Clienti garantiti sull’uso dei loro dati
Quando si raccolgono le informazioni anche di dipendenti, collaboratori e fornitori il titolare del trattamento deve spiegare in modo chiaro quale utilizzo ne verrà fatto
Il regolamento europeo sulla privacy, diventato operativo il 25 maggio scorso, si apre con le norme sulla protezione e sulla circolazione dei dati personali delle persone fisiche. In quest’ottica appare, dunque, fondamentale che chi mette a disposizione i propri dati - il cosiddetto “interessato” - sia messo al corrente di come e perché quei dati saranno utilizzati. Gli sia, in altre parole, data l’informativa. Adempimento che in uno studio professionale si presenta, per esempio, quando si raccolgono i dati dei clienti o quelli di eventuali collaboratori o ancora dei dipendenti.
L’informativa
L’informativa da dare all’interessato ha perciò un ruolo centrale nell’applicazione del regolamento (altrimenti detto Gdpr). Il legislatore europeo precisa che essa deve essere data in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori di 14 anni. La prescrizione non lascia dubbi: il linguaggio dell’informativa non deve essere il cosiddetto “legalese” che spesso ritroviamo in atti e clausole contrattuali. E questo perché l’interessato deve avere davvero consapevolezza di ciò che verrà fatto con le informazioni che lo riguardano e che sia sempre in grado di averne un controllo ed eventualmente opporsi al loro trattamento.
Il consenso
Per comprendere quando è necessario ricevere il consenso dell’interessato all’uso dei propri dati personali, bisogna partire dalle condizioni di liceità del trattamento: un trattamento è lecito, infatti, se l’interessato ha espresso il proprio consenso, ma – prosegue la norma – lo è anche nei casi in cui esso non è dovuto in quanto il trattamento è necessario per l’esecuzione di un contratto, l’adempimento di un obbligo legale, la salvaguardia di interessi vitali, l’esecuzione di compiti di interesse pubblico, il perseguimento del legittimo interesse del titolare.
Sarà, pertanto, il titolare del trattamento a dover verificare, secondo la finalità che intende perseguire e di cui ha informato l’interessato, se è necessario acquisire il consenso, ovvero può farne a meno. Va da sé che un professionista, che tratta principalmente i dati per svolgere il mandato ricevuto dal cliente (interessato), difficilmente dovrà richiedere il consenso per le attività strettamente connesse alla propria professione. Qualora ci si trovasse invece in una situazione che necessita del consenso, esso va chiesto in modo semplice e chiaro e il titolare dovrà essere in grado di provare di averlo ottenuto.
Forma e contenuti
L’informativa può essere anche fornita oralmente, ma il titolare dovrà sempre essere in grado di dimostrare di averla rilasciata e dunque è preferibile che essa sia data per iscritto e che si abbia traccia della sua ricezione da parte dell’interessato. Deve contenere i dati identificativi del titolare, l’indicazione della finalità per cui si raccolgono e utilizzano i dati e della relativa base giuridica su cui fonda il trattamento, la specificazione del legittimo interesse, qualora il trattamento si fondi su tale assunto, i destinatari o le categorie di destinatari e l’eventuale flusso transfrontaliero dei dati, oltre cioè i confini dell’Ue.
Vanno inoltre indicati i tempi di conservazione dei dati o i criteri utilizzati per determinarli, la possibilità per l’interessato di accedere alle proprie informazioni e gli altri diritti di cui dispone. Se si tratta di un trattamento che ha richiesto il consenso, va indicato che esso può es- sere revocato e inoltre la possibilità dell’interessato di ricorrere innanzi il Garante. Nel caso in cui la fornitura dei dati dipenda da un obbligo legale o contrattuale, va indicato appunto che vi è l’obbligo di fornire i dati e quali sono le conseguenze in caso di rifiuto. Infine, va bene segnalata l’eventuale esistenza, all’interno del trattamento, di un processo decisionale automatizzato, come è nel caso, ad esempio, della cosiddetta profilazione.
Il consenso deve essere richiesto con un esplicito riferimento all’informativa e alla finalità per cui esso è necessario; deve essere libero e non condizionato e non vi devono essere clausole che ne limitino la revoca, che può essere esercitata in qualsiasi momento. Ciò cui tiene il legislatore è che l’interessato sia messo nelle condizioni di decidere liberamente, senza che vi sia una situazione di squilibrio tra lui e il titolare.