19 Aprile 2018

Le nuove regole privacy – II° parte

di Lucia Recchioni - Comitato Scientifico Master Breve 365
Scarica in PDF

Come noto, se i dati che lo riguardano sono raccolti presso l’interessato, il titolare del trattamento deve fornire allo stesso, nel momento in cui i dati personali sono ottenuti, specifiche informazioni (c.d. “obbligo di informativa”).

Più precisamente, l’articolo 13 Regolamento UE 2016/679 indica le seguenti informazioni da fornire:

  1. l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
  2. i dati di contatto del responsabile della protezione dei dati, ove applicabile;
  3. le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento. Si precisa che, ogni volta che le finalità cambiano, è necessario informarne l’interessato prima di procedere all’ulteriore trattamento;
  4. qualora il trattamento sia legittimato dal necessario perseguimento del legittimo interesse del titolare del trattamento o di terzi, i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
  5. gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
  6. ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione.

Come può notarsi, il Regolamento impone più ampie informazioni rispetto all’attuale codice privacy.

Ed infatti, come anche indicato nella recente guida del Garante privacy, il titolare deve sempre indicare i dati di contatto del Responsabile della protezione dei dati (ovviamente solo se previsto) nonché la base giuridica del trattamento.

Il Regolamento, inoltre, prevede alcune ulteriori informazioni, da fornire per garantire un trattamento corretto e trasparente:

  1. il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  2. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
  3. l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
  4. il diritto di proporre reclamo a un’autorità di controllo;
  5. se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
  6. l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Pertanto, è opportuno che “i titolari di trattamento verifichino la rispondenza delle informative attualmente utilizzate a tutti i criteri sopra delineati, con particolare riguardo ai contenuti obbligatori e alle modalità di redazione, in modo da apportare le modifiche o le integrazioni eventualmente necessarie ai sensi del regolamento” (Guida Garante privacy, febbraio 2018).

In considerazione del maggior numero di informazioni che dovranno essere fornite, si ritiene pertanto necessario adeguare sempre l’informativa già fornita ai clienti dello studio prima del 25 maggio 2018.

Allo stesso modo, si renderebbe opportuna una modifica, da parte dell’Agenzia delle entrate, dell’informativa privacy fornita nel modello Redditi2018.

Ai sensi dell’articolo 12 Regolamento UE n. 2016/679, tutte le richiamate informazioni devono essere fornite in forma scritta e in maniera coincisa, trasparente, e con un linguaggio semplice e chiaro.

Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.

Si ricorda, infine, che nel caso in cui i dati non siano stati raccolti presso l’interessato, le informazioni da fornire allo stesso sono diverse e più ampie, così come specificato dall’articolo 14 Regolamento UE n. 2016/679.

Per approfondire questioni attinenti all’articolo vi raccomandiamo il seguente corso:

 

Il nuovo regolamento europeo sulla privacy