Molto si è detto rispetto alla necessità che le informative siano intellegibili.
Ma affinché lo diventino davvero, forse dovremmo smettere di preoccuparci di cosa direbbe il Garante Privacy nel leggerle e iniziare finalmente a pensare al modo migliore per farci capire dalle persone.
Strati, icone, metodi alternativi di rendere le informazioni…tutto vano, se l’obiettivo è evitare la censura dell’Autorità e non, invece, essere davvero chiari, concisi, trasparenti.
L’errore comune nelle iInformative
Siamo onesti, quando realizziamo una informativa, al posto della domanda “ma le persone a cui mi rivolgo capiranno davvero quello che scrivo?” ci preoccupiamo molto di più del quesito “se il Garante legge questa informativa, sarà soddisfatto?”.
Disclaimer: di seguito analizzerò solo e soltanto porzioni di informativa considerabili come “ben fatte” secondo lo standard medio. Passaggi che difficilmente comporterebbero sanzioni o censure e riconosciute come conformi ed inattaccabili sostanzialmente da tutti.
Esempi di informative: recruitment e selezione
Iniziamo con un estratto da una tipica informativa strutturata per i candidati in sede di recruitment e selezione:
“trattiamo i tuoi dati per selezionarti, sulla base dell’art. 6b del GDPR – trattamento necessario all’esecuzione di un contratto o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso. Conserveremo i tuoi dati per la durata della fase di selezione ed in seguito conserveremo i tuoi dati per ulteriori quattro anni per future selezioni sulla base del legittimo interesse del titolare ad avere un data base di cv da consultare (art. 6f del GDPR)”.
Una versione più intellegibile è possibile
Se scrivessimo davvero con l’intento di essere intellegibili, probabilmente scriveremmo qualcosa di molto meno formale, come ad esempio:
“Abbiamo bisogno delle tue informazioni personali per poterti selezionare e poi, se per te va bene, conserveremo il tuo curriculum e le altre informazioni raccolte nelle fasi di selezione per quattro anni in modo da poterti considerare per ulteriori posizioni”.
Cosa manca alla seconda versione, per essere conforme al GDPR? A mio parere, nulla.
Informative di navigazione: un esempio pratico
Altro esempio classico e inossidabile, estratto da informativa di navigazione.
“Il Titolare tratta i tuoi dati personali per garantire la funzionalità e la sicurezza del sito e quindi consentire la sua navigazione, raccogliendo i dati in forma anonima e aggregata. Il trattamento è effettuato per permettere la trasmissione di una comunicazione su una rete di comunicazione elettronica, o nella misura strettamente necessaria al fornitore di un servizio della società dell’informazione esplicitamente richiesto dal contraente o dall’utente a erogare tale servizio (Art. 122, comma 1 del Codice Privacy)”.
Se ve lo state chiedendo, la risposta è: sì, l’ho tratta direttamente dal sito web di Area Legale S.r.l. e si, penso che possiamo e dobbiamo migliorare anche noi, in casa nostra, sotto questo aspetto.
Una maggiore chiarezza è possibile
Proviamo a farlo e vediamo cosa esce:
“Se navighi sul nostro sito web, necessariamente dobbiamo raccogliere alcune informazioni che ci permettono di garantirne la funzionalità e la sicurezza. Queste informazioni, per il tramite del tuo indirizzo IP, sono in un primo momento riconducibili a te. Vengono però poi conservate in forma anonima e aggregata. Se vuoi informazioni maggiori rispetto a questo aspetto, scrivici pure e ti risponderemo”.
Eliminare i riferimenti normativi, si può fare
Come avrete capito, mi sto concentrando, in particolare, sull’omettere i riferimenti normativi all’interno delle parti dell’informativa in cui indichiamo finalità e base giuridica del trattamento.
Ma si può fare?
Quando l’art. 13 del GDPR ci impone di indicare la finalità e la base giuridica del trattamento, intende davvero dire che dobbiamo indicare l’articolo di legge che ci abilita al trattamento?
Io dico di no, quindi, secondo me, Sì. Si può fare eccome.
Non dimentichiamo, infatti, che l’art 13 va letto anche alla luce di tutte le altre previsioni del GDPR, in particolare l’art. 12, tutti i “considerando” che disciplinano la chiarezza delle informazioni da fornire, le linee guida European Data Protection Board.
Ma soprattutto: siamo davvero sicuri di interpretare bene quello che vuole il Garante Privacy?
In realtà non mi risultano pronunciamenti specifici.
Conclusioni
Quindi, in assenza di super poteri simili a quelli del protagonista del fantastico film “what women want” (mutatis mutandis), forse è lecito evitare di fare impazzire gli interessati per capire cosa gli stiamo dicendo sulla sola scorta di una ipotesi rispetto a cosa può essere ritenuto conforme e cosa no da parte dell’Autorità e dei suoi funzionari. Le nostre ipotesi, in effetti, ben potrebbero rivelarsi del tutto infondate
