppate per agevolare i titolari del trattamento a comprendere come strutturare e predisporre le proprie informative e l’ulteriore documentazione privacy.

L’art. 12 del RGPD fissa le regole generali che si applicano nel fornire le informazioni agli interessati (ai sensi degli artt. 13 e 14), le comunicazioni relative all’esercizio dei diritti di questi ultimi (artt. 15-22) e le comunicazioni in caso di violazione dei dati personali (art. 34).

Come richiesto dall’art. 12 del RGPD e chiarito dalle Linee Guida, le informazioni dovranno essere:

  • concise, trasparenti, comprensibili e facilmente accessibili. Le informazioni devono essere fornite in modo efficace e sintetico, in modo da distinguersi agevolmente rispetto alle informazioni di contenuto diverso dalla privacy e, nel contesto online, devono essere stratificate e chiaramente segnalate; l’interessato dovrebbe peraltro capire immediatamente dove reperire le informazioni, evitando sforzi in tal senso;
  • formulate in un linguaggio chiaro e semplice, in particolare quando vengono fornite informazioni a bambini/minori. Bisognerebbe evitare l’uso di periodi complessi, ambigui o tecnici (termini come “può”, “potrebbe”, “alcuni” dovrebbero essere evitati). I titolari dovrebbero assicurarsi che il vocabolario, il tono e lo stile del linguaggio usato siano appropriati per i bambini e altri soggetti vulnerabili, comprese le persone con disabilità.
  • scritte o fornite tramite altri strumenti, compresi quelli elettronici ove appropriati. Il WP29 osserva che nel contesto online, in “altri mezzi” si potrebbero includere tecniche come il “just in time“, le informative rese con pop-up contestuali, i tocchi 3D, le informative a scorrimento e dashboard sulla privacy. Le informazioni potranno inoltre essere fornite in combinazione con icone standardizzate, idonee a ridurre – almeno potenzialmente – l’esigenza di prevedere una vasta quantità di informazioni scritte da presentare all’interessato. Peraltro, avvisi orali o video, cartoni animati, infografiche e diagrammi potrebbero essere considerati adeguati in particolari circostanze.
  • fornite oralmente, ove richiesto dall’interessato. Le informazioni orali possono essere fornite di persona, per telefono o tramite strumenti analoghi, e possono comprendere operazioni automatizzate (il WP29 raccomanda che il titolare si premuri di consentire all’interessato di riascoltare il messaggio registrato). Nel caso in cui le informazioni siano fornite a seguito di una richiesta dell’interessato per l’esercizio dei propri diritti, il titolare deve verificare l’identità del soggetto con altri mezzi non orali, al fine di assicurare idonee verifiche in sicurezza ed essere in grado di dimostrarlo.
  • fornite senza costi per l’interessato.

 

Le Linee Guida chiariscono che al fine di identificare le modalità più idonee per fornire le informazioni, i titolari potrebbero, prima del “go-live”, sperimentare diverse modalità attraverso test sugli utenti per ottenere feedback sull’accessibilità, comprensibilità e facilità di utilizzo della modalità proposta.

Con riferimento al momento in cui fornire le informazioni, il WP29 osserva che “[…] la fornitura tempestiva delle informazioni costituisce un elemento essenziale delle obbligazioni in tema di trasparenza e correttezza nel trattamento dei dati […]”.

Ai sensi dell’art. 13 del RGPD, che si applica all’ipotesi in cui i dati siano raccolti direttamente presso l’interessato, le informazioni devono essere fornite al momento in cui vengono ottenuti i dati personali. Nel caso in cui i dati personali vengano ottenuti indirettamente ai sensi dell’art. 14 del RGPD, il criterio generale prevede che le informazioni debbano essere fornite entro un ragionevole lasso di tempo e comunque non oltre un mese.

Il RGPD consente, in limitate ipotesi, di derogare all’obbligo di fornire un’informativa. L’unica eccezione all’obbligo di fornire le informazioni nel caso in cui i dati personali siano ottenuti direttamente presso l’interessato (art. 13.4) si verifica “nella misura in cui l’interessato disponga già delle informazioni“.

Nel caso in cui le informazioni siano ottenute indirettamente, il RGPD prevede una serie molto più ampia di eccezioni, in particolare laddove: la fornitura di informazioni comporti sforzi sproporzionati (art. 14.5.b); il titolare del trattamento sia soggetto a una legge nazionale o dell’UE per ottenere o divulgare i dati personali (art. 14.5.c); i dati personali debbano rimanere confidenziali in quanto soggetti all’obbligo del segreto professionale regolato da legge nazionale o dell’UE, compreso un obbligo legale di riservatezza (art. 14.5.d).

Il RGPD prevede, ai sensi dell’art. 23, che le legislazioni dei singoli Stati membri possano prevedere ulteriori eccezioni complementari ma le Linee Guida chiariscono che, laddove facessero affidamento su tali eccezioni, i titolari del trattamento dovrebbero informarne gli interessati, salvo che ciò non pregiudichi lo scopo dell’eccezione.

Il WP29 ha infine previsto una tabella in calce alle Linee Guida che riassume le categorie di informazioni che devono essere fornite ai sensi degli artt. 13 e 14 del RGPD.

 

Implicazioni pratiche

Al fine di essere in linea con gli obblighi in tema di trasparenza, le organizzazioni dovrebbero:

  • rivedere le loro informative, precisando non solo le finalità, ma anche le conseguenze del trattamento, usando un linguaggio non ambiguo;
  • rimuovere dalle proprie informative qualsiasi riferimento generico e dubbio in merito alle finalità del trattamento, evitando l’uso di termini come “può”, “potrebbe”, “alcuni”, “spesso”, “possibile”;
  • identificare il pubblico di riferimento, accertandosi del livello di comprensione del soggetto medio di tale pubblico e, se necessario, modificare le informazioni e gli altri documenti privacy al fine di renderli comprensibili a tali destinatari;
  • verificare il linguaggio adottato quando vengono trattati i dati di bambini o di altri soggetti vulnerabili, assicurandosi che il vocabolario, il tono e lo stile del linguaggio siano appropriati;
  • prendere tutte le misure necessarie per garantire che qualsiasi modifica relativa alle proprie informative sia comunicata agli interessati prima di divenire efficace, in modo tale da garantire che la maggior parte dei destinatari possa effettivamente verificarla;
  • verificare quali informazioni l’interessato abbia già, come e quando le abbia ricevute e se da quel momento non siano intervenute ulteriori modifiche che abbiano reso obsolete le precedenti.