Il Regolamento (UE) 679/2016, meglio noto come “GDPR”, pone le sue fondamenta su alcuni principi fondamentali, enunciati al relativo art. 5, il cui rispetto è di primaria importanza se si intende davvero voler tutelare gli interessati e, perché no, anche evitare sanzioni importanti, considerato che la violazione di detti principi è soggetta alla fascia di sanzioni amministrative pecuniarie più alta.
Tra i principi enunciati, vi è quello della trasparenza nei confronti degli interessati, troppo spesso, purtroppo, bistrattato, per esempio mettendo a disposizione informative privacy incomprensibili anche agli addetti ai lavori, o rispondendo in maniera inadeguata (o evitando proprio di rispondere) alle richieste di chiarimenti o di esercizio dei diritti da parte degli interessati.
Cosa significa essere trasparenti nei confronti degli interessati
Ai sensi dell’art. 5, par. 1, lett. a) del GDPR, “i dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”. Trasparenti dovrebbero essere le modalità con cui sono raccolti e più in generale trattati i dati personali. Trasparenti dovrebbero essere, in particolare, le finalità del trattamento.
Va da sé che uno dei principali strumenti per essere trasparenti consiste nel fornire all’interessato le informazioni relative al trattamento dei suoi dati personali. In altre parole, fornire quella che viene comunemente definita “informativa privacy”.
È bene sottolineare, però, che per essere davvero efficace e idonea a rispettare il principio di trasparenza, l’informativa deve presentare determinate caratteristiche, ed essere redatta e fornita abbandonando determinate condotte, purtroppo tutt’altro che rare, che alimentano una cattiva prassi che relega la realizzazione e la consegna dell’informativa a meri adempimenti noiosi e burocratici, privi di significato sostanziale.
L’informativa, infatti, deve essere fornita all’interessato in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, e deve essere redatta valutando le categorie di interessati a cui si rivolge, soprattutto se sono minori.
Tra le tecniche che si possono adottare per raggiungere tali obiettivi, se ne segnalano due in particolare:
→ l’utilizzo del cd layered approach, che consiste nel fornire un’informativa cd “a strati”: viene fornita all’interessato una breve informativa contenente alcune informazioni chiave (quali, ad esempio, l’identità del titolare del trattamento e le finalità del trattamento) e tipicamente dei link cliccando sui quali vengono espanse le varie sezioni a loro volta contenenti informazioni più dettagliate sul trattamento.
→ la previsione di icone standardizzate che, se fornite in combinazione con le informazioni di cui agli artt. 13 e 14 del GDPR, possono contribuire a dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d’insieme del trattamento. È lo stesso legislatore comunitario a suggerire espressamente – all’art. 12, par. 7 del GDPR – l’utilizzo di tale strumento, precisando allo stesso tempo la necessità che tali icone, se presentate elettronicamente, siano leggibili da dispositivo automatico.
Le recenti iniziative del Garante
Alla luce di quanto sopra, appare evidente che avere a disposizione un’informativa di 20 pagine, o scritta in caratteri minuscoli o con formule rituali prive di significato univoco, piuttosto che redatta solo in lingua italiana nonostante gli interessati a cui si rivolge sono quasi tutti residenti magari oltre alpi, o ancora, difficilmente visionabile dagli smartphone, per esempio per problematiche tecniche, etc, oltre a rappresentare una violazione del principio di trasparenza, potrebbe equivalere ad una mancata consegna dell’informativa da parte del titolare del trattamento e, in alcuni casi, alla illiceità del trattamento, con tutte le conseguenze che ciò comporterebbe.
Le situazioni sopra elencate sono tutt’altro che meramente teoriche, e pressoché ciascun utente ne ha avuto esperienza diretta, seppur in diversa misura. La stessa Autorità garante per la protezione dei dati personali (di seguito il “Garante”), denuncia come le informative utilizzate da aziende private, enti pubblici, professionisti, siti web, soprattutto social network, motori di ricerca e piattaforme tech sono molto spesso troppo lunghe, complesse e quindi non adeguate a rispondere alla loro funzione essenziale e allo scopo per il quale sono state pensate, e cioè quello di informare gli utenti sull’uso che verrà fatto dei loro dati personali e, di conseguenza, di metterli nella condizione di esprimere in maniera libera e consapevole l’eventuale consenso al trattamento, che si tratti di marketing, di profilazione commerciale o di comunicazione a terzi di determinate informazioni.
In un siffatto contesto, connotato talvolta da scarsa chiarezza e poco rispetto nei confronti degli interessati, si inseriscono due recentissime e preziose iniziative del Garante, e cioè:
● l’indizione di un contest teso a individuare soluzioni liberamente fruibili che – attraverso l’uso di icone, simboli o altre soluzioni grafiche – rendano le informative privacy più semplici, chiare e immediatamente comprensibili. Il contest ha ricevuto ampia partecipazione attiva, se ne attendono con entusiasmo i risultati.
● la conclusione di un protocollo di intesa con il Capitolo italiano di “Creative Commons” e l’instaurazione con detta organizzazione di un rapporto di collaborazione con l’obiettivo di “valutare la realizzabilità di un sistema […] che consenta ai titolari del trattamento di generare in maniera automatica un’informativa semplice e chiara e, per questa via, permettere alle persone di acquisire maggiore consapevolezza sul contenuto delle informative riguardanti il trattamento dei loro dati personali.”
L’auspicio è che i risultati di tali iniziative vengano sfruttati virtuosamente dai titolari del trattamento, e che la trasparenza nei confronti degli interessati sia sempre meno un principio solamente scritto su carta.