GDPR, cosa cambia con le nuove linee guida su trasparenza e responsabilizzazione
di Franco Pizzetti, Professore ordinario di Diritto Costituzionale – Facoltà di Giurisprudenza Università di Torino
Pubblicate le nuove linee guida su trasparenza dell’informativa e responsabilizzazione del titolare. Il documento innova molto e le sue raccomandazioni devono essere applicate al più presto. Dal 25 maggio 2018, infatti, i trattamenti basati su informative non conformi a queste regole non saranno più leciti.
Pubblicate due giorni fa le due nuove linee guida per l’applicazione del GDPR. Il Working Party 29 continua infaticabile col proprio lavoro e ha sfornato importanti novità: la prima riguarda il consenso e contiene le indicazioni relative alla corretta interpretazione dell’art.4, 11 del GDPR e agli elementi che devono essere tenuti presenti anche rispetto al consenso relativo ai minori, come regolato dall’art. 8 (WP29 n. 259); la seconda riguarda la trasparenza e le misure che il titolare deve adottare per fornire agli interessati le informazioni e le comunicazioni previste dal GDPR (WP29 n. 260).
Entrambe devono essere prese estremamente sul serio perché tutte e due richiamano il principio di responsabilizzazione del titolare contenuto nell’art. 5.2, secondo il quale egli deve dimostrare in qualunque momento di aver applicato i principi fondamentali relativi al trattamento, tra i quali, oltre a quelli di liceità e correttezza, ha un ruolo centrale il principio di trasparenza, disciplinato poi dall’art. 12.
Le Linee guida sulla trasparenza ricordano inoltre l’art. 24.1, che fa obbligo al titolare non solo di valutare il rischio del trattamento al fine di individuare le misure adeguate a tutelare i diritti e le libertà delle persone fisiche ma anche di poter dimostrare in qualunque momento che i trattamenti sono conformi al Regolamento, estendo così di fatto il principio di responsabilizzazione di cui all’art.5.2.
Il primo punto importante da sottolineare è dunque che il principio di trasparenza rafforza la centralità del titolare dei trattamenti il quale, esattamente come accade per la valutazione di rischio, risponde non solo della illiceità dei trattamenti ma anche dei suoi comportamenti rispetto alle attività preliminari.
Questo principio, chiarissimo nelle linee guida del WP29 sulla DPIA (WP n.248), è ora ribadito anche in quelle sulla trasparenza.
Il WP29 precisa che il rispetto dell’art. 12 (principio di trasparenza) deve essere garantito durante tutto il ciclo di vita del trattamento: prima che esso si avvii; durante tutto il periodo del suo svolgimento; ogni volta che si verifichino fatti nuovi mentre il trattamento è in corso, quali ad esempio data breaches o “material changes to the processing”.
Il secondo punto che deve essere tenuto nel massimo conto da tutti coloro che trattano dati personali, è che il principio di trasparenza incide: sulle modalità con le quali le informazioni devono essere fornite alle persone interessate; sul contenuto delle informazioni; sulla tempistica con cui devono essere fornite.
Su questi aspetti le linee guida contengono indicazioni e innovazioni molto importanti.
Si tratta di raccomandazioni che devono essere messe subito in atto. Infatti al punto 2 della parte introduttiva è ribadito a chiare lettere che prima del 25 maggio 2018 tutti i titolari sono tenuti a verificare che le informazioni già date, o che stanno dando,siano conformi al principio di trasparenza e alle conseguenze che ne derivano.
E’ così chiarito una volta di più, e senza ombra di dubbio, che quando il 25 maggio il nuovo Regolamento sarà pienamente applicabile, i titolari dovranno rispondere della conformità delle informative dateanche rispetto al principio di trasparenza. Non solo: la mancanza del loro adeguamento alle nuove regole renderà illeciti i trattamenti in atto, indipendentemente da quanto finora previsto dal Codice privacy italiano.
Per essere ancora più chiari: secondo la lettura, del tutto condivisibile, che il WP29 dà del GDPR, dal 25 maggio 2018 in poi i trattamenti saranno leciti, e il titolare sarà ingrado di dimostrare la loro conformità alle regole di protezione dei dati, solo se le informative date, o che si stanno per dare, saranno conformi al principio di trasparenza come interpretato in queste linee guida.
Il WP29 richiama su questo punto il considerando 171, secondo il quale anche il trattamento in corso alla data di applicazione del regolamento deve esser reso conforme alle nuove regole entro il 25 maggio 2018, compresi i consensi già dati, che potranno considerarsi validi solo se prestati in conformità al Regolamento.
Nel merito le linee guida contengono innovazioni molto rilevanti, radicate tutte nei principi contenuti nell’art. 12 del GDPR e nella lettura che ne consegue rispetto agli art. 13 e 14, sia con riguardo alle informative relative ai dati raccolti presso l’interessato e a quelle relative a dati raccolti presso terzi. Al fine del principio di trasparenza e responsabilizzazione il WP29 considera entrambi questi tipi di informativa esattamente sullo stesso piano. Una particolare attenzione inoltre è dedicata anche alle informative che riguardano i minori in base all’art. 8.
Le innovazioni sono così numerose e importanti che qui è possibile solo richiamare i più significativi effetti relati agli obblighi del titolare.
Il principio fondamentale che ispira tutto il documento è che il principio di trasparenza è nel GDPR “user-centric” e dunque va oltre gli aspetti puramente giuridico-formali degli art. 13 e 14. Si sottolinea inoltre che questo principio ha lo scopo di consolidare la fiducia delle persone interessate rispetto a chi tratta i loro dati. Per questo è essenziale la chiarezza e la comprensibilitàdelle informazioni.
Conseguentemente la prima raccomandazione è che l’informativa sia data in forma concisa, trasparente, intellegibile e facilmente accessibile, con linguaggio semplice e chiaro.
Per questo si invita a usare forme succinte, evitando frasi e periodi troppo complessi o inutilmente dettagliati. Se le informazioni sono date on line devono essere immediatamente accessibili all’utente, senza necessità di superare difficoltà di navigazione non per tutti agevoli, o di dover leggere testi complessi, situati in sezioni specifiche e non facili da trovare.
Per garantire la comprensibilità dell’informativa occorre che essa sia data tenendo conto delle caratteristiche più comuni degli utenti e del loro livello di capacità di comprensione. In sostanza essa deve essere adeguata al livello di “audience”, apportando man mano gli aggiustamenti che si rendano necessari. Utili a questo fine anche forme di questionario o altri sistemi di verifica della comprensibilità da parte degli utenti.
Per rendere efficace l’informativa rispetto al principio di trasparenza essa deve essere adeguata a far comprendere agli interessati gli scopi e gli effetti dei trattamenti prima che questi inizino. A tal fine gli scopi e gli effetti dei trattamenti vanno indicati con modalità adeguate a un’informativarivolta non solo a chi è già interessato ma anche a tutti coloro che sono potenziali interessati, in modo da consentire ad essi di decidere consapevolmente se accettare o no i trattamenti proposti. Questo è anche il motivo per cui solo in casi specifici l’informativa può essere data oralmente; infatti, come sottolinea il WP29 al punto 16, “information required under Articles 13 and 14 must also be made accessible tu future users/customers (whoseidentity a data controller wouldnot be in a position to verify”.
Il linguaggio usato deve essere chiaro e semplice e l’informativa deve essere concreta e completa. L’attenzione su questo è tale che il WP29 precisa “Language qualifiers such as “may”, “might”, “some”, “often” and “possible” should also be avoided”.
Una specifica raccomandazione riguarda il fatto che l’informativa sia data nella lingua usata non solo dagli interessati ma anche dai destinatari. I titolari devono aver cura che le traduzioni siano di “qualità” adeguata e generalmente comprensibili dal gruppo linguistico di riferimento.
Per le informative relative ai minori si raccomanda un linguaggio specificamente adatto a loro, suggerendo anche di tener conto della “UN Convention on the Rights of the Child in ChieldFriendly Language”.
Infine, per quanto riguarda i mezzi utilizzabili, si chiarisce che non è necessario che l’informativa sia scritta. Il GDPR prevede che essa possa essere data anche con icone (che dovranno essere indicate in futuro dalla Commissione), o con altri mezzi elettronici, compresi anche quelli dati “just in time”, come “pop-up notices, 3D touch oprivacy dashboards”.
Di particolare interesse, anche nel quadro dello sviluppo delle tecnologie digitali, la specificazione che sono possibili anche informative date in forma di “cartoons, infographics and flowcharts”.Si raccomanda inoltre che se i dati sono trattati da strumenti della società digitale privi di schermo, si faccia ricorso a istruzioni complete e chiare allegate agli oggetti, in particolare con riguardo all’IoT. Allo stesso tempo, però, si specifica che se il device o la macchina (robot) è in grado di farlo, l’informativa può anche essere data con “IoT voice alerts”.
Ovviamente questi sono solo alcuni degli aspetti di maggior interesse delle linee guida. Il punto centrale è comunque il concetto di trasparenza applicato in un quadro normativo che fa del titolare il responsabile di ogni illiceità del trattamento ma soprattutto il soggetto del principio di “responsabilizzazione. Un principio che si estende ai trattamenti ancora non posti in essere e riguarda anche le persone fisiche che non sono ancora, ma potranno diventare in futuro, degli interessati.
Insomma, ancora una volta si conferma che l’applicazione del GDPR richiede grande attenzione e molta competenza. Come si è detto tante volte il GDPR non è una cosa per esperti improvvisati.