Obblighi informativi privacy alla luce del GDPR: riflessioni e nuove possibilità

Obblighi informativi privacy alla luce del GDPR: riflessioni e nuove possibilità

di Gianluca De Cristofaro, Francesco de Rugeriis, Marco Losito - Privacy e cybersecurity

Per me l’uomo colto è colui che sa dove andare a cercare l’informazione nell’unico momento della sua vita in cui gli serve”. Questa citazione di Umberto Eco descrive perfettamente l’età contemporanea e mostra l’importanza che, in essa, ha assunto l’informazione.

Le nuove tecnologie, infatti, permettendo la circolazione di una grandissima mole di dati hanno aumentato a tal punto la quantità di informazioni disponibili che risulta difficile comprendere quali siano quelle rilevanti o che è utile conoscere. Si è quindi creata una paradossale situazione nella quale l’eccesso di informazione è divenuto disinformazione e ha compromesso i diritti e la libertà di scelta degli individui.

Uno dei diritti che ha pagato il prezzo più alto di questa situazione è il diritto alla protezione dei dati personali.  Questi sono diventati un vero e proprio nuovo carburante per l’economia moderna, in quanto permettono di orientare le scelte di business delle imprese a seconda delle preferenze del singolo individuo o di cluster di individui. È per questo che in più casi gli operatori economici ne hanno fatto un utilizzo scorretto, aumentando il grado di disinformazione e di “falsa” percezione della realtà.

Per ovviare ai rischi connessi alla scarsa ed errata informazione, il legislatore, tanto nazionale quanto europeo, ha da sempre messo al centro del proprio operato il principio di trasparenza. Secondo detto principio, chi tratta dati personali deve mettere a disposizione tutte le informazioni necessarie a permettere di comprendere come avviene tale trattamento.

Ed è proprio sul concetto di “comprensione” da parte degli individui che la normativa a tutela dei dati personali ha oggi focalizzato la sua attenzione.

L’informativa che il titolare deve rendere ai sensi degli articoli 13 e 14 della “nuova” disciplina europea in materia di protezione dei dati personali – il Regolamento (UE) 2016/679 (“GDPR”) – ha assunto, oggi, un’importanza centrale.

L’Art. 12 e i considerando 39 e 58 del GDPR hanno, infatti, indicato l’obbligo di rendere le informazioni all’interessato in modo conciso, facilmente accessibile e di facile comprensione, usando un linguaggio semplice e chiaro; oltre che, se del caso, tramite visualizzazioni.

Il rafforzamento dell’obbligo di rendere comprensibile l’informativa ha così aperto la strada a nuove possibilità di comunicazione della stessa rispetto al passato.

Rispetto al precedente D. Lgs. 196/2006, il GDPR e, soprattutto, il principio chiave dell’“accountability” ivi stabilito, lasciano la più ampia autonomia nella determinazione di quali siano le modalità di comunicazione più funzionali a permettere che il messaggio arrivi in modo chiaro e comprensibile. Ciò implica la necessità di prestare attenzione alla lingua compresa dal destinatario dell’informativa, alla sua età, nonché al contesto ambientale nel quale l’informativa è resa.

L’unico onere che (forse) potrebbe comportare una limitazione delle modalità di comunicazione è quello di provare che i soggetti interessati siano stati portati a conoscenza dell’informativa. Difficoltà probatoria oggi superabile attraverso vari strumenti tecnologici quali, ad esempio, la possibilità di allegare in calce alle e-mail dei link rinvianti alle informative, oppure di estrarre report di log che dimostrano la presa visione dell’informativa da parte di utenti di siti web.

La neutralità delle forme di comunicazione dell’informativa ha inoltre permesso lo sviluppo di nuove (e, a volte, fantasiose) modalità comunicative. Di particolare rilevanza è l’utilizzo di icone come strumento volto a rendere più facile l’individuazione delle informazioni, così come – quando l’informativa è rivolta a soggetti minori di età – l’uso di sequenze animate, immagini e fumetti. Il GDPR, dunque, ha consentito il determinarsi di un vero e proprio privacy-oriented legal design.

Vi è di più, rispetto alla precedente normativa, sono stati inseriti nuovi obblighi che tengono conto non solo del progresso tecnologico, ma anche dell’emersione di nuovi diritti nel nuovo disposto normativo europeo. Si pensi all’obbligo di indicare l’assoggettamento dell’individuo a decisioni automatizzate, oppure a quello di portarlo a conoscenza dell’esistenza di uno dei nuovi diritti dell’era digitale: il diritto alla portabilità.

Una nuova sfida, insomma, per tutti coloro che utilizzano dati personali, i quali sono chiamati a trovare il modo di fornire informazioni sempre più complesse e dettagliate nel modo più semplice possibile. Il tutto con l’obiettivo ultimo di rendere l’individuo – e, in sostanza, il cittadino – pienamente consapevole dell’uso dei suoi dati personali.

Torna in cima