Privacy&

2019/2

Gaetano Arnò

Ti informo di averti informato

Scarica articolo in PDF

Il principio di trasparenza

Il Capo II, e in particolare l’articolo 5, del Regolamento (UE) 2016/679 del Parlamento e del Consiglio del 27 aprile 2016 (c.d. “GDPR”) stabiliscono in modo chiaro ed inequivoco i “Principi applicabili al trattamento di dati personali” delle persone fisiche, ormai ampiamente noti a tutti gli studiosi e gli operatori della materia, e più specificamente: liceità, correttezza e trasparenza (comma 1, lettera a), limitazione della finalità (comma 1, lettera b), minimizzazione dei dati (comma 1, lettera c), esattezza (comma 1, lettera d), limitazione della conservazione (comma 1, lettera e), integrità e riservatezza (comma 1, lettera f), responsabilizzazione (comma 2).

In questo contesto, secondo l’opinione di gran parte della dottrina, un ruolo primario - se non preminente -è assunto dal principio di trasparenza, il cui contenuto sostanziale, o essenziale, stabilito dal dettato programmatico del Considerando 58, GDPR[1], si esplica in termini precettivi nell’articolo 12, GDPR, che impone al titolare del trattamento l’obbligo di adottare “misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato”. 

Di chiara evidenza come l’obbligo in questione debba essere assolto tenendo altresì a mente i principi di liceità (o lealtà) e correttezza, abbinati a quello di trasparenza dalla chiara formulazione dell’articolo 5, comma 1, lettera a), GDPR.

Tralasciando di considerare le modalità di comunicazione della c.d. “Informativa agli interessati”[2], il suo contenuto concreto è esplicitato nell’articolo 13, GDPR, “qualora i dati personali siano raccolti presso l’interessato” e nell’articolo 14, GDPR, nella diversa ipotesi in cui “non siano stati ottenuti presso l’interessato”.

Le informazioni da fornire all’interessato

L’appena citato articolo 13, GDPR, prevede, al suo comma 1, che il titolare del trattamento debba fornire all’interessato molteplici informazioni esposte ordinatamente in sei punti (dalla lettera a alla lettera f), sebbene un rapido esame porti a ritenere che il loro numero possa essere superiore (e difatti  spesso lo è)[3]; a tali indicazioni si sommano quelle aggiunte nel secondo comma dello stesso articolo 13, GDPR, suddivise anch’esse in sei punti (sempre dalla lettera a alla lettera f), ancora una volta potenzialmente più numerose di quanto possa sembrare considerando la mera ripartizione adottata per ragioni di chiarezza illustrativa[4].

Pressoché le medesime informazioni devono essere fornite all’interessato nel caso previsto dall’articolo 14, GDPR, qualora i dati personali non siano stati ottenuti direttamente presso l’interessato[5]. L’unica differenza sostanziale, se così si può definire, consiste nella previsione inserita al paragrafo 2, punto f), che stabilisce l’obbligo del titolare del trattamento di indicare altresì “la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico”[6].

Le Informative Privacy previste dal Regolamento UE 2016/679 sono molto più dettagliate di quelle regolate dalla precedente normativa in materia di data protection[7], con la conseguenza che in prossimità della data di applicazione del GDPR moltissimi titolari si sono preoccupati di integrare, modificare o riscrivere da capo i modelli di Informativa sino ad allora in uso, dandone pronta comunicazione agli interessati, travolti in quei giorni da un fiume in piena composto, a seconda delle circostanze, da varie combinazioni di e-mail, messaggi sms o whatsapp, pop-up sui siti web, telefonate e altri mezzi di comunicazione.

La “taglia” delle Informative ai sensi del GDPR

Tutti i titolari che hanno affrontato seriamente l’attività di revisione delle “vecchie” informative per renderne il testo conforme al GDPR si sono dovuti necessariamente porre l’interrogativo di come si possa rendere “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro” una pluralità di informazioni che solo nel testo normativo assommano a dodici nel caso di dati raccolti presso l’interessato e a tredici qualora siano stati ottenuti aliunde.

Ovviamente tutto ciò senza neppure considerare che quelle degli articoli 13 e 14, GDPR, sono comunque le informazioni “minime” che il titolare deve fornire, essendogli rimesso il potere/dovere di aggiungerne altre in funzione del contesto specifico in cui avviene il trattamento dei dati personali e della tipologia di interessati[8].

Sicuramente, con il necessario impegno, si può redigere un’Informativa Privacy “trasparente, intelligibile e facilmente accessibile”, scritta con un “linguaggio semplice e chiaro”, ma ben difficilmente si riuscirà anche a farlo in “forma concisa”.

In un contesto come quello oggetto di esame, la concisione rischia infatti di risultare potenzialmente antinomica rispetto alle altre caratteristiche appena ricordate, venendo in mente il detto popolare per cui “la sintesi (spesso) è nemica della chiarezza”.

E sin qui la lettura delle norme unita alla logica e al buon senso.

Nella prassi formatasi a decorrere da qualche settimana prima del 25 maggio 2018 sino ad oggi, le Informative Privacy hanno, purtroppo, assunto le più svariate fogge, lunghezze, livelli di complessità, chiarezza e trasparenza.

Facendo un discutibile parallelismo con il settore dell’abbigliamento, ecco che allora si incappa frequentemente in Informative di diverse taglie, a partire dalla “XS” - concepita, in modo assolutamente minimal, con espressioni del tipo “La informiamo che i suoi dati saranno trattati nel rispetto della Privacy” - sino a finire alla “XL” lunga come un romanzo d’appendice ma senza la caratteristica (e forse il pregio) di giungere in mano ai lettori frazionata in più parti.

Nel mezzo vi sono la “S” in cui il redattore si sforza di aggiungere almeno i riferimenti normativi[9], la “M” dove si inizia a comprendere qualcosa in merito a termini e modalità del trattamento dei dati (sebbene non siano fornite tutte le indicazioni previste dalla legge), sino alla “L” in cui lo sforzo degli autori giunge al giusto punto di equilibrio tra completezza, semplicità, chiarezza, trasparenza, intelligibilità e accessibilità; purtroppo, manca sempre la concisione ma a ciò ci si dovrebbe probabilmente rassegnare considerandola irraggiungibile  per ragioni  che si potrebbero definire “fisiologiche”.

Escludendo le taglie “L” e “XL” (in quanto in entrambe risulta quasi sempre chiaro lo sforzo di seguire con attenzione e diligenza il dettato del GDPR), le Informative “flash” dalla “XS” alla “M” si distinguono spesso tra loro, oltre che per la lunghezza, anche per lo stile seguito che, a seconda dei casi, può renderle (i) vintage, in quanto caratterizzate dal riferimento all’evidentemente compianto D.Lgs.196/2003 o, addirittura, alla mai dimenticata legge 675/1996, con una punta di allure in quelle che hanno ancora memoria della Direttiva 95/46/CE, (ii) per tutte le stagioni, grazie all’accorta  omissione di qualsiasi  indicazione normativa, in modo che rimangano sempre utilizzabili anche se dovesse cambiare la legge di riferimento, oppure (iii) à la page, in cui si fa grande sfoggio dell’ultima norma appena emanata anche se non si è ancora avuto il tempo di leggerla, capirla e soprattutto applicarla.

I lettori delle Informative

Se è vero che l’Informativa Privacy è stata pensata per dare forma e corpo al principio di trasparenza in merito ai termini e alle modalità del trattamento di dati personali da parte dei titolari, dovrebbe essere altrettanto vera la necessità che gli interessati la leggano con attenzione e ne capiscano appieno il contenuto, ipotizzandolo in linea con le indicazioni di semplicità, chiarezza, intelligibilità e accessibilità fornite dall’articolo 12, GDPR.

Dalla trasparenza del titolare nel rendere l’Informativa dovrebbe infatti discendere una piena consapevolezza dell’interessato in merito agli esatti termini e modalità di trattamento dei propri dati personali.

Perché ciò si verifichi in termini concreti non è tuttavia sufficiente il puntuale rispetto delle norme del GDPR da parte del titolare, risultando anche indispensabile che l’interessato legga con la massima attenzione l’Informativa fornitagli chiedendo, ove del caso, eventuali chiarimenti su specifici aspetti di particolare complessità o delicatezza.

Diversamente, l’obiettivo principale delle norme oggetto di esame rischierebbe di non essere raggiunto, non tanto per mancanze del soggetto obbligato a tenere uno specifico comportamento, quanto piuttosto per disinteresse di colui che il legislatore comunitario ha ritenuto necessario e corretto proteggere.

Confidando che solo un numero limitato di titolari abbia adottato modelli di Informativa di “taglia” inadeguata, si potrebbe ottimisticamente provare ad ipotizzare che la maggior parte (se non la quasi totalità) delle Informative in circolazione sia (ragionevolmente) conforme ai precetti normativi ispirati al principio di trasparenza.

Ciò dovrebbe rendere agevolmente raggiungibile l’auspicata consapevolezza dei soggetti interessati, il cui unico onere sarebbe quello di leggere con attenzione l’Informativa ricevuta.

Tuttavia, è un dato di comune esperienza che nella prassi solo pochissimi interessati manifestano nei fatti un reale e concreto interesse a conoscere termini e modalità di trattamento dei loro dati personali, accettando di buon grado di assolvere l’onere che ne consegue, non potendo essere sostituiti nell’esame attento dell’Informativa che li riguarda.

L’inevitabile ridotta concisione (per non dire l’insopprimibile lunghezza) del documento in questione, unita al rilevante numero di Informative ricevute da ciascun interessato, soprattutto nelle settimane che hanno preceduto la, e fatto seguito alla, data del 25 maggio 2018 (ma ancora oggi le quantità sono significative), hanno fatto sì che solo pochissimi soggetti si siano effettivamente dedicati (e si dedichino) alla lettura ed analisi sistematica dei diritti loro spettanti in forza del GDPR.

Questa situazione di fatto è così conclamata da risultare addirittura oggetto di alcune delle molteplici battute di spirito circolate nei giorni di massimo “traffico” dei “nuovi” documenti trasmessi dai titolari agli interessati ai sensi degli articoli 13 e 14, Regolamento 2016/679, tra cui se ne ricordano un paio (a titolo di esempio): “Ho letto tutta l’Informativa Privacy. Alla fine lui muore”; “Da quando è in vigore il GDPR non soffro più di insonnia. Mi basta iniziare a leggere una qualsiasi Informativa e sprofondo nelle braccia di Morfeo”.

Dal “chi è senza peccato scagli la prima pietra” si è quindi passati al “chi ha letto le Informative che lo riguardano alzi un braccio”; così come non sono volate in aria le pietre, entrambe le braccia sono rimaste conserte o penzolanti lungo i fianchi.

Ancora minore interesse suscitano le Informative pubblicate sui siti Internet relative al trattamento dei dati dei visitatori e quelle a cui fanno rinvio le registrazioni che precedono le conversazioni telefoniche con gli operatori dei vari call center, considerate per lo più come una perdita di tempo.

Chi, anche tra gli “addetti ai lavori”, ha il coraggio di affermare di leggere, se non sistematicamente almeno saltuariamente, tali documenti in cui inevitabilmente incappa navigando nel web? Allo stesso modo, chi può sostenere di essere andato a visionare l’Informativa presente sul sito Internet indicatogli nel corso della chiamata telefonica al Customer Care Center dell’impresa interpellata?

Nessuno si affanna evidentemente a rispondere “io, io”.[10]

A cosa sono quindi serviti gli sforzi, talvolta non indifferenti, dei titolari nel redigere Informative trasparenti, intelligibili, facilmente accessibili, scritte con un linguaggio semplice e chiaro, pienamente in linea con i precetti del GDPR (ancorché non concise), se nessuno (o comunque un numero ridottissimo) degli interessati si è preoccupato (e si preoccupa) di leggerle?[11]

Forse soltanto (o principalmente) ad evitare di essere soggetti alle rilevanti sanzioni previste all’articolo 83 GDPR, in effetti già applicate da alcuni Garanti in quei pochi casi in cui l’Informativa è stata letta (pressoché sempre in specifici contesti di palesi violazioni dei diritti degli interessati) [12].

Appare pertanto ragionevole affermare che, in linea generale, è maggiore l’attenzione dei titolari nell’ottemperare le norme applicabili di quanto non sia quella degli interessati nel verificare l’effettivo rispetto dei propri diritti.

D’altronde, forse è giusto così, sussistendo chiari ed inequivoci obblighi a carico dei titolari e nessuna imposizione in capo agli interessati, liberi di decidere se accertare o meno di aver ricevuto un’Informativa adeguata in merito al trattamento dei loro dati personali.

Peraltro, non avendo il titolare l’obbligo di fare in modo (o di verificare) che l’interessato abbia effettivamente letto il documento imposto dal principio di trasparenza, ma solo quello di redigerlo e comunicarlo[13], molto probabilmente non vi sono neppure reali ragioni per cui la prassi attuale debba (o possa) mutare.

Una parte continuerà ad assolvere i propri doveri e l’altra valuterà se, come e quando accertare che siano stati rispettati i corrispondenti diritti.

In buona sostanza si sta verificando, (o si è già verificata) la situazione in cui il titolare più che informare concretamente l’interessato lo informa di averlo informato e sarà poi quest’ultimo a decidere, di volta in volta, cosa farsene di questa comunicazione.