Informativa privacy: il GDPR prevede l’obbligo di informare gli interessati riguardo a finalità, modalità, titolare del trattamento dati. Ecco i dettagli

Informativa privacy: che cosa è?

Iniziamo dalla base: che cosa è l’informativa privacy? L’informativa è una comunicazione rivolta e pensata per l’interessato. Ha il compito di informare l’utente, PRIMA che diventi interessato da un trattamento dei dati, sulle modalità e le finalità del trattamento dati. Ovviamente deve anche esplicitare il titolare del trattamento dati.

L’art 12 del GDPR vi fa apertamente riferimento::

Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.

Informativa privacy: perché?

L’informativa, inoltre, risponde ai principi esplicitamente previsti dal GDPR di:

  • trasparenza;
  • correttezza del trattamento;
  • responsabilità (accountability) del titolare del trattamento.

Sottolineiamo come l’informativa sia, essa stessa, una condizione necessaria (e non sufficiente) per la legittimità del trattamento dati che si intende operare. In dettaglio il GDPR prevede che il consenso espresso dall’interessato debba essere libero, specifico e informato. Ne consegue l’obbligo, per il titolare del trattamento, ad esplicitare all’cittadino quanto necessario per fornire un consenso consapevole e informato al trattamento dei propri dati.

Per approfondire > Informativa privacy? L’ultima cosa da fare (e non con copia e incolla)

Quali informazioni deve contenere l’informativa?

Gli art. 13 e 14 del GDPR prevedono una serie di informazioni minime che il titolare ha l’obbligo di fornire. Queste sono:

  • categorie dei dati trattati e le finalità del trattamento;
  • base giuridica del trattamento: qui il titolare deve specificare su quella base giuridica si fondi il trattamento che vuole mettere in essere. Il trattamento può avere, come base giuridica, il consenso dell’interessato, specifiche leggi, il legittimo interesse ecc…
  • se il conferimento dei dati sia obbligatorio o facoltativo e le conseguenze in cui incorre il cittadino nel caso neghi il consenso. Resta valido il principio per cui un cittadino può opporsi a singoli trattamenti, come quello per marketing diretto ecc…
  • soggetti destinatari del trattamento: che sono quei soggetti ai quali potrebbero venir comunicati i dati. In pratica va segnalata l’esistenza della possibilità che i dati dell’interessato siano comunicati a terzi. Tali terzi devono essere specificati: non sono più ammessi generici riferimenti a terze parti;
  • se i dati raccolti possono essere trasferiti in paesi extra UE;
  • il periodo di conservazione dei dati o almeno i criteri utilizzati per stimarlo;
  • quali diritti spettano all’interessato, come la cancellazione, il diritto di accesso ai dati, la rettifica, la richiesta di limitazioni al trattamento ecc…
  • nome, ragione sociale / denominazione/ sede del titolare del trattamento e, se nominato, del responsabile della protezione dei dati personali (DPO),
  • l’uso o meno, nel trattamento, di processi decisionali automatizzati. L’esempio più comune di trattamento automatizzato è la profilazione dell’utente.

In caso l’informativa privacy sia fornita su un sito web, occorre specificare anche quali cookie sono attivi sul sito, come disabilitarli e, nel caso vi siano cookie di terze parti, va fornito un collegamento alle informative delle terze parti.

Informativa privacy sui siti web > Conformità al GDPR: qualche consiglio per il sito web

Quando è obbligatorio fornire l’informativa?

L’informativa privacy è obbligo ogni volta che c’è un trattamento dati e deve precedere il momento della raccolta dei dati. Non sussiste obbligo di fornire l’informativa nel caso in cui i dati trattati siano anonimi (come i dati aggregati) e/o non siano dati personali ma dati riferiti ad enti o persone giuridiche.

Non deve fornire l’informativa neppure chi tratti dati per attività che hanno carattere meramente personale e domestico.

Il Garante per la protezione dei dati italiano ha specificato successivamente alcuni casi in cui l’informativa non è necessaria:

  • i dati sono trattati in base ad un obbligo di legge /regolamento /normativa comunitaria;
  • il trattamento è collegato ad esigenze difensive in materia penale o alla difesa di un diritto in sede giudiziaria.

Le sanzioni in caso di mancata informativa

Non informare o non informare correttamente gli utenti tramite valida informativa privacy prima dell’avvio della raccolta dei dati espone il titolare del trattamento ad indagini dell’autorità di controllo e a rischio sanzione amministrativa. La sanzione potrebbe essere non solo finanziaria, ma anche prevedere il blocco e il divieto di trattare ulteriormente i dati elaborati in violazione delle previsioni normative.

Gli stessi utenti possono attivarsi contro il titolare del trattamento per richiedere risarcimento del danno.


Non fornisci ancora l’informativa privacy ai tuoi clienti? Non sei certo che quella che fornisci sia corretta? Vuoi un’informativa valida e pensata attorno alla tua azienda e non il solito “copia e incolla”?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.