Una delle novità più rilevanti del GDPR è l’art.5, primo paragrafo, che fa della trasparenza (transparency) un principio base di ogni trattamento legittimo insieme a quelli, già previsti nella Direttiva 95/46, di liceità e correttezza.
Cos’è l’obbligo di trasparenza e perché è importante
L’aggiunta di questo nuovo principio è molto importante. Infatti solo la trasparenza dei trattamenti fin dalla fase della loro progettazione può incrementare la fiducia dei cittadini nell’economia digitale e nei trattamenti che questa comporta (Considerando 7). Allo stesso tempo, è un dovere primario del titolare assicurare la trasparenza dei trattamenti fin dalla fase della loro progettazione e essere in grado di comprovarlo in qualunque momento (principio di accountability).
L’obbligo di trasparenza è dunque finalizzato a consentire a tutte le persone fisiche, anche prima di diventare “interessati”, la possibilità di conoscere i trattamenti dei dati personali che vengono progettati e sviluppati, anche con riferimento alle misure adeguate che devono essere adottate rispetto ai rischi che possono comportare per le loro libertà e diritti.
Trasparenza nel trattamento dati, che cambia col GDPR: l’alba di un nuovo valore sociale
Non a caso il Considerando 39, nell’approfondire il concetto di trasparenza di cui all’art.5, specifica che le informazioni e le comunicazioni relative al trattamento dei dati personali devono essere facilmente accessibili e comprensibili, anche grazie all’uso di un linguaggio semplice e chiaro.
La trasparenza diventa così un elemento essenziale del controllo sociale sui trattamenti di dati personali e il concetto di responsabilità del titolare si colora delle caratteristiche proprie dell’accountability, che implica non solo una responsabilità giuridica ma anche, e soprattutto, l’obbligo di essere affidabili e quindi meritevoli di fiducia.
Principio di trasparenza, diritti e modalità di esercitarli
Nel contesto del GDPR, però, il principio di trasparenza non riguarda solo i trattamenti dei dati personali, e non si pone solo a presidio del controllo sociale sulla tutela dei diritti e delle libertà delle persone fisiche.
Esso, infatti, è alla base anche di molteplici rapporti tra titolare e interessato, soprattutto quando i dati di quest’ultimo sono trattati non in virtù del suo consenso informato ma utilizzando una delle altre cinque basi di legittimità previste dall’art. 6, paragrafo primo.
Non a caso il Capo III, dedicato ai diritti degli interessati, si apre con la Sezione prima, intitolata “Trasparenza e modalità”. Pur composta del solo articolo 12, questa Sezione è posta ad apertura della parte dedicata ai diritti, proprio a sottolineare che è al rispetto del principio di trasparenza che devono uniformarsi sia le informative da dare agli interessati che le comunicazioni relative ai loro diritti e alle modalità per esercitarli.
Il Considerando 60 inoltre collega il principio di trasparenza col principio di correttezza (transparency e fairness). E’, infatti, nel rispetto di questi due principi che l’interessato deve essere informato dell’esistenza di un trattamento di dati che lo riguardano, specificando anche quali ne sono le finalità.
Inoltre l’interessato deve ricevere anche “eventuali ulteriori informazioni necessarie ad assicurare un trattamento corretto e trasparente, prendendo in considerazione i contesti specifici in cui i datti sono trattati” e deve essere informato dell’eventuale obbligo di fornire i dati e delle conseguenze di un eventuale rifiuto. Infine l’interessato deve essere informato dell’esistenza di una profilazione e delle sue conseguenze.
Le informazioni sui rischi connessi al trattamento dati
A questi elementi “basici” si aggiunge quanto previsto dal Considernado 39, in virtù del quale è opportuno che gli interessati siano informati anche dei rischi che i trattamenti possono comportare.
Si tratta di aspetti essenziali che devono caratterizzare sia le informazioni da dare in base agli articoli 13 e 14, che le comunicazioni relative ai diritti previsti negli articoli che vanno dal 15 al 22, e quelle relative alla perdita di dati quando ricorrano le condizioni di cui all’art. 34.
L’art. 12 ribadisce inoltre che si deve usare “una forma concisa, trasparente, intellegibile e facilmente accessibile, con linguaggio semplice e chiaro”, anche con una attenzione particolare quando i destinatari siano dei minori.
Principio di trasparenza e consenso, le regole da seguire
Questo specifico contesto del principio di trasparenza, tutto incentrato sul rapporto tra titolare e interessati, richiede di fissare alcuni punti fermi, anche facendo tesoro delle Guidelines on transparency under Regulation 2016/679, pubblicate dal WP29 in via definitiva l’11 aprile del 2018 e fatte proprie dall’EDPB nella sua prima seduta del 25 maggio 2018.
Un primo punto da tenere presente è che le regole da seguire nel dare agli interessati informazioni e comunicazioni ex art. 12, non si applicano direttamente ai trattamenti dei dati personali basati sul “consenso”. In questo senso è bene tener conto non solo delle Guidelinees on Transparency, appena citate, ma anche delle Guidelinees on consent under Regulation 2016/679, approvate in via definitiva dal WP29 il 10 aprile del 2018.
Le condizioni per un consenso legittimo
Infatti, nel caso in cui un trattamento si basi, per volontà del titolare o per obbligo di legge, sul consenso, si devono applicare le norme da art. 7 a art. 10, che costituiscono un apparato normativo a sé stante, con regole specifiche anche per quanto riguarda la informativa da dare (che resta assimilabile a una sorta di “clausola contrattuale”, proprio perché finalizzata al consenso informato).
Inoltre, quando si vuole ricorrere al consenso si deve applicare l’art. 4, paragrafo 1, n.11, secondo il quale esso presuppone una manifestazione di volontà data in modo libero, specifico, informato e inequivocabile.
Le ulteriori condizioni necessarie per un consenso legittimo sono specificate dall’art.7. In parte, specialmente con riferimento alle modalità della richiesta, esse sembrano coincidere con quelle previste dall’art. 12 rispetto alla trasparenza delle modalità relative a informative e comunicazioni. Si tratta però di una illusione ottica.
Quando il trattamento è basato sul consenso, o perché non sarebbe possibile fare altrimenti o per libera scelta del titolare, tutto il sistema regolatorio ne resta condizionato.
Di conseguenza l’informativa cambia ruolo: la sua completezza e comprensibilità diventa una condizione di legittimità del consenso, non del trattamento come tale. Per questo ad essa si applicano le norme dell’art.7, in parte coincidenti e in parte no con quelle degli artt. 13 e 14. Nella logica del consenso informato spetta al titolare assicurarsi che l’interessato abbia tutte le informazioni necessarie a tal fine. In questo quadro il contenuto degli artt. 13 e 14 diventa sostanzialmente una normativa parametro di quanto chi chiede il consenso deve assicurarsi che l’interessato sappia.
Il consenso ha dunque un suo specifico regime di regolazione, sia rispetto alla base giuridica e ai suoi effetti, sia rispetto al ruolo della informativa, rispetto alla quale prevale l’aspetto funzionale alla tradizionale manifestazione di volontà. Con la conseguenza che, anche se è comunque necessaria la informativa, che deve sempre essere data in forma intellegibile e chiara, essa non è un elemento finalizzato al controllo sui propri dati ma alla prestazione del consenso, sempre revocabile, al loro trattamento.
Su questi temi si tornerà in una successiva riflessione.
I trattamenti non fondati sul consenso
Qui ci occupiamo dei casi in cui i trattamenti, anche quando i dati siano raccolti presso gli interessati, non siano fondati sul consenso ma su una delle altre basi di legittimità elencate dall’art.6.
Sono tutti casi in cui la trasparenza sulle modalità di trattamento dei dati ha come scopo principale quello di assicurare il controllo dell’interessato sui propri dati.
In questo diverso contesto, che sconta l’assenza del consenso, tali modalità, così come specifica l’art. 12 primo comma, devono essere applicate in tre diversi ambiti del rapporto tra titolare e interessato.
I tre ambiti del rapporto tra titolare e interessato
- Un primo ambito riguarda l’obbligo del titolare di mettere al corrente l’interessato del fatto che sta trattando dati che lo riguardano.
- Un secondo è riferito alle comunicazioni relative ai diritti di cui l’interessato gode e le modalità con le quali può esercitarli.
- Un terzo settore, infine concerne le modalità con le quali il titolare intende valutare i casi e i modi con cui informare l’interessato di eventuali perdite di dati che lo riguardino e che, ai sensi dell’art.34, debbano essergli rese note.
L’art.12, peraltro, non si limita soltanto a prescrivere che le informazioni e le comunicazioni siano date in forma concisa, trasparente, facilmente accessibile e con linguaggio semplice e chiaro. Specifica anche tutta una serie di obblighi volti a irrobustire le conseguenze, anche giuridiche, dello scambio fra consenso e controllo. Meritano di essere sottolineati in particolare l’obbligo di agevolare l’esercizio dei diritti da parte dell’interessato fino a tutto l’elenco minuzioso dei paragrafi da 2 a 8, che va dai casi in cui il titolare non sia in grado di identificare l’interessato fino alla possibilità di fornire informazioni previste dagli art.13 e 14 anche a mezzo di icone standardizzate, utili a rendere facilmente “visibile, intelligibile e chiaramente leggibile, un quadro di insieme del trattamento previsto”.
Informative diverse in base all’origine dei dati
Molto significative sono anche le specificità delle informative previste dagli artt. 13 e 14, a seconda che i dati siano raccolti presso il titolare o, invece, non siano ottenuti presso di lui. Il fatto stesso che si individuino due tipologie diverse di informative a seconda della origine dei dati e soprattutto dei soggetti presso cui sono raccolti indica con tutta evidenza che si tratta di norme che hanno come mira essenzialmente consentire il controllo (e quindi anche l’esercizio dei diritti) rispetto a trattamenti di cui l’interessato può non essere al corrente prima di riceve la informativa stessa.
Da questo punto di vista è bene sottolineare anche che questo può accadere non solo quando i dati siano raccolti presso terzi ma anche quando sono raccolti presso l’interessato per adempiere a un contratto, o comunque utilizzando dati che lui stesso ha resi pubblici e dunque ha lui stesso forniti.
Giova anche evidenziare che l’interessato può non essere al corrente di tutti i trattamenti di dati che il titolare deve porre in essere nell’ambito di un contratto o di procedure precontrattuali.
Bisogna sempre ricordare, infatti, che altro è il contratto o anche l’attività precontrattuale, altro il consenso informato al trattamento di dati personali.
Si tratta di due aspetti del tutto distinti, che possono coincidere o meno.
Le comunicazioni relative ai diritti dell’interessato
Lo stesso ragionamento vale con riguardo alle comunicazioni relative ai diritti dell’interessato.
Non a caso l’art. 12 primo paragrafo distingue nettamente tra informative, relative ai trattamenti, e comunicazioni, riferite invece ai diritti dell’interessato e alle loro modalità di esercizio.
E’ evidente la preoccupazione di tener distinte concettualmente le notizie da fornire all’interessato al fine di consentirgli di poter controllare i trattamenti che lo riguardano, da quelle che devono essergli date per consentirgli, una volta informato, di esercitare i diritti previsti dalla Sezione seconda e terza del Capo III.
I diritti di opposizione, limitazione, cancellazione e portabilità
Tra l’altro, come è noto, il GDPR prevede diritti quali quello di opposizione, di limitazione dei trattamenti e di cancellazione dei dati ex art.17 molto innovativi rispetto alla Direttiva, sia nella formulazione che nel contenuto.
A questi si accompagnano anche il nuovo diritto alla portabilità dei dati dell’art.20, e quello relativo ai trattamenti interamente automatizzati con effetti decisionali dell’art. 22.
Sono tutti diritti che si collocano pienamente nella logica del controllo sui propri dati piuttosto che in quella, ormai superata, della visione proprietaria del dato.
La stessa portabilità dei dati e il diritto alla cancellazione che ora, nei casi previsti dall’art. 17, impone al titolare del trattamento non solo di provvedere a cancellare i dati da lui trattati o posseduti ma anche di comunicare la richiesta a coloro che possano essere venuti in possesso grazie alla diffusione da lui operata, confermano come il tessuto normativo del GDPR sia caratterizzato da un evidente scambio di ruolo tra controllo e consenso. Uno “scambio” che, di fatto, determina la centralità del primo rispetto alla specificità del secondo.
GDPR, come è stata usata l’informativa
Purtroppo, guardando la pioggia di nuove informative che in questi primi giorni di attuazione del GDPR ha colpito tutti noi, non si può che restare delusi.
In troppi casi il modo col quale è stata rinnovata l’informativa testimonia non la volontà di utilizzare fino in fondo la nuova normativa ma, al contrario, quella di proteggersi da essa. Una gran parte di informative, infatti, si sono in realtà trasformate in richieste di rinnovo di consenso informato, utilizzando così uno schema certamente legittimo ma del tutto “conservativo”.
Un atteggiamento insensato, anche perché si è del tutto trascurato il fatto che mentre il consenso può sempre essere revocato (e dunque il rinnovo è per definizione sempre provvisorio), l’informativa trasparente offre una robusta tutela verso tutti i trattamenti di dati che possono essere fondati su basi di legittimità diverse dal consenso.
Rinnovo dell’informativa, un’occasione sprecata?
Dunque una grande occasione sprecata, da un lato; una forma di violenza occulta nei confronti dei cittadini dall’altro. Invece di utilizzare tutte le basi di legittimità dei trattamenti consentite, ampliando i poteri di controllo degli interessati, si è preferito ripercorrere le vecchie vie del consenso generalizzato che, una volta dato, tutela assai meno l’interessato.
E’ possibile che questo sia stato fatto anche per paura che senza richiedere un nuovo consenso informato molte attività di profilazione, in atto o in progettazione, non sarebbero più state possibili.
Se così fosse, però, sarebbe ancora più vero che si è fatto del rinnovo dell’informativa un modo per aggirare il Regolamento. Non solo: dimostrerebbe anche quanto è difficile per molti comprendere la nuova logica del GDPR, profilazione compresa. Non è affatto vero che sia sempre necessario il consenso informato per ogni modalità di trattamento che comporti profilazione a fini di marketing. Così come non è vero che il consenso informato sia sufficiente a giustificare ogni tipo di profilazione e, soprattutto, ogni forma di Data analysis connessa all’utilizzazione dei Big data.
Anche su questo meriterà ritornare.