GDPR (S01 E02): I primi adempimenti documentali
Il consenso e l'informativa sono i due adempimenti "storici" per la Data Protection, e sono entrati anche nel GDPR.
Informativa e raccolta del consenso al "centro" del sistema
Tra i diversi, e multiformi, adempimenti previsti nelle righe del Regolamento UE 2016/679, assumono un ruolo centrale i processi di revisione delle informative e delle modalità di raccolta dei consensi, soprattutto se gran parte dell’attività del titolare del trattamento si svolge online.
Ovviamente, parlo di revisione perchè si presuppone che la realtà professionale o imprenditoriale che abbiamo in mente abbia provveduto, nei vent'anni precedenti, ad attuare correttamente almeno questi due adempimenti, che erano già previsti nella Legge n. 675 del 1996.
Li ho definiti, in questa Lezione, adempimenti documentali perchè sono spesso correlati a un processo certosino di revisione di documenti che, spesso, possono sfuggire all'attenzione, soprattutto nelle realtà più complesse, tra le pagine di siti web molto articolati o nelle schermate di software e app (si pensi, ad esempio, al caso frequente nel quale una informativa venga auto-generata in risposta alla presentazione di una domanda/iscrizione da parte dell'utente, e diventi visibile solo in quel momento).
A nostro modesto ma fermo avviso, sono adempimenti che devono essere impostati, verificati e revisionati da giuristi, ovviamente collaborando, prima, con chiunque possa essere utile per rendere l'informativa la più precisa e focalizzata possibile (ad esempio: il responsabile di un ufficio).
Molto spesso le informative e i moduli di consenso sono creati, e offerti, da società informatiche o di hosting/creazione di siti web; in realtà, è indispensabile che questi documenti siano creati da un legale al fine di valutare nel dettaglio, e con competenza specifica, le conformità al dettato di legge e, soprattutto, alla sua possibile interpretazione. Sono, infatti, tantissime le sanzioni ancora comminate per la presenza di una informativa omessa o inidonea.
Diffidare di tutte le informative che non siano create, riviste o, almeno, validate da un giurista. Sono, infatti, documenti che hanno un aspetto centrale di obbligatorietà legale di determinati contenuti.
L’informativa e il consenso, dicevo poco sopra, sono adempimenti "antichissimi", che erano già previsti nelle prime normative sulla data protection del Secolo scorso, e hanno funzioni molto chiare e fondamentali.
L’informativa ha, appunto, il compito di “informare” il soggetto, prima della raccolta dei suoi dati, su che fine faranno quelle informazioni (come saranno trattate, per quali scopi, con che impatto sulla sua privacy, con che tempi e limiti) e sui diritti che il soggetto potrà esercitare nei confronti di coloro che trattano quelle informazioni. In altre parole, l'informativa dovrebbe descrivere, in maniera la più trasparente possibile, "vita, morte e miracoli" dei dati dell'interessato.
Nella pratica, l’informativa prende la forma di un "foglio" che è consegnato prima di trattare i dati, o di una pagina web, di un modulo cartaceo, di un banner, di un documento affisso in una sala d’aspetto o di una registrazione vocale.
Di solito la legge non richiede una forma specifica ma guarda, per così dire, più al risultato: l’informativa deve rendere edotto il soggetto di tutte le operazioni che saranno svolte con i suoi dati e di chi siano i suoi contatti nei confronti dei quali esercitare i suoi diritti. Particolarmente efficaci possono essere informative grafiche, o a fumetti, o disegnate, o animate. L'importante è che raggiungano l'obbiettivo di fornire trasparenza.
L'informativa deve portare, nei confronti dell'interessato, TRASPARENZA con riferimento a tutte le modalità di trattamento dei suoi dati.
Il consenso è, invece, una manifestazione di volontà che è richiesta prima di procedere con particolari trattamenti (soprattutto quando si è in presenza di quei dati cosiddetti “sensibili/particolari”, ossia legati alla salute, alle abitudini sessuali, alla origine razziale o etnica o alle opinioni di una persona, o quando si è nell’ambito del trattamento dei dati a fini di invio di materiale promozionale o pubblicitario o, ad esempio, per finalità elettorali).
Al contrario dell'informativa, il consenso in molti casi NON è richiesto, ma ciò non toglie che, nel momento in cui viene domandato, debba rispettare determinati requisiti.
Il consenso non è sempre obbligatorio che sia reso in forma scritta, con la classica firma apposta proprio sotto l’informativa. Il timore del Regolamento, evidente, è che ben presto tutti i consensi saranno raccolti online, sul web, diminuendo le garanzie rispetto a un soggetto consapevole che appone una firma “fisica” su un modulo.
I contenuti dell'informativa
Innanzitutto, ai sensi dell’Articolo 13 del GDPR, in caso di raccolta presso l’interessato dei dati che lo riguardano, il titolare del trattamento deve fornirgli una serie di informazioni, che vengono a costituire, appunto, l’informativa.
Un simile elenco di informazioni da fornire deve contenere, in particolare, l’identità e i dati di contatto del titolare del trattamento (ossia del soggetto che tratta i dati, al fine di conoscere le persone cui ci si può rivolgere per eventuali problemi), i dati di contatto del Responsabile della Protezione dei Dati (il “famoso” Data Protection Officer, una sorta di “presidio” per la verifica della conformità al Regolamento all’interno di una realtà che tratta i dati), le finalità e la base giuridica del trattamento (ossia il motivo per cui i dati sono trattati e le norme, o il contratto, o l'obbligo di legge, o il legittimo interesse, o il consenso che ne consentano, appunto, il trattamento), i legittimi interessi perseguiti dal titolare o da terzi (nel caso il dato sia trattato, ad esempio, senza il consenso dell’interessato e si sia scelto il legittimo interesse come base giuridica), gli eventuali destinatari dei dati personali (ossia in che direzioni il dato “viaggerà”, che tragitti prenderà durante il suo trattamento, a chi sarà trasferito o perverrà, anche elettronicamente) e l’eventuale intenzione del titolare del trattamento di trasferire i dati a un Paese terzo o a un’organizzazione internazionale (qui vi è il timore, molto evidente, che il dato “esca” dall’Unione Europea e pervenga a realtà che non lo tratterebbero con lo stesso livello di sicurezza e di protezione).
Il Paragrafo 2 dello stesso Articolo prosegue, poi, prevedendo informazioni aggiuntive da fornire nel momento in cui i dati personali sono ottenuti. Queste sono informazioni, si vedrà, proprio pensate in un'ottica di sempre maggiore trasparenza.
In particolare, tali informazioni dovrebbero includere il periodo di conservazione dei dati personali o, in alternativa, i criteri utilizzati per determinare tale periodo (nel caso un titolare non possa prevedere esattamente la data di “morte” del dato), l’esistenza del diritto dell’interessato di chiedere l’accesso ai dati personali e la rettifica, la cancellazione o la limitazione degli stessi, nonché il diritto alla portabilità dei dati, il diritto di proporre reclamo a un’autorità di controllo (ossia il Garante del Paese di riferimento), l’indicazione se l’interessato ha l’obbligo di fornire i dati personali, nonché le possibili conseguenze della mancata comunicazione di tali dati, e l’esistenza di un processo decisionale automatizzato (in altre parole: se i dati della persona vengono trattati da software e algoritmi senza l’intervento dell’essere umano ma generano, comunque, conseguenze giuridiche, ad esempio il rifiuto di concedere un mutuo o un prestito).
I due elenchi che abbiamo visto poco sopra possono essere visti come dei "blocchetti informativi" che sono TUTTI indispensabili e che, ovviamente, potranno variare (anche in lunghezza e complessità) a seconda del trattamento cui ci si riferisce.
In sostanza, quindi, i principi alla base di un trattamento corretto e trasparente implicano che l’interessato debba essere informato dell’esistenza del trattamento e delle sue finalità.
Il titolare del trattamento, inoltre, dovrebbe fornire eventuali, ulteriori informazioni tenendo conto delle circostanze e del contesto specifici in cui i dati personali sono trattati.
Come evidenziato nel Considerando n. 60, l’interessato dovrebbe, ad esempio, essere informato dell’esistenza di una profilazione e delle conseguenze della stessa. Per “profilazione” s’intende, genericamente, un’attività automatizzata che sia in grado di ricostruire gusti, preferenze, performance lavorative e abitudini di un individuo.
Tutte le informazioni che abbiamo elencato poco sopra potrebbero essere fornite in combinazione con icone standardizzate, per dare in maniera facilmente comprensibile un quadro d’insieme del trattamento previsto.
Il Regolamento sembra, infatti, suggerire l’uso di tecniche semplici e “pop” (animazioni, fumetti, infografiche, schemi e disegni) affinché le informazioni sul trattamento arrivino agli utenti, anche a quelli inesperti o che non conoscono la normativa sulla data protection, nel modo più chiaro possibile.
Può essere una buona idea rendere le informative in formato grafico, semplificandole e rendendole comprensibili anche al cittadino non esperto di queste tematiche.
L’interessato, dal canto suo, dovrebbe ricevere queste informazioni nel momento in cui si verifica la raccolta dei dati personali che lo riguardano o, se i dati sono ottenuti da altra fonte, entro un termine ragionevole (Considerando n. 61).
Se i dati personali possono essere legittimamente comunicati a un altro destinatario, l’interessato dovrebbe esserne informato nel momento in cui il destinatario riceve la prima comunicazione.
Ai sensi del Paragrafo 3 dell’Articolo 13, qualora il titolare del trattamento intendesse trattare i dati personali per una finalità diversa da quella per cui erano stati raccolti, prima di tale ulteriore trattamento dovrebbe fornire all’interessato informazioni relative a tale diversa finalità.
Viceversa, come disposto dall’Articolo 14 del GDPR, non è necessario imporre l’obbligo dell’informazione se l’interessato ne è già in possesso, se la registrazione o la comunicazione dei dati sono previste per legge, se i dati devono rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri o se informare l’interessato si rivela impossibile o, comunque, un compito tale da richiedere uno sforzo sproporzionato.
Quest’ultima eventualità potrebbe, ad esempio, verificarsi nei trattamenti eseguiti a fini di ricerca scientifica o storica, a fini statistici o di archiviazione nel pubblico interesse: in tali casi, infatti, è opportuno tener conto (come specificato nel Considerando n. 62) del numero di interessati, della vetustà dei dati e della presenza di eventuali garanzie adeguate.
Sono pochi, e ben specificati, i casi nei quali NON è necessario fornire a una persona l'informativa. Questo ci porta a considerare l'informativa non solo come il primo adempimento, ma anche come quello che è quasi sempre obbligatorio.
La libertà del consenso
Per quanto riguarda i trattamenti basati sul consenso dell’interessato, poi, secondo il disposto dell’Articolo 7 del GDPR, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha acconsentito.
Com’è noto, informativa e consenso sono due adempimenti ben distinti (la prima ci deve sempre essere, il secondo può mancare) ma, quando coesistono, sono legati a doppio filo. Tanto che si parla, molto spesso, di "consenso informato".
Il consenso deve sempre essere manifestato liberamente (l’interessato non deve mai essere condizionato nel momento in cui lo deve conferire) anche quando viene conferito online (e non attraverso la “tradizionale” firma), e deve essere il risultato di una chiara e assertiva manifestazione di volontà.
In particolare, nel contesto di una dichiarazione scritta che riguardi anche altre questioni contrattuali, dovrebbero esistere garanzie tali da assicurare che l’interessato sia consapevole di stare esprimendo un consenso: la relativa richiesta dovrà essere presentata in modo chiaramente distinguibile dalle altre parti del documento o della pagina web, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro, che non contenga clausole abusive. Le dichiarazioni in contrasto con il Regolamento non saranno, infatti, da considerarsi vincolanti.
Come precisato chiaramente nel Considerando n. 42, ai fini di un consenso informato, l’interessato dovrebbe essere posto a conoscenza almeno dell’identità del titolare del trattamento e delle finalità perseguite.
Il consenso, d’altro canto, non dovrebbe essere considerato liberamente espresso nel caso in cui l’interessato non sia in grado di operare una scelta autenticamente libera (si pensi a delle caselle di scelta su un sito web che siano pre-impostate, o al fatto che si costringa un utente a seguire obbligatoriamente una sorta di “percorso” obbligato nelle sue scelte) o si trovi nell’impossibilità di rifiutare o revocare il consenso senza subire un pregiudizio.
Il Considerando n. 43 precisa che il consenso si presume non liberamente espresso (e, quindi, non valido) se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato nel singolo caso, o se l’esecuzione di un contratto è subordinata al consenso, sebbene esso non sia necessario.
Il primo caso è quello in cui è domandato un solo consenso per operazioni sui dati che, in realtà, sono ben distinte tra loro.
Il secondo caso riguarda, invece, quei contratti dove viene chiesto un consenso obbligatorio per effettuare trattamenti che in realtà NON sono connessi alla esecuzione del contratto principale (si obbliga un utente ad “accettare” un trattamento finalizzato al marketing, ad esempio, “minacciandolo” di non fornirgli il servizio principale se non dovesse accettare).
Il consenso deve essere l'esito di una manifestazione di volontà completamente libera e, anche online, non deve essere in alcun modo condizionato od "orientato".
Un ultimo cenno merita, infine, la situazione dei minori, cui il GDPR riserva una particolare protezione: l’Articolo 8 prevede, infatti, che il trattamento di dati personali relativi a tali soggetti sia lecito qualora il minore abbia almeno 16 anni.
Nel caso in cui invece abbia un’età inferiore, il trattamento è lecito solo se il consenso è prestato o autorizzato dal titolare della responsabilità genitoriale.
Gli Stati membri possono anche stabilire un’età inferiore a tali fini, senza però scendere sotto alla soglia dei 13 anni. In ogni caso, il titolare del trattamento è tenuto ad adoperarsi in modo ragionevole per verificare la corretta prestazione o autorizzazione del consenso, tenuto conto delle tecnologie disponibili. In Italia, come già abbiamo anticipato nella nostra Prima Lezione, il nostro Legislatore ha scelto, nel 2018, il limite di 14 anni (ex D.Lgs. n. 101/2018).
Questi primi due adempimenti, l’informativa e il consenso, sono due autentiche pietre miliari nel sistema della protezione dei dati, perché mirano a funzioni fondamentali e ineludibili.
Nessuna persona può vedere i suoi dati trattati se, prima, non è informata nel dettaglio sul destino di quei dati. Il consenso, soprattutto quando conferito online, deve sempre essere una chiara, libera e inequivocabile manifestazione di volontà.
Nella pratica, accanto a una revisione delle informative per renderle più dettagliate e per aggiungere i "blocchetti informativi" che mancano, sarebbe opportuno pensare a modalità efficaci per raccogliere e custodire i consensi espressi online, che saranno sempre più comuni.
A mio avviso, i due punti più spinosi nel processo di raccolta del consenso sono: i) l'automatizzazione (che diventa indispensabile se, attraverso web o app, sono raccolti migliaia di consensi) e ii) il tracciamento di qualsiasi consenso e, soprattutto, delle revoche al consenso stesso (per evitare di inviare, ad esempio, informazioni pubblicitarie a soggetti che hanno revocato il consenso).
Tutti e due questi ultimi aspetti, cruciali, richiedono una strettissima collaborazione tra legali (che dovrebbero ben conoscere il quadro e gli obblighi normativi) e informatici (che sono in grado di mettere in pratica nel sistema informatico questi obblighi).
Per affrontare correttamente questi primi due essenziali adempimenti, è indispensabile una sinergia tra legali e informatici che risolva sia le premesse legali, sia i problemi pratici informatici e organizzativi.