L’articolo 12 del Regolamento Europeo Privacy EU/2016/679 impone al titolare del trattamento di fornire all'interessato, mediante la predisposizione di una idonea informativa privacy, tutte le informazioni necessarie a fargli comprendere come saranno trattati i suoi dati personali.
Il titolare del trattamento deve fornire la informativa privacy all’interessato, per iscritto o con altri mezzi anche elettronici, quali la pubblicazione della informativa privacy sul sito web aziendale.
Solo qualora venga espressamente richiesto dall’interessato, il titolare del trattamento è esonerato dal rendere la informativa privacy per iscritto e può fornire la informativa privacy oralmente, previa verifica ed accertamento della reale identità dell’interessato.
Il contenuto della informativa privacy deve essere:
- conciso
- trasparente
- intelligibile
- facilmente accessibile
- semplice e chiaro
Il contenuto della informativa privacy può essere realizzato anche utilizzando icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d'insieme del trattamento previsto. In tal caso se la informativa privacy è in formato elettronico, le icone devono essere leggibili da dispositivo elettronico in modo automatico (es: QR Code).
Qualora i dati personali vengano raccolti presso l'interessato, l’articolo 13 del Regolamento Europeo Privacy impone al titolare del trattamento di fornire all'interessato, prima dell’inizio del trattamento, le seguenti informazioni tramite la informativa privacy:
- Estremi identificativi e di contatto del Titolare del Trattamento e del Rappresentante (ove designato)
- Dati di contatto del Privacy Officer (ove nominato)
- Finalità, motivazioni giuridiche e modalità del trattamento
- Legittimi interessi perseguiti dal titolare del trattamento o da terzi
- Destinatari o categorie di destinatari ai quali i dati personali possono essere comunicati
- Eventuale trasferimento dei dati personali a un paese terzo o a un'organizzazione internazionale con indicazione delle eventuali garanzie privacy
- Periodo di conservazione dei dati personali o criteri utilizzati per determinare tale periodo
- Esistenza dei diritti di accesso, rettifica, cancellazione, limitazione, opposizione e portabilità
- Esistenza del diritto di revocare il consenso in qualsiasi momento
- Diritto di poter proporre reclamo a un'autorità di controllo privacy
- Natura obbligatoria o facoltativa del conferimento
- Conseguenze di un eventuale rifiuto a rispondere
- Esistenza di attività di profilazione o di processi decisionali automatizzati, logica utilizzata e conseguenze per l'interessato
Se l’interessato dispone già di tutte le informazioni previste dal Regolamento Privacy, il titolare del trattamento non è tenuto a fornire la informativa privacy.
Nel caso in cui i dati non siano raccolti presso l’interessato, l’articolo 14 del Regolamento Europeo Privacy impone al titolare del trattamento di indicare nella informativa privacy anche la fonte da cui provengono i dati personali e di fornire la informativa privacy:
- entro un mese dalla raccolta dei dati personali
- alla prima comunicazione se i dati personali devono essere trasmessi all’interessato
- prima della comunicazione se i dati personali devono essere trasmessi ad un altro destinatario
In tal caso, il titolare del trattamento non è tenuto a fornire la informativa privacy se prova che tale adempimento:
- risulti impossibile o implichi uno sforzo sproporzionato
- rischi di rendere impossibile o di pregiudicare gravemente il conseguimento di finalità di interesse pubblico, ricerca scientifica, storica o statistica.
- sia espressamente escluso dal diritto dell'Unione Europea o da una normativa di uno Stato Membro
- sia escluso da una normativa Europea o di uno Stato Membro in materia di segreto professionale o segretezza.
La violazione dell’obbligo di fornire un’idonea informativa privacy è punita dal Regolamento Europeo Privacy con una sanzione amministrativa pecuniaria fino a € 20.000.000 o fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente dell’azienda se superiore.
Dr. Eric Falzone – Privacy Compliance Officer – Partner EUCS
Articoli Privacy EUCS – www.eucs.it
