GUARDA I NOSTRI CORSI GRATUITI >>> ISCRIVITI SENZA IMPEGNO

Come scrivere una informativa privacy e una richiesta di consenso

Come scrivere una informativa privacy e una richiesta di consenso

In questo articolo non verrà allegato un PDF d’esempio come modulo da modificare a proprio piacimento per risolvere il problema privacy perché, con questo articolo, si intende cercare di far comprendere quanto sia importante l’informativa e la richiesta di consenso per evitare problemi determinati da una cattiva interpretazione della privacy.

Principio generale privacy

È molto bene capire una cosa essenziale sulla privacy, la privacy non è riservatezza, sono due concetti e due materie completamente separate. La privacy interviene quando ci sono dei dati di qualcun altro che in qualche modo dobbiamo trattare ed abbiamo necessità o meno di: conservare, annotare, comunicare, inviare via email o semplicemente scrivere un post-it da conservare sulla scrivania, tutto questo sottostà al principio generale di privacy.

Quando i dati sono i nostri, ci riguardano personalmente e li vogliamo tenere lontano dall’utilizzo altrui, di qualsiasi natura, questo è proprio uno degli esempi in cui possiamo sicuramente parlare di sicurezza e riservatezza dei nostri dati.

Quando i dati non sono i nostri e li dobbiamo trattare diventiamo automaticamente Titolari del trattamento. Il proprietario dei dati non è il Titolare ma è l’interessato, cioè quel soggetto giuridico a cui i dati sono riferiti o riferibili.

Segnaliamo una piccola specifica sull’argomento “trattamento e dati”, che molte volte può non essere chiaro:

  • Se compilate un foglio bianco con annotazioni di una persona che è passata allo studio (anche se non è diventato un cliente) e lo lasciate nel cestino del portiere, è un trattamento.
  • Se mandate una email a un amico con i dati di un potenziale cliente per sapere un preventivo di massima, è un trattamento.
  • Se scrivete un post-it per far sapere al corriere di Amazon di consegnare i pacchi destinati ad un vostro amico a voi, è un trattamento.

La finalità

Chiariti i principi generali privacy e avendo definito i concetti fondamentali che sono titolare, interessato e trattamento dei dati, dobbiamo capire che l’informativa è quel mezzo che ci permette di far capire all’interessato, ma anche all’autorità di controllo, in che modo noi intendiamo trattare quei dati e, grazie al GDPR 679/2016, in che modo intendiamo garantirne la sicurezza.

In virtù di questo principio non è assolutamente sufficiente, come si vede spesso in giro, citare i codici e dire che “i suoi dati saranno trattati secondo le modalità previste dal GDPR e…”, in quanto non è il principio per il quale l’informativa è stata concepita.

L’informativa per il trattamento dei dati deve avere una struttura ben delineata nella quale anzitutto si identifica il titolare del trattamento, per esempio, un’azienda che intende raccogliere i dati perché servono alla gestione delle proprie mansioni lavorative. Qui ci fermiamo attentamente un attimo e introduciamo un altro concetto centrale della privacy: la finalità.

La finalità non è un principio fumoso omnicomprensivo, cioè quel calderone dove ci si mette un po’ di tutto perché a mettere tutto non si sbaglia. Il concetto o principio di finalità è il motivo centrale per il quale mi servono i dati di qualcuno perché, per esempio, con quei dati ho la necessità di compilare il modulo di iscrizione alla palestra.

Continuando sull’esempio appena espresso della palestra, pensiamo a quali altre necessità avrà la palestra nella gestione di questi dati: ci sarà sicuramente la necessità di inserimento dei dati in un gestionale che terrà conto dei versamenti dell’abbonamento o addirittura gli ingressi che l’interessato effettuerà. Anche questo è un principio di finalità valido che dovrà essere ben esplicitato all’interno dell’informativa perché sarà oggetto di consenso da parte degli iscrivendi.

Altri principi di finalità da non sottovalutare sono la conservazione (un esempio concreto è l’utilizzo di un gestionale nel quale saranno conservati i dati per un periodo di tempo che deve essere determinabile), ma anche la necessità di comunicare i dati per le funzionalità stesse del gestionale, sopratutto quando questo è gestito da un consulente o un’azienda esterna (responsabile esterno del trattamento che deve essere nominato specificatamente) che si occupa di informatica o, per esempio, per la comunicazioni contabili delle ricevute di iscrizione alla palestra che molte volte contengono il nome dell’interessato effettuate verso il proprio commercialista.

L’informativa

Il primo punto per sviluppare un’informativa è identificare con chiarezza chi è il Titolare e gli eventuali Responsabili interni e/o esterni.

Il passo successivo è identificare con chiarezza i possibili interessati, secondo le proprie attività, elencando e spiegando con esattezza quali sono le finalità di trattamento legate alle proprie necessità lavorative.

Fatto questo e descritti tutti quei punti che sono oggetto di finalità nell’informativa, sarà necessario anche delineare esattamente quali sistemi di sicurezza, o meglio, quali modalità di gestione in sicurezza dei dati si intende mettere in opera per la salvaguardia dei dati degli interessati in termini di furto, smarrimento, distruzione.

Modalità di gestione in sicurezza dei dati

Questo è un punto molto importante. Torniamo all’esempio della palestra: se un addetto della palestra che non è più in buoni rapporti con la palestra stessa decide che vuole aprire una propria attività e portare via dei clienti e, per contattare questi clienti, accede liberamente al database gestionale prendendo i dati che ritiene utili, questo è molto grave ma sopratutto è un’azione che identifica più responsabili:

  1. il soggetto che commette l’intromissione nel sistema gestionale per la raccolta non autorizzata dei dati;
  2. la palestra che non ha messo in opera tutti quegli accorgimenti di sicurezza a salvaguardia dei dati degli iscritti, tramite password di accesso dedicato per esempio, per impedire che un evento del genere potesse avvenire.

Questo contesto è gravemente punito dall’autorità Garante Privacy anche e soprattutto se la palestra in questione non comunica per tempo l’evento anche agli interessati: condizione straordinaria che il GDPR 679/2016 definisce data breach, oggetto di tempestiva comunicazione all’autorità anche in termini di conseguenze.

Cosa deve includere l’Informativa privacy

Quindi l’informativa deve includere:

  • chi è il Titolare,
  • chi sono gli eventuali Responsabili,
  • chi sono gli interessati,
  • quali sono le finalità per le quali si intende trattare i dati,
  • come verranno trattati i dati in termini di conservazione e comunicazione,
  • quali sistemi di sicurezza si intende mettere in opera per garantire la sicurezza dei dati in tutte le fasi di trattamento, in concludendo (ci sarebbe da parlare senza fine di questo ultimo punto), la procedura di avvenuta cancellazione/distruzione su richiesta da parte dell’interessato, ma sopratutto, che metodo di cancellazione/distruzione viene utilizzato per garantire la non accessibilità e ricostruzione dei dati (per questo punto si rimanda all’approfondimento della direttiva tedesca DIN 66399 assorbita dalla UE – Gazzetta ufficiale dell’Unione Europea L 311 62 anno – Legislazione – 2 dicembre 2019. GAZZETTA UFFICIALE – DELLA REPUBBLICA ITALIANA 2a SERIE SPECIALE – Unione Europea Anno 161° – Numero 8 – Giovedì, 30 gennaio 2020.)

Consenso

Con la speranza che si sia capito quanto il consenso sia un punto di arrivo importante e che non ci si possa erroneamente riferire a formule generali, tentiamo di arrivare ad un consenso che specifichi, secondo un principio di responsabilità (accountability artt. 23-25 GDPR 679/2016), le finalità che abbiamo definito.

Il consenso deve essere scritto in modo chiaro, comprensibile per chiunque, fuori dal corpo contrattuale (usando l’esempio della palestra deve essere una sottoscrizione separata dal contratto di iscrizione in palestra, meglio se un foglio a parte), diviso per finalità.

Ogni finalità deve essere ben esplicitata e accettata dall’interessato. Il codice dice che l’accettazione del consenso non dev’essere obbligatoriamente per iscritto, ma è evidente che per dimostrare l’avvenuto consenso è consigliabile un sistema certo a cui poter ricorrere nel caso di necessità.

Fate firmare i consensi! O, nel caso di moduli online, è buon uso tenere traccia dell’accettazione di ogni consenso per finalità.

In ultimo, per permettere all’interessato di approfondire il modo con il quale si tratteranno i dati, è buon uso inserire nella richiesta di consenso la dicitura di rimando all’informativa (meglio se allegata al consenso) per dar modo di leggere tutti i passaggi legati al trattamento e le garanzie legate alla sicurezza e cancellazione.