dati personali

Privacy, come costruire un’informativa a prova di sanzioni: i casi pratici

Home Sicurezza digitale Privacy
Indirizzo copiato

L’informativa privacy è spesso sottovalutata nelle pratiche di identificazione e attribuzione delle finalità, così come nella reale applicazione delle disposizioni prefissate. Casi pratici per un’informativa al riparo dalle sanzioni

Pubblicato il 28 nov 2024
informativa privacy (1)

L’informativa sulla privacy è un elemento ormai onnipresente nella vita degli utenti. Ogni volta che si accede a un sito web, si utilizza un’applicazione o si interagisce con piattaforme online, ci viene richiesto di prendere visione di tale adempimento cogente per meglio comprendere il trattamento dei nostri dati personali.

Stesura informativa privacy: regole, contenuti e modalità

Questo documento, che dovrebbe garantire trasparenza e tutela, si è però trasformato in una formalità percepita come parte integrante del processo di utilizzo di servizi, al punto da diventare spesso un’azione meccanica.

Informativa sulla privacy: l’importanza sottovalutata

La pervasività dell’informativa sulla privacy nella nostra quotidianità è evidente: con un clic, spesso automatico e inconsapevole, accettiamo o meglio diamo il consenso senza riflettere a condizioni imposte da piattaforme o aziende. La fretta di accedere a un servizio o la scarsa comprensione di termini legali complessi fa sì che molti utenti sottovalutino l’importanza di leggere e comprendere ciò che stanno accettando. Questo comportamento è amplificato dal fatto che le informative sono spesso lunghe, redatte in linguaggio tecnico e quindi difficili da digerire in pochi minuti. Di conseguenza, la scelta più semplice è quella di “proseguire” senza esaminare.

Tuttavia, dietro a questo frettoloso acconsentire si celano rischi concreti per la privacy e la protezione dei dati personali. Le informazioni condivise possono essere utilizzate per profilazioni, analisi di marketing o addirittura essere esposte a violazioni di sicurezza. Questo scenario ha spinto i legislatori a creare un asset regolatorio sempre più stringente e rigoroso, introducendo regole severe in termini sanzionatori per garantire che gli utenti siano informati in modo chiaro e trasparente, e che il loro consenso sia effettivamente consapevole. Allo stesso modo, molte altre normative globali hanno seguito la stessa direzione.

Il sistema regolatorio, infatti, cerca di contrastare questa leggerezza diffusa imponendo alle aziende l’obbligo di semplificare le informazioni, di garantire che il consenso sia libero e inequivocabile, e di fornire strumenti per la gestione dei propri dati in modo accessibile e trasparente.

Le Linee Guida EDPB sulla trasparenza e la gestione del consenso

Il documento di riferimento dell’EDPB sulle linee guida per la trasparenza e la gestione del consenso sono:

  • Linee guida 01/2022 sulla trasparenza che chiariscono le modalità con cui le informazioni devono essere fornite agli interessati ai sensi dell’art. 12 del GDPR, che include i principi di chiarezza, intelligibilità, e accessibilità per garantire che gli utenti comprendano come vengono trattati i loro dati personali.
  • Linee guida 05/2020 sul consenso ai sensi del Regolamento (UE) 2016/679 che chiariscono i requisiti relativi alla raccolta e gestione del consenso nell’ambito del GDPR. Questo documento specifica cosa significa ottenere un consenso libero, informato, specifico e inequivocabile, e fornisce indicazioni per una corretta gestione di tale consenso, in particolare nei contesti online.

Come costruire un’informativa privacy efficace e a riparo dalle sanzioni

Per costruire un’informativa privacy a riparo dalle sanzioni e al contempo efficace per gli utenti, è fondamentale partire dalla comprensione dei requisiti normativi e applicarli a casi pratici. In questo contesto, possiamo trarre lezioni da alcuni esempi reali, che dimostrano come la mancata conformità alle normative sulla protezione dei dati possa comportare sanzioni rilevanti.

Caso 1 – Linguaggio troppo complesso

Un’azienda farmaceutica ha redatto un’informativa privacy destinata ai partecipanti di uno studio clinico sulla sperimentazione di un farmaco, nella quale venivano descritte le finalità, le modalità di trattamento e i diritti dei soggetti interessati. Tuttavia, l’informativa presentava alcune criticità significative. Innanzitutto, il linguaggio utilizzato era troppo tecnico e giuridico, risultando poco comprensibile per i pazienti. Inoltre, le frasi erano lunghe e complesse, contenendo un numero elevato di concetti giuridici che non facilitavano la comprensione del testo. Infine, mancava chiarezza pratica nella spiegazione riguardante le modalità di raccolta dei dati, il che potrebbe creare confusione nei partecipanti riguardo a come e perché le loro informazioni personali vengono trattate.

Conseguenze:

  • Violazione dell’art 12 – Trasparenza delle informazioni – il quale richiede che le informazioni relative ai diritti degli interessati siano presentate in modo chiaro, conciso, facilmente comprensibile e facilmente accessibile.
  • Violazione dell’art 13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato, stabilisce che, al momento della raccolta dei dati personali, il titolare del trattamento deve fornire informazioni dettagliate riguardo alle finalità del trattamento, alle modalità e ai diritti degli interessati.
  • Violazione dell’art. 5 – Principio di liceità, correttezza e trasparenza, in cui è richiesto che il trattamento dei dati personali venga effettuato in modo lecito, corretto e trasparente

Mitigazione:

Semplificare il linguaggio, evitando tecnicismi e terminologia “legalese”, rendendo le informazioni più accessibili. In questo contesto potrebbe essere utile strutturare il documento in sezioni brevi e intuitive, o adottare un formato “domande e risposte”, che aiuti a chiarire i concetti essenziali, anche attraverso l’utilizzo di infografiche e icone.

Potrebbe essere utile in questo contesto creare un test pilota prima della sua somministrazione, con un target eterogeno di persone, così da “mettere alla prova” la comprensibilità delle informazioni contenute all’interno dell’informativa.

Caso 2 – Chiarezza sull’individuazione del titolare

Un’agenzia di recruiting facente parte di un gruppo imprenditoriale raccoglie i dati dei candidati attraverso la compilazione di un form online, accompagnato da un’informativa privacy. L’informativa riporta che i dati raccolti verranno trattati dalle società del gruppo in conformità alle normative vigenti

Conseguenze:

Il candidato non identifica chiaramente chi tratterà i propri dati e a chi eventualmente indirizzare l’esercizio del diritto di accesso, modifica, revoca, cancellazione.

  • Violazione art. 13 – Informazioni da fornire al momento della raccolta dei dati, che richiede che al momento della raccolta dei dati personali, il titolare del trattamento fornisca informazioni chiare e dettagliate, comprese le finalità del trattamento, i destinatari dei dati e il periodo di conservazione.
  • Violazione art. 6 – Liceità del trattamento, stabilisce che il trattamento dei dati personali deve avvenire sulla base di uno dei motivi legali previsti dal GDPR, come il consenso dell’interessato o l’esecuzione di un contratto.
  • Violazione art. 5 – Principio di liceità, correttezza e trasparenza, stabilisce che il trattamento dei dati sia effettuato in modo lecito, corretto e trasparente nei confronti degli interessati.

Mitigazione:

L’agenzia di recruiting deve rivedere l’intero documento, assicurandosi che tutte le società del gruppo siano nominate esplicitamente (riportando dati di contatto, indirizzo e numero di telefono) e che le loro funzioni nel trattamento dei dati siano chiaramente delineate. Tale chiarezza è essenziale nell’identificazione del titolare del trattamento e dell’eventuale esercizio dei diritti da parte del candidato.

Caso 3 – Informazioni incomplete diritti degli utenti

Un noto social network ha pubblicato un’informativa privacy in cui all’interno della sezione dedicata ai diritti degli utenti della piattaforma non sono specificate in modo chiaro e diretto le modalità di esercizio. In questa sezione si indica che i diritti degli utenti potranno essere esercitati attraverso la sezione gestione privacy del proprio account, senza descrivere né le tempistiche di risposta né il formato previsto per le richieste. Inoltre, non vengono fornite specifiche su eventuali limitazioni tecniche, ad esempio in relazione alla portabilità dei dati su formati interoperabili o all’elaborazione di dati non strutturati.

Conseguenze:

  • Violazione dell’art. 12 – Trasparenza delle informazioni, il quale richiede che le informazioni relative ai diritti degli interessati siano presentate in modo chiaro, conciso, facilmente comprensibile e facilmente accessibile.
  • Violazione dell’art. 15 – Diritto di accesso, stabilisce il diritto degli interessati di accedere ai propri dati personali e di ottenere informazioni su come questi dati vengono trattati
  • Violazione dell’art. 20 – Diritto alla portabilità dei dati, che garantisce agli interessati il diritto di ricevere i propri dati personali in un formato strutturato, comunemente utilizzato e leggibile da un dispositivo automatico, e di trasferirli a un altro titolare del trattamento
  • Violazione dell’art.5 – Principio di liceità, correttezza e trasparenza, il quale stabilisce che il trattamento dei dati personali deve essere effettuato in modo lecito, corretto e trasparente nei confronti dell’interessato

Mitigazione:

Per garantire la conformità, l’azienda deve fornire un’informativa esaustiva, indicando chiaramente i diritti degli utenti e le modalità pratiche per esercitarli. I dettagli di contatto del responsabile della protezione dei dati (DPO) devono essere esplicitati, insieme a istruzioni chiare su come gli utenti possono inviare richieste per la gestione dei propri dati personali.

Relativamente alla portabilità dei dati dovrebbero essere segnalate anche le tecniche utilizzate (XML, CSV,Json ecc) e i tempi di conservazione dei dati.

Caso 4 – Finalità

Un’agenzia turistica offre sul proprio website pacchetti turistici personalizzati attraverso la gestione delle prenotazioni di voli e hotel, nonché servizi aggiuntivi come noleggio auto e guide turistiche.

L’informativa privacy somministrata agli utenti prima dell’erogazione del servizio presenta diverse problematiche riguardanti la descrizione delle finalità del trattamento dei dati:

  • Finalità generiche e ambigue: termini come “migliorare i nostri servizi” o “finalità commerciali” sono troppo vaghi e violano il principio di specificità.
  • Finalità non distinte: le diverse finalità (prenotazioni, marketing, profilazione) vengono raggruppate senza richiedere consensi separati, violando l’obbligo di trasparenza e chiarezza.
  • Mancanza di basi giuridiche specifiche: non viene chiaramente indicato su quale base giuridica avviene ciascun trattamento (consenso, interesse legittimo, etc.).
  • Profilazione non trasparente: l’informativa non descrive adeguatamente la logica della profilazione né le sue conseguenze

Conseguenze:

  • Violazione dell’art. 5(1)(b) – Principio di finalità specifica, che determina che le finalità debbano essere determinate, esplicite e legittime.
  • Violazione dell’art. 6 – Base giuridica del trattamento, che prevede che sia chiaramente indicata la base giuridica per ogni finalità di trattamento.
  • Violazione dell’art. 7 – Condizioni per il consenso, che indica che il consenso debba essere specifico, chiaro e separato per attività diverse
  • Violazione dell’art. 12 – Trasparenza, che richiede inequivocabilità per scopi e modalità del trattamento.

Mitigazione:

L’azienda deve riformulare l’informativa in modo da specificare in maniera chiara e dettagliata ogni singola finalità per cui i dati verranno raccolti e trattati. È fondamentale che ciascuna finalità sia separatamente esplicitata, con indicazione chiara dei trattamenti associati e del loro impatto sugli utenti. La trasparenza sulle finalità è cruciale per garantire un consenso informato e per evitare l’uso improprio dei dati.

Deve chiarire le basi giuridiche e migliorare la trasparenza sulla profilazione, permettendo all’utente di opporsi facilmente. In questo scenario è necessario formare il personale, implementare controlli sui consensi e garantire meccanismi chiari per la gestione e la revoca degli stessi, oltre a opzioni per opporsi ai trattamenti di marketing o profilazione.

Caso 5 – Termini di conservazione

L’informativa privacy fornita ai clienti di una banca online non indica in modo preciso la durata della conservazione dei loro dati personali dopo la conclusione del rapporto contrattuale. Invece di specificare un periodo di tempo definito, utilizza una formulazione generica come “per il tempo necessario a perseguire le finalità previste”.

Conseguenze:

Il linguaggio vago non permette ai clienti di comprendere chiaramente quanto a lungo i loro dati saranno trattenuti, lasciandoli senza un’idea chiara di quando avverrà la cancellazione o l’anonimizzazione dei loro dati personali, come richiesto dai principi di trasparenza e limitazione della conservazione previsti dal GDPR.

  • Articolo 5(1)(e) – Limitazione della Conservazione, che stabilisce che i dati personali devono essere conservati per un periodo non superiore a quello necessario rispetto alle finalità per cui sono stati trattati.
  • Articolo 13(2)(a) – Informazioni da fornire all’interessato, che stabilisce che l’informativa privacy debba contenere informazioni chiare e comprensibili sulla durata della conservazione dei dati personali o, se non è possibile determinarne la durata, i criteri utilizzati per stabilirla

Mitigazione:

l’azienda deve definire chiaramente i periodi di conservazione dei dati, specificando differenti durate a seconda delle finalità per cui i dati vengono trattati. Ad esempio, dati per finalità di marketing potrebbero essere conservati per un periodo più breve rispetto a quelli relativi alla gestione contrattuale. È fondamentale che l’informativa includa dettagli su come i dati verranno eliminati o resi anonimi una volta scaduti i termini previsti.

Caso 6 – Consenso pre-flaggato

Una startup tech innovativa ha recentemente lanciato sul proprio sito una nuova app per consentire agli utenti di monitorare i propri dati cardiovascolari. Durante il processo di registrazione, al momento del download dell’app, il consenso al trattamento dei dati per finalità di marketing è di default impostato con un flag già attivo nella casella corrispondente.

Conseguenze:

Gli utenti sono costretti a deselezionare la casella se non desiderano ricevere comunicazioni promozionali. Sebbene questo approccio possa sembrare un modo per semplificare l’esperienza utente, esso viola i requisiti di libertà e specificità del consenso stabiliti dal GDPR, poiché non consente agli utenti di esprimere in modo chiaro e attivo la propria volontà riguardo al trattamento dei loro dati personali, rendendo il consenso non valido.

  • Articolo 6(1)(a) – Liceità del Trattamento, che richiede che l’interessato abbia fornito il proprio consenso in modo libero, specifico, informato e inequivocabile.
  • Articolo 7(1) – Condizioni per il Consenso, che richiede che il consenso sia esplicito, libero e inequivocabile.
  • Articolo 13(1)(c) – Informazioni da fornire all’interessato, che richiede di comunicare chiaramente agli utenti la natura del consenso
  • Articolo 5(1)(a) – Principio di Correttezza e Trasparenza, che richiede che i dati personali siano trattati in modo lecito, corretto e trasparente.
  • Articolo 7(2) – Prova del Consenso, che richiede che il titolare del trattamento sia in grado di dimostrare che l’interessato abbia fornito il consenso al trattamento dei dati personali, nelle modalità sopra citate.

Mitigazione:

L’azienda deve eliminare qualsiasi forma di consenso implicito, pre-flaggato o automatizzato. È necessario implementare meccanismi di opt-in, in cui l’utente possa selezionare inequivocabilmente l’opzione per acconsentire al trattamento dei propri dati. Inoltre, ogni finalità di trattamento (ad esempio, marketing o profilazione) deve essere configurata in modalità separata, assicurando che l’utente possa fornire un consenso granulare e consapevole per ciascuna operazione.

Conclusioni

La costruzione di un’informativa privacy conforme al GDPR richiede un approccio che coniughi trasparenza, accessibilità e chiarezza per l’utente. Come dimostrano i casi presentati, un’informativa carente o complessa non solo espone le aziende a sanzioni, ma compromette anche il rapporto fiduciario con i propri utenti. Se nella redazione di un’informativa privacy partissimo da due concetti base quali, diritto alla comprensione e libertà di scelta, trasformeremo quello che attualmente è un semplice ponte tra richiesta ed erogazione di un servizio in una vera e propria carta dei diritti e manifesto di intenti.

@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

D
Daniele De Angelis
Inveo group
Seguimi su

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Social
Analisi
Video
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Finanza sostenibile
BEI e E-Distribuzione: investimenti per la sostenibilità energetica
Professioni
Servono competenze adeguate per gestire al meglio i fondi europei
Master
Come formare nuove professionalità per governare e gestire al meglio i fondi europei?
Programmazione UE
Assunzioni per le politiche di coesione: prossimi passi e aspettative dal concorso nazionale. Il podcast “CapCoe. La coesione riparte dalle persone”
innovazione sociale
Rigenerazione urbana: il quartiere diventa un hub dell’innovazione. La best practice di San Giovanni a Teduccio
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • compliance

    DSA: cinque requisiti di trasparenza per una piattaforma di gioco online

    19 Lug 2024

    di Fabia Cairoli e Akkeroos Kremers

    Condividi

  • consigli utili

    Scuola e privacy: come gestire in sicurezza riunioni e lavoro a distanza

    21 Giu 2024

    di Lucia Gamalero e Paolo Martorana

    Condividi

Prossimo

DSA: cinque requisiti di trasparenza per una piattaforma di gioco online

Articolo 1 di 3