Il legislatore ha voluto trasformare il concetto di informativa privacy che abbiamo avuto fino ad oggi: l’informativa deve essere accessibile e leggibile con facilità.
Non serve più usare un linguaggio tecnico che potrebbe risultare incomprensibile alla maggior parte della persone e soprattutto l’informativa deve essere breve cioè devo far capire in poche parole all’interessato come, dove per cosa e per quanto tempo tratterò i suoi dati, a chi li trasmetterò se mi darà il consenso e come può esercitare i suoi diritti.
Impresa non facile ma con un poco di attenzione possiamo riuscire.
Le 5 regole per scrivere l’informativa privacy
L’art. 12 del GDPR impone ai Titolari del trattamento di predisporre un’informativa:
- concisa: deve essere breve per facilitare la lettura, se non posso farla breve farne una “sintetica” (per far capire subito) e una “estesa” con maggiori informazioni;
- trasparente;
- intelligibile;
- facilmente accessibile;
- con linguaggio semplice e chiaro.
Gli elementi che non possono mancare:
Il Titolare del trattamento
Uno dei punti fondamentali dell’informativa privacy è la descrizione di chi raccoglie i dati (ad esempio: il titolare di uno studio di consulenza, l’amministratore delegato di una società, il titolare dell’azienda che ha una pagina online ecc.);
Luogo del trattamento
Dove avviene il trattamento dei dati forniti (solitamente la sede legale/operativa dell’azienda);
Trasferimento extra UE
Nell’informativa privacy è necessario specificare se i dati raccolti verranno trasmessi a paesi extra UE (è necessario in quanto tali paesi non aderiscono alla disciplina GDPR);
Tipologia dei dati raccolti e modalità del trattamento
Quali sono i dati che verranno trattati, se comuni, particolari o entrambi e con quali mezzi verranno trattati, se cartacei, elettronici o entrambi;
Finalità del trattamento
Qual’è lo scopo finale del trattamento (ad esempio: per fare la dichiarazione dei redditi devo fornire i dati al mio commercialista; in questo caso, la finalità è quella di avere un’assistenza fiscale);
La base giuridica del trattamento
In base a quale legge/atto è permesso trattare i dati forniti (ad esempio: per fare una polizza sanitaria devo fornire i dati al mio assicuratore; il questo caso la base giuridica sarà “Adempimento di obblighi contrattuali o misure precontrattuali”. L’assicuratore mi chiede se mi può inviare comunicazioni per nuove offerte e prodotti ed io sono d’accordo; in questo caso la base giuridica sarà il “Consenso”, ecc);
Le misure di protezione
Specificare quali misure vengono adottate nella propria azienda per proteggere i dati che confluiscono nella stessa (ad esempio: è prevista una politica di gestione delle password, il personale non autorizzato non può accedere ai dati, sono installati antivirus sui computer, gli archivi cartacei sono custoditi sotto chiave, ecc);
Categorie di destinatari
A chi verranno trasferiti i dati confluiti nell’azienda e per quale motivo (ad esempio: una società trasferisce i dati dei suoi dipendenti al consulente del lavoro per la gestione delle buste paga);
Diritti degli interessati
Si devono elencare i diritti che spettano all’interessato e cioè:
- Revoca del consenso;
- Opposizione al trattamento;
- Accesso ai dati;
- Verifica e rettifica dei dati;
- Limitazione del trattamento;
- Cancellazione;
- Portabilità dei dati;
- Reclamo.
Inoltre, nell’informativa privacy, si deve specificare come si possono esercitare tali diritti e dove poter proporre reclamo.