Tra le novità introdotte dal Regolamento (UE) 2016/679 concernente la tutela delle persone fisiche con riguardo al trattamento dei dati personali e la libera circolazione di tali dati, si ritrova l’introduzione di un obbligo rafforzato di informativa all’interessato rispetto alle previsioni dell’art. 13 del D. Lgs. 196/2003 Codice in materia di protezione dei dati personali. In forza del Regolamento, il Titolare del trattamento dovrà quindi fornire all’interessato una serie nutrita di informazioni, ben più numerose rispetto a quanto previsto oggi dal c.d.  Codice Privacy.

IL FATTO:

Il Regolamento (UE) 2016/679 ha introdotto una serie di novità alla disciplina in materia di protezione dei dati personali prevista dal D. Lgs. 196/2003.

Tra queste, si segnala l’obbligo rafforzato di informativa all’interessato in forza del quale il Titolare del trattamento dovrà fornire all’interessato un maggior numero di informazioni rispetto a quelle prescritte dall’art. 13 del Codice Privacy.

In forza dell’art. 12 del Regolamento, la nuova informativa dovrà essere fornita gratuitamente in forma concisa, trasparente, intelligibile e facilmente accessibile, espressa con un linguaggio semplice e chiaro (in particolare se destinata a minori), per iscritto (o con altri mezzi anche elettronici). Potrà essere fornita oralmente, ove richiesto dall’interessato, purché sia comprovata con altri mezzi l’identità dell’interessato.

Le informazioni da rendere agli interessati possono essere fornite anche in combinazione con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento previsto. Se presentate elettronicamente, le icone devono essere leggibili da qualsiasi dispositivo.

In forza dell’art. 13 del Regolamento, ove i dati personali vengano raccolti direttamente presso l’interessato, dovranno essere fornite le seguenti informazioni:

1. identità e dati di contatto del Titolare e, ove presente, del suo rappresentante;
2. dati di contatto del Data Protection Office, ove presente;
3. finalità e base giuridica del trattamento;
4. legittimi interessi perseguiti dal Titolare o da terzi per cui è effettuato il trattamento;
5. eventuali destinatari o categorie di destinatari dei dati personali;
6. intenzione del Titolare di trasferire dati personali a un Paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di adeguate garanzie di sicurezza;
7. periodo di conservazione o criteri utilizzati per determinare tale periodo;
8. diritto dell’interessato di chiedere al Titolare l’accesso, la rettifica, la cancellazione dei dati, la limitazione del trattamento che lo riguarda; diritto di opporsi al trattamento e diritto alla portabilità dei dati;
9. diritto dell’interessato di revocare il consenso in qualsiasi momento;
10. diritto di proporre reclamo all’Autorità di controllo;
11. se la comunicazione di dati è un obbligo legale o contrattuale o un requisito necessario per la conclusione di un contratto e se l’interessato ha l’obbligo di fornire i dati nonché le conseguenze di eventuale mancata comunicazione dei dati
12. esistenza di un processo decisionale automatizzato, compresa la profilazione, e informazioni significative sulla logica utilizzata nonché l’importanza e le conseguenze di tale trattamento per l’interessato.

Prima di trattare i dati per una finalità diversa da quelle per cui sono stati raccolti, il Titolare dovrà informare l’interessato in conformità all’effettivo trattamento.

Qualora i dati personali non vengano raccolti presso l’interessato, bensì tramite una diversa fonte, otre alle informazioni di cui all’art. 13 del Regolamento, il Titolare dovrà informare l’interessato in merito a:

1. le categorie di dati personali trattati;
2. la fonte da cui hanno origine i dati personali e l’eventualità che i dati provengano da fonti accessibili al pubblico.

L’informativa deve essere fornita al più tardi entro un mese dall’ottenimento dei dati o al più tardi al momento della prima comunicazione all’interessato, nel caso di dati destinati alla comunicazione con l’interessato.

L’informativa non va fornita se:

1. l’interessato dispone già delle informazioni;
2. comunicare tali informazioni sia impossibile o implicherebbe uno sforzo sproporzionato;
3. l’ottenimento o la comunicazione dei dati sono espressamente previsti dal diritto UE o dello Stato membro cui è soggetto il Titolare e che preveda tutele appropriate per gli interessi legittimi dell’interessato;
4. qualora i dati debbano rimanere riservati per un obbligo di segreto professionale o di segretezza previsto per legge.

PERCHE’ E’ IMPORTANTE:

Il rispetto degli obblighi imposti dal Regolamento in tema di informativa all’interessato è importante perché  l’eventuale violazione è punibile con sanzione amministrativa fino ai 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore. Dette sanzioni  pecuniarie possono essere inflitte in aggiunta alle sanzioni di cui all’art. 58, lett. da a) a h) e j) del Regolamento (avvertimenti, ammonimenti, ingiunzioni, limitazioni ai trattamenti, ordine di cancellazione, rettifica o limitazioni del trattamento, revoca della certificazione o ingiunzione all’Organismo certificatore di ritirare o non emettere la certificazione, ordine di sospensione dei flussi di dati verso un destinatario) o in luogo di tali misure, tenendo in considerazione diversi elementi.

E’ pertanto importante che i Titolari del trattamento si attivino per tempo, entro il 25 maggio 2018, al fine di procedere ad un corretto ed efficace aggiornamento della modulistica utilizzata a livello aziendale, nonché degli eventuali processi di conferimento dell’informativa (oltre, ovviamente, all’attuazione degli ulteriori adempimenti richiesti dal Regolamento).