Può sembrare strano ma, girovagando per il web, e non solo, troppo spesso succede di imbattersi in informative privacy palesemente in contrasto con le prescrizioni del GDPR.

È altrettanto vero che spesso l’informativa è concepita come un obbligo formale, un adempimento per lo più inutile, che nessuno, ma proprio nessuno andrà a leggere. 

Invece, se (e soltanto se!) le informative sono scritte rispettando lo spirito della norma, e con il reale intento di comunicare, possono diventare uno strumento di trasparenza al servizio dell’utente. 

La crescente sensibilità degli utenti verso la tutela dei propri dati personali, infatti, può trovare una garanzia importante nell’informativa, quando è di facile lettura e chiara nei contenuti. Diversamente, pubblicare informative complesse, lunghe ed eccessivamente articolate può essere un sintomo di scarsa trasparenza e poco interesse per la tutela dell’utente. 

 

Ma come deve essere fatta una buona informativa?

 

Lo stile 

Una buona informativa deve essere breve, deve usare un linguaggio al tempo stesso semplice e preciso. Può essere discorsiva o schematica (io la preferisco schematica), ma in ogni caso deve permettere a chi la legge di trovare facilmente ciò che cerca.  

Se lo stesso soggetto è sottoposto a più trattamenti di dati con distinte finalità, ogni trattamento deve avere la sua informativa, per evitare che l’utente si perda in un documento eccessivamente lungo, articolato, inutilmente complesso.  

 

I contenuti

I contenuti obbligatori dell’informativa sono indicati dalla legge: fonte dei dati, indicazione di titolare, contitolare, rappresentante e DPO, finalità, categorie di dati, basi giuridiche, tempi di conservazione, possibili destinatari, diritti dell’interessato, reclami, conseguenze della mancata comunicazione e/o consenso, trasferimento dei dati verso paesi terzi e relative garanzie, e così via. 

Tuttavia, non tutti i contenuti hanno la stessa importanza. Una buona informativa (soprattutto se più lunga del normale) deve porre enfasi sugli aspetti che possono maggiormente interessare il soggetto / utente, che di solito sono le finalità, i dati di contatto del titolarel’obbligatorietà o meno di conferire i dati, il diritto alla revoca del consenso e/o all’opposizione

 

La grafica

Una buona informativa deve avere una grafica gradevole, accattivante (quanti siti web vediamo con una presentazione del prodotto / servizio accuratamente studiata ed una privacy policy scialba, dall’aspetto burocratico o standardizzato?). La grafica deve aiutare a porre enfasi sui concetti di maggior interesse per il soggetto; anche la grafica veicola la trasparenza, la chiarezza e l’intelligibilità delle informazioni.  

 

La prova di consegna

Una domanda ricorrente che mi sento spesso fare dai clienti, come consulente privacy è; “devo far firmare l’informativa?”. Sgomberiamo subito il campo da un possibile equivoco: se all’informativa è associato un consenso (o, in altri termini, se il fondamento giuridico del trattamento è il consenso dell’interessato) la firma dell’interessato (o altra modalità equivalente, per esempio telematica) di manifestazione inequivocabile di una volontà espressa ed informata, è necessaria. 

In tutti gli altri casi, la legge prevede l’obbligo di informare (di solito, contestualmente alla raccolta dei dati) e non obbliga ad ottenere una qualche forma di accettazione attiva da parte dell’interessato. Si può porre, casomai, un tema di natura probatoria: come posso dimostrare, in presenza di una contestazione, di aver correttamente informato l’interessato? La norma non dà indicazioni, ma possiamo sostenere che fanno prova di avvenuta comunicazione:

  1. una informativa cartacea controfirmata
  2. una email inviata e salvata (o altro processo informatico di invio, ad esempio, da gestionale) contenente l’informativa
  3. l’affissione, in modo chiaro e visibile, del testo dell’informativa nel luogo fisico in cui l’interessato conferisce i dati (es. la reception di un hotel, la cassa di un locale pubblico, ecc.) 
  4. una registrazione vocale (es. di un contatto telefonico) nella quale le informazioni privacy sono verbalmente comunicate
  5. l’allegazione del testo di informativa ad un contratto firmato 
  6. un processo informatico (ad esempio, per la creazione di un account) all’interno del quale è inserito il testo dell’informativa 
  7. il richiamo del testo di informativa attraverso un link o un codice QR riportati in un altro documento (es. fattura, preventivo, contratto, e simili)
  8. …e non finisce qui!

La semplice pubblicazione nel sito web istituzionale del titolare del trattamento delle informative rilevanti può essere considerata prova di avvenuta comunicazione? In linea di massima no ma, in alcune circostanze particolari da valutare caso per caso, forse sì. 

 

La pubblicazione

È obbligatorio pubblicare le informative privacy di un’organizzazione nel sito web ufficiale dell’organizzazione stessa? No (1). 

È opportuno, consigliato, intelligente, trasparente, utile farlo? Assolutamente sì. 

Pubblicare tutte le informative privacy dell’organizzazione (tranne forse, quelle inerenti la gestione dei dati del personale interno) è un segno di trasparenza, aiuta gli interessati a conoscere i trattamenti di dati che li riguardano in qualsiasi momento e nella versione più aggiornata, previene un certo numero di accessi da parte degli interessati, oltre a rendere possibile il richiamo al testo dell’informativa da altri documenti (tramite link e/o codice QR). La pubblicazione, inoltre, può ridurre l’impatto di sanzioni per omessa comunicazione delle informazioni. Come ho già specificato, la semplice pubblicazione non vale in genere come adempimento dell’obbligo; tuttavia, ritengo che l’aver messo a disposizione l’informativa tramite pubblicazione possa ridurre sensibilmente un’eventuale sanzione per omessa comunicazione. 

Naturalmente, è essenziale che ogni informativa abbia la sua pagina web, perché l’utente possa trovare con immediatezza le informazioni che lo riguardano. Un’unica pagina denominata “Privacy Policy”, contenente le diverse informative, non è funzionale alla chiarezza ed alla trasparenza se costringe l’utente a dover scrollare fino a trovare il testo che lo riguarda. Consiglio, casomai, di creare una pagina “Privacy Policy” all’interno della quale riportare i link alle informative specifiche.  

 

(1)Ovviamente, è obbligatorio pubblicare nel sito web le informazioni relative ai dati raccolti tramite il sito stesso (es. moduli per la richiesta di informazioni, moduli per le candidature, ecc.) 

 

I “falsi amici”

Una buona informativa (permettetemi di esprimere un’opinione molto personale) non riporta frasi tipo “Abbiamo a cuore la tua privacy”. Troppo spesso, questi slogan introducono informative fumose, complesse e piene di informazioni generiche, il cui scopo sembra essere piuttosto scoraggiare l’utente dal riconoscere i trattamenti che lo riguardano. Un consiglio? Non prendiamo in giro l’utente: se vogliamo sfruttare i suoi dati per i nostri legittimi scopi di business, diciamoglielo chiaramente, se abbiamo davvero a cuore la sua privacy, dimostriamolo con i fatti, non a parole. 

 

Commenti

Le indicazioni sopra riportate derivano in parte dalle prescrizioni normative, in parte da mie considerazioni personali dettate dalla riflessione e dall’esperienza. 

Avete critiche, suggerimenti, proposte di correzioni, dubbi, perplessità? 

Scrivetemi a info@midaconsulenze.it