Il nuovo Regolamento Europeo “ritocca” anche l’informativa privacy. Il GDPR ha infatti in parte modificato il novero delle informazioni da fornire all’interessato, mantenendo invece la distinzione – già presente anche nel Codice – fra l’ipotesi di raccolta dei dati presso l’interessato (art. 13 del Reg.) e l’ipotesi in cui i dati sono ottenuti da terzi (art. 14 del Reg.).
Da segnalare innanzitutto che la nuova informativa non ha solo aumentato il numero di informazioni in questione. Al contrario, alcune informazioni non devono più essere fornite: per esempio, non sarà più necessario indicare il responsabile per il riscontro all’interessato in caso di esercizio dei suoi diritti, qualora tale responsabile sia stato designato.
Tuttavia, pare più opportuno evidenziare quelle che appaiono le modifiche più rilevanti in termini di informazioni aggiuntive da fornire all’interessato. Fra queste, in primo luogo, i dati di contatto (si noti bene: non il nome) del responsabile della protezione dei dati, se nominato. Oltre alle finalità del trattamento, bisognerà indicare la base giuridica dello stesso.
Se il trattamento è necessario per il perseguimento di un interesse legittimo del titolare o di un terzo, dovrà essere indicato tale legittimo interesse. Come già nel vigore del Codice, detto interesse legittimo dovrà ovviamente essere prevalente rispetto agli interessi o ai diritti e alle libertà fondamentali dell’interessato. A questo proposito, tuttavia, il Garante ha sottolineato che il bilanciamento tra il legittimo interesse degli uni e i diritti e le libertà dell’altro spetta al titolare (non all’Autorità di controllo) e questo compito rappresenta una delle principali estrinsecazioni del principio di “responsabilizzazione” che pervade l’intera nuova disciplina privacy.
Si dovrà specificare se si intende trasferire i dati verso un Paese terzo o a un’organizzazione internazionale (oltre a una serie di informazioni aggiuntive in merito).
Un’altra importante novità è la necessità di indicare il periodo di conservazione dei dati o, in alternativa, i criteri adottati per stabilire il periodo in questione. Si dovranno inoltre comunicare il diritto alla portabilità dei dati, il diritto di revocare il consenso in qualsiasi momento, il diritto di proporre un reclamo all’Autorità di controllo, nonché l’eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione e, in tale ipotesi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Si dovrà specificare inoltre se la fornitura di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata fornitura di tali dati.
Nel caso di cui all’art. 14 del Reg. (dati non ottenuti presso l’interessato), si dovrà comunicare la fonte dei dati e, eventualmente, se si tratta di fonte accessibile al pubblico. Inoltre, in tale ipotesi il termine per fornire l’informativa all’interessato deve essere un termine ragionevole e, comunque, non superiore a un mese decorrente dalla raccolta. Se i dati sono destinati alla comunicazione con l’interessato o alla comunicazione a terzi, l’informativa deve essere resa al momento della comunicazione e non più, come invece prevede il Codice, della registrazione dei dati.
Fonte: Regolamento Europeo Privacy (GDPR)