Il principio di trasparenza è un principio cardine in materia di trattamento dei dati personali; spesso, però, accade che, al momento della sua attuazione, non si riesca ad essere davvero trasparenti.
La complessità del linguaggio tecnico- giuridico (il c.d. “legalese”) sembra, essere il principale nemico della trasparenza; tuttavia, il legal design è pronto a darci una soluzione.
Tanto il Garante, quanto le norme del GDPR e le linee guida wp260 confermano questa ricostruzione.
Indice
Cos’è il principio di trasparenza?
L’art. 5 del Regolamento (UE) 2016/679 (GDPR) si apre disponendo che “I dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”.
Dunque, il principio di trasparenza è tra i presupposti fondamentali di ogni corretto trattamento di dati personali.
Il concetto di trasparenza non è definito nel Regolamento, ma è il considerando 39 ad illustrarne il significato e l’effetto nell’ambito del trattamento dei dati:
“Dovrebbero essere trasparenti per le persone fisiche le modalità con cui sono raccolti, utilizzati, consultati o altrimenti trattati dati personali che li riguardano nonché la misura in cui i dati personali sono o saranno trattati. Il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro. Tale principio riguarda, in particolare, l’informazione degli interessati sull’identità del titolare del trattamento e sulle finalità del trattamento e ulteriori informazioni per assicurare un trattamento corretto e trasparente con riguardo alle persone fisiche interessate e ai loro diritti di ottenere conferma e comunicazione di un trattamento di dati personali che li riguardano…”.
Il contenuto del principio è stato illustrato e analizzato dall’European Data Protection Board (EDPB) nelle Linee guida WP260 (20180413_article_29_wp_transparency_guidelines_7B894B16-B8B9-B044-ED400A6DBAA4FA60_51025 (1).pdf), dove si precisa che la trasparenza è un obbligo trasversale a norma del regolamento che si esplica in tre elementi centrali:
- la fornitura agli interessati d’informazioni relative al trattamento corretto;
- le modalità con le quali il titolare del trattamento comunica con gli interessati riguardo ai diritti di cui godono ai sensi del regolamento
- le modalità con le quali il titolare del trattamento agevola agli interessati l’esercizio dei diritti di cui godono.
Come si adempie al principio di trasparenza?
Il principio di trasparenza si concretizza in vari articoli del Regolamento, contenti gli specifici obblighi imposti ai titolari e ai responsabili del trattamento. In particolare, negli articoli 12-13-14 del Regolamento che disciplinano l’informativa privacy.
L’informativa, di fatto, è una comunicazione rivolta all’interessato che ha lo scopo di rendere edotto il cittadino, anche prima che diventi interessato (cioè prima che inizi il trattamento), sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento.
Di fatto l’informativa privacy è la “conditio sine qua non” di qualsivoglia trattamento dati.
Infatti, essa è condizione dell’obbligo del titolare del trattamento di assicurare la trasparenza e correttezza dei trattamenti fin dalla fase di progettazione dei trattamenti stessi, e di essere in grado di provarlo in qualunque momento (principio di accountability).
L’informativa, poi, ha anche lo scopo di permettere che l’interessato possa rendere un valido consenso, se richiesto come base giuridica del trattamento. In questo caso è anche una condizione di legittimità del trattamento.
Il concetto di trasparenza, quindi, ha una portata molto ampia e la sua applicazione pratica attraverso le informative condiziona qualsiasi trattamento di dati.
L’articolo 12 impone, infatti, impone standard qualitativi che richiedono che le informative siano:
- concise, trasparenti, intelligibili e facilmente accessibili;
- formulate con un linguaggio semplice e chiaro.
Per i minori, il titolare del trattamento dovrà prevedere informative idonee al contesto, dunque, il requisito di un linguaggio semplice e chiaro è di particolare importanza.
Una conseguenza di tali principi è che le informazioni relative alla privacy dovrebbero essere date separatamente rispetto ad altre informazioni non connesse al trattamento dei dati.
Non solo.
I titolari potrebbero avvalersi anche di strumenti di visualizzazione particolari (immagini o icone) e dovrebbero utilizzare espressioni in linea alla tipologia media di interessato a cui le stesse sono rivolte. Naturalmente l’informativa dovrà essere facilmente accessibile per lì interessati, che dovrebbero essere nelle condizioni di “trovarla” immediatamente e senza sforzi.
Sempre in tema delle modalità di fruizione dell’informativa, le Linee guida dell’EDPB hanno precisato che:
- devono essere fornite per iscritto “o con altri mezzi, anche, se del caso, con mezzi
- elettronici”;
- se richiesto dall’interessato, possono essere fornite oralmente.
Secondo l’EDPB, la forma di default deve essere quella scritta, ma per non “appesantire” eccessivamente le comunicazioni, i titolari possono avvalersi di informative multilivello (in forma abbreviata con rinvio immediato a quella estesa, ad esempio) od utilizzare strumenti elettronici come avvisi pop-up contestuali “just-in-time”, notifiche touch o hover-over e apposite dashboard.
Per quanto riguarda la comunicazione in forma orale, invece, è sempre opportuno che la stessa sia accompagnata anche da idoneo avviso per iscritto. Inoltre, in questo caso, è necessario che l’identità dell’interessato sia comprovata con altri mezzi.
Un altro tema oggetto spesso di dubbi tra i titolari del trattamento è quando adempiere all’obbligo di informativa. Sul punto, l’art. 12 stabilisce che la trasparenza si applica in varie fasi del ciclo del trattamento dei dati.
L’art. 14 precisa poi che, nel caso di dati personali non raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro un termine ragionevole che non può superare 1 mese dalla raccolta, oppure al momento della comunicazione (non della registrazione) dei dati (a terzi o all’interessato).
Quali sono i contenuti dell’informativa?
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13, paragrafo 1, e 14, paragrafo 1, del Regolamento.
Le differenze di contenuto tra l’ipotesi in cui i dati siano raccolti presso l’interessato (art. 13 GDPR) e quella in cui i dati sono raccolti presso terzi (art. 14 GDPR) sono minime, come emerge dalla seguente tabella:
Dunque, nell’informativa di cui all’art. 14 GDPR, da un lato, sono presenti due ulteriori contenuti, dall’altro, si omette l’informazione circa la natura obbligatoria o meno della comunicazione di dati personali, poiché nella fattispecie i dati non sono raccolti presso l’interessato.
I difetti delle informative e il legal design come correttivo
Eppure, quante volte ci siamo abbiamo davvero letto per intero un’informativa privacy? E perché non l’abbiamo fatto?
Perché sono spesso testi di difficile comprensione per coloro che non sono esperti. Tendono ad assumere la forma di un cosiddetto “wall of text” (muro di testo), pieno di tecnicismi e riferimenti normativi complessi, iper-descrittivi e privi di immagini esplicative.
E di fronte a tali testi che l’utente avverte inadeguatezza, mancanza di controllo e, alla fine, abbandona il proposito di leggere, ossia di dare un consenso consapevole.
È possibile un’alternativa? È possibile ricorrere a nuovi modi di presentare un documento legale, quale l’informativa privacy?
La risposta sembra darcela il legal design.
Il legal design è una disciplina, sviluppatasi negli ultimi dieci anni, che risponde alla necessità di rendere il mondo del diritto semplice, immediato, accessibile e comprensibile a tutti.
Tale obbiettivo di semplificazione del mondo del diritto viene raggiunto attraverso i seguenti strumenti.
- Approccio interdisciplinare
Il legal design, grazie alla multidisciplinarità e all’uso di determinati strumenti e tecniche, permette di progettare prodotti di contenuto giuridico che siano sia precisi sotto il profilo tecnico-giuridico e sia comprensibili, efficaci ed immediatamente fruibili sotto il profilo comunicativo.
- Comunicazione a misura del destinatario
Una visione antropocentrica in cui si privilegia il punto di vista del destinatario- fruitore, al fine di colmare il divario tra il diritto e i non addetti ai lavori
Prima di scrivere un documento o disegnare un processo, è necessario chiedersi chi utilizzerà quel contenuto, quali informazioni il destinatario possiede già e quali è in grado di comprendere e in quale contesto verrà utilizzato il contenuto.
I prodotti cui può dar vita il legal design sono vari: è possibile allegare ad un contratto un breve video di spiegazione dei punti più importanti o utilizzare delle immagini o dei grafici per rendere più comprensibili i concetti illustrati nell’atto in questione. Un caso particolarmente interessante è stata l’applicazione fatta proprio nell’ambito della protezione dei dati personali, con la creazione di un sito che produceva informative privacy sotto forma di fumetti (Questionario privacy (istitutoitalianoprivacy.it) ).
Non si deve però pensare che questa disciplina comporti una banalizzazione del diritto: la semplificazione comporterà una riduzione dei contenuti solo se tale riduzione consenta di raggiungere lo scopo. Insomma, un’immagine sarà accostata o inserita in sostituzione di un testo scritto solo se, nel caso concreto, la sua capacità espressiva si dimostrerà superiore a quella della parola.
Con il legal design si adempie l’obbligo di trasparenza
Non resta allora che chiedersi: il legal design può essere considerato uno strumento di implementazione del principio di trasparenza?
La risposta non può che essere positiva.
Basti ricordare che è proprio il comma 1 dell’art. 12 GDPR a stabilire che le informazioni relative al trattamento “devono essere fornite all’interessato in maniera concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro” … proprio perché destinate ad un utente non professionale.
Ancora è il medesimo articolo, al comma 7, a prevedere che la redazione delle informativa privacy possa avvenire per iscritto in combinazione con l’utilizzo di icone standardizzate (vedi anche considerando 60).
Al riguardo, si è in attesa che la Commissione europea intervenga al fine di uniformare le icone cosicché le stesse potranno essere utilizzate in forma identica e con significato univoco in tutto lo spazio europeo.
Il considerando 58, poi, prevede esplicitamente l’utilizzo di un linguaggio conciso, facilmente accessibile e comprensibile, semplice e chiaro e “se del caso, una visualizzazione”; si ponga anche mente al considerando n. 59, ove è chiarito che l’utilizzo di forme comunicative appropriate consente di agevolare l’esercizio dei diritti da parte dell’interessato.
Nelle linee guida WP260, infine, si raccomanda l’adozione della tecnica della stratificazione. Tale tecnica permette all’interessato di ottenere immediatamente una panoramica chiara delle informazioni sul trattamento dei dati e solo eventualmente e al bisogno, informazioni più dettagliate; l’approccio stratificato può essere agevolato proprio grazie all’utilizzo di icone standardizzate.
Sempre secondo le linee guida, per costruire un’informativa efficace, il linguaggio di questa deve caratterizzarsi per essere “comprensibile a un esponente medio del pubblico cui sono dirette.
L’EDPB favoriscono, poi, l’utilizzo di test di leggibilità, interazioni formali e informali con gruppi di settore, associazioni di consumatori ed enti normativi al fine di verificare la leggibilità e accessibilità delle soluzioni individuate, incentivando un vero e proprio percorso di dialogo e interazione.
D’altronde, una propensione favorevole del Garante all’utilizzo del legal design in ambito di informative privacy è stata evidente quando nel 2021 ha indetto un contest teso ad individuare soluzioni che – attraverso l’uso di icone, simboli o altre soluzioni grafiche – rendano le informative privacy più semplici, chiare e immediatamente comprensibili. “In poche parole, facciano in modo che siano davvero utili e adeguate allo scopo per il quale sono state pensate.” si legge nel sito del Garante (vedi nostro approfondimento: Trasparenza e informativa. L’approccio deve cambiare. ).
Vantaggi per le aziende
La necessità di trovare modi più diretti, più comunicativi per creare le informative privacy è, per noi, di nuovo occasione per ribadire l’importanza del rispetto del GDPR, in particolare di uno dei suoi perni, ossia il principio di trasparenza.
Il Legal Design diventa così strumento di compliance normativa, riducendo il rischio di sanzioni da parte delle autorità di controllo preposte per carenza di chiarezza e trasparenza.
Ma non solo. Il legal design è anche catalizzatore di fiducia: l’azienda che usa un contratto, un regolamento aziendale o un’informativa privacy visuale è percepita dai clienti come più trasparente e quindi come più degna di fiducia.
Un contratto, un regolamento aziendale o un’informativa progettata secondo i principi del legal design genera meno ambiguità tra le parti, quindi meno controversie fra loro.