Privacy&

2019/2

Gaetano Arnò

Ti informo di averti informato

Il principio di trasparenza

Il Capo II, e in particolare l’articolo 5, del Regolamento (UE) 2016/679 del Parlamento e del Consiglio del 27 aprile 2016 (c.d. “GDPR”) stabiliscono in modo chiaro ed inequivoco i “Principi applicabili al trattamento di dati personali” delle persone fisiche, ormai ampiamente noti a tutti gli studiosi e gli operatori della materia, e più specificamente: liceità, correttezza e trasparenza (comma 1, lettera a), limitazione della finalità (comma 1, lettera b), minimizzazione dei dati (comma 1, lettera c), esattezza (comma 1, lettera d), limitazione della conservazione (comma 1, lettera e), integrità e riservatezza (comma 1, lettera f), responsabilizzazione (comma 2).

In questo contesto, secondo l’opinione di gran parte della dottrina, un ruolo primario - se non preminente -è assunto dal principio di trasparenza, il cui contenuto sostanziale, o essenziale, stabilito dal dettato programmatico del Considerando 58, GDPR[1], si esplica in termini precettivi nell’articolo 12, GDPR, che impone al titolare del trattamento l’obbligo di adottare “misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato”. 

Di chiara evidenza come l’obbligo in questione debba essere assolto tenendo altresì a mente i principi di liceità (o lealtà) e correttezza, abbinati a quello di trasparenza dalla chiara formulazione dell’articolo 5, comma 1, lettera a), GDPR.

Tralasciando di considerare le modalità di comunicazione della c.d. “Informativa agli interessati”[2], il suo contenuto concreto è esplicitato nell’articolo 13, GDPR, “qualora i dati personali siano raccolti presso l’interessato” e nell’articolo 14, GDPR, nella diversa ipotesi in cui “non siano stati ottenuti presso l’interessato”.

Le informazioni da fornire all’interessato

L’appena citato articolo 13, GDPR, prevede, al suo comma 1, che il titolare del trattamento debba fornire all’interessato molteplici informazioni esposte ordinatamente in sei punti (dalla lettera a alla lettera f), sebbene un rapido esame porti a ritenere che il loro numero possa essere superiore (e difatti  spesso lo è)[3]; a tali indicazioni si sommano quelle aggiunte nel secondo comma dello stesso articolo 13, GDPR, suddivise anch’esse in sei punti (sempre dalla lettera a alla lettera f), ancora una volta potenzialmente più numerose di quanto possa sembrare considerando la mera ripartizione adottata per ragioni di chiarezza illustrativa[4].

Pressoché le medesime informazioni devono essere fornite all’interessato nel caso previsto dall’articolo 14, GDPR, qualora i dati personali non siano stati ottenuti direttamente presso l’interessato[5]. L’unica differenza sostanziale, se così si può definire, consiste nella previsione inserita al paragrafo 2, punto f), che stabilisce l’obbligo del titolare del trattamento di indicare altresì “la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico”[6].

Le Informative Privacy previste dal Regolamento UE 2016/679 sono molto più dettagliate di quelle regolate dalla precedente normativa in materia di data protection[7], con la conseguenza che in prossimità della data di applicazione del GDPR moltissimi titolari si sono preoccupati di integrare, modificare o riscrivere da capo i modelli di Informativa sino ad allora in uso, dandone pronta comunicazione agli interessati, travolti in quei giorni da un fiume in piena composto, a seconda delle circostanze, da varie combinazioni di e-mail, messaggi sms o whatsapp, pop-up sui siti web, telefonate e altri mezzi di comunicazione.

La “taglia” delle Informative ai sensi del GDPR

Tutti i titolari che hanno affrontato seriamente l’attività di revisione delle “vecchie” informative per renderne il testo conforme al GDPR si sono dovuti necessariamente porre l’interrogativo di come si possa rendere “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro” una pluralità di informazioni che solo nel testo normativo assommano a dodici nel caso di dati raccolti presso l’interessato e a tredici qualora siano stati ottenuti aliunde.

Ovviamente tutto ciò senza neppure considerare che quelle degli articoli 13 e 14, GDPR, sono comunque le informazioni “minime” che il titolare deve fornire, essendogli rimesso il potere/dovere di aggiungerne altre in funzione del contesto specifico in cui avviene il trattamento dei dati personali e della tipologia di interessati[8].

Sicuramente, con il necessario impegno, si può redigere un’Informativa Privacy “trasparente, intelligibile e facilmente accessibile”, scritta con un “linguaggio semplice e chiaro”, ma ben difficilmente si riuscirà anche a farlo in “forma concisa”.

In un contesto come quello oggetto di esame, la concisione rischia infatti di risultare potenzialmente antinomica rispetto alle altre caratteristiche appena ricordate, venendo in mente il detto popolare per cui “la sintesi (spesso) è nemica della chiarezza”.

E sin qui la lettura delle norme unita alla logica e al buon senso.

Nella prassi formatasi a decorrere da qualche settimana prima del 25 maggio 2018 sino ad oggi, le Informative Privacy hanno, purtroppo, assunto le più svariate fogge, lunghezze, livelli di complessità, chiarezza e trasparenza.

Facendo un discutibile parallelismo con il settore dell’abbigliamento, ecco che allora si incappa frequentemente in Informative di diverse taglie, a partire dalla “XS” - concepita, in modo assolutamente minimal, con espressioni del tipo “La informiamo che i suoi dati saranno trattati nel rispetto della Privacy” - sino a finire alla “XL” lunga come un romanzo d’appendice ma senza la caratteristica (e forse il pregio) di giungere in mano ai lettori frazionata in più parti.

Nel mezzo vi sono la “S” in cui il redattore si sforza di aggiungere almeno i riferimenti normativi[9], la “M” dove si inizia a comprendere qualcosa in merito a termini e modalità del trattamento dei dati (sebbene non siano fornite tutte le indicazioni previste dalla legge), sino alla “L” in cui lo sforzo degli autori giunge al giusto punto di equilibrio tra completezza, semplicità, chiarezza, trasparenza, intelligibilità e accessibilità; purtroppo, manca sempre la concisione ma a ciò ci si dovrebbe probabilmente rassegnare considerandola irraggiungibile  per ragioni  che si potrebbero definire “fisiologiche”.

Escludendo le taglie “L” e “XL” (in quanto in entrambe risulta quasi sempre chiaro lo sforzo di seguire con attenzione e diligenza il dettato del GDPR), le Informative “flash” dalla “XS” alla “M” si distinguono spesso tra loro, oltre che per la lunghezza, anche per lo stile seguito che, a seconda dei casi, può renderle (i) vintage, in quanto caratterizzate dal riferimento all’evidentemente compianto D.Lgs.196/2003 o, addirittura, alla mai dimenticata legge 675/1996, con una punta di allure in quelle che hanno ancora memoria della Direttiva 95/46/CE, (ii) per tutte le stagioni, grazie all’accorta  omissione di qualsiasi  indicazione normativa, in modo che rimangano sempre utilizzabili anche se dovesse cambiare la legge di riferimento, oppure (iii) à la page, in cui si fa grande sfoggio dell’ultima norma appena emanata anche se non si è ancora avuto il tempo di leggerla, capirla e soprattutto applicarla.

I lettori delle Informative

Se è vero che l’Informativa Privacy è stata pensata per dare forma e corpo al principio di trasparenza in merito ai termini e alle modalità del trattamento di dati personali da parte dei titolari, dovrebbe essere altrettanto vera la necessità che gli interessati la leggano con attenzione e ne capiscano appieno il contenuto, ipotizzandolo in linea con le indicazioni di semplicità, chiarezza, intelligibilità e accessibilità fornite dall’articolo 12, GDPR.

Dalla trasparenza del titolare nel rendere l’Informativa dovrebbe infatti discendere una piena consapevolezza dell’interessato in merito agli esatti termini e modalità di trattamento dei propri dati personali.

Perché ciò si verifichi in termini concreti non è tuttavia sufficiente il puntuale rispetto delle norme del GDPR da parte del titolare, risultando anche indispensabile che l’interessato legga con la massima attenzione l’Informativa fornitagli chiedendo, ove del caso, eventuali chiarimenti su specifici aspetti di particolare complessità o delicatezza.

Diversamente, l’obiettivo principale delle norme oggetto di esame rischierebbe di non essere raggiunto, non tanto per mancanze del soggetto obbligato a tenere uno specifico comportamento, quanto piuttosto per disinteresse di colui che il legislatore comunitario ha ritenuto necessario e corretto proteggere.

Confidando che solo un numero limitato di titolari abbia adottato modelli di Informativa di “taglia” inadeguata, si potrebbe ottimisticamente provare ad ipotizzare che la maggior parte (se non la quasi totalità) delle Informative in circolazione sia (ragionevolmente) conforme ai precetti normativi ispirati al principio di trasparenza.

Ciò dovrebbe rendere agevolmente raggiungibile l’auspicata consapevolezza dei soggetti interessati, il cui unico onere sarebbe quello di leggere con attenzione l’Informativa ricevuta.

Tuttavia, è un dato di comune esperienza che nella prassi solo pochissimi interessati manifestano nei fatti un reale e concreto interesse a conoscere termini e modalità di trattamento dei loro dati personali, accettando di buon grado di assolvere l’onere che ne consegue, non potendo essere sostituiti nell’esame attento dell’Informativa che li riguarda.

L’inevitabile ridotta concisione (per non dire l’insopprimibile lunghezza) del documento in questione, unita al rilevante numero di Informative ricevute da ciascun interessato, soprattutto nelle settimane che hanno preceduto la, e fatto seguito alla, data del 25 maggio 2018 (ma ancora oggi le quantità sono significative), hanno fatto sì che solo pochissimi soggetti si siano effettivamente dedicati (e si dedichino) alla lettura ed analisi sistematica dei diritti loro spettanti in forza del GDPR.

Questa situazione di fatto è così conclamata da risultare addirittura oggetto di alcune delle molteplici battute di spirito circolate nei giorni di massimo “traffico” dei “nuovi” documenti trasmessi dai titolari agli interessati ai sensi degli articoli 13 e 14, Regolamento 2016/679, tra cui se ne ricordano un paio (a titolo di esempio): “Ho letto tutta l’Informativa Privacy. Alla fine lui muore”; “Da quando è in vigore il GDPR non soffro più di insonnia. Mi basta iniziare a leggere una qualsiasi Informativa e sprofondo nelle braccia di Morfeo”.

Dal “chi è senza peccato scagli la prima pietra” si è quindi passati al “chi ha letto le Informative che lo riguardano alzi un braccio”; così come non sono volate in aria le pietre, entrambe le braccia sono rimaste conserte o penzolanti lungo i fianchi.

Ancora minore interesse suscitano le Informative pubblicate sui siti Internet relative al trattamento dei dati dei visitatori e quelle a cui fanno rinvio le registrazioni che precedono le conversazioni telefoniche con gli operatori dei vari call center, considerate per lo più come una perdita di tempo.

Chi, anche tra gli “addetti ai lavori”, ha il coraggio di affermare di leggere, se non sistematicamente almeno saltuariamente, tali documenti in cui inevitabilmente incappa navigando nel web? Allo stesso modo, chi può sostenere di essere andato a visionare l’Informativa presente sul sito Internet indicatogli nel corso della chiamata telefonica al Customer Care Center dell’impresa interpellata?

Nessuno si affanna evidentemente a rispondere “io, io”.[10]

A cosa sono quindi serviti gli sforzi, talvolta non indifferenti, dei titolari nel redigere Informative trasparenti, intelligibili, facilmente accessibili, scritte con un linguaggio semplice e chiaro, pienamente in linea con i precetti del GDPR (ancorché non concise), se nessuno (o comunque un numero ridottissimo) degli interessati si è preoccupato (e si preoccupa) di leggerle?[11]

Forse soltanto (o principalmente) ad evitare di essere soggetti alle rilevanti sanzioni previste all’articolo 83 GDPR, in effetti già applicate da alcuni Garanti in quei pochi casi in cui l’Informativa è stata letta (pressoché sempre in specifici contesti di palesi violazioni dei diritti degli interessati) [12].

Appare pertanto ragionevole affermare che, in linea generale, è maggiore l’attenzione dei titolari nell’ottemperare le norme applicabili di quanto non sia quella degli interessati nel verificare l’effettivo rispetto dei propri diritti.

D’altronde, forse è giusto così, sussistendo chiari ed inequivoci obblighi a carico dei titolari e nessuna imposizione in capo agli interessati, liberi di decidere se accertare o meno di aver ricevuto un’Informativa adeguata in merito al trattamento dei loro dati personali.

Peraltro, non avendo il titolare l’obbligo di fare in modo (o di verificare) che l’interessato abbia effettivamente letto il documento imposto dal principio di trasparenza, ma solo quello di redigerlo e comunicarlo[13], molto probabilmente non vi sono neppure reali ragioni per cui la prassi attuale debba (o possa) mutare.

Una parte continuerà ad assolvere i propri doveri e l’altra valuterà se, come e quando accertare che siano stati rispettati i corrispondenti diritti.

In buona sostanza si sta verificando, (o si è già verificata) la situazione in cui il titolare più che informare concretamente l’interessato lo informa di averlo informato e sarà poi quest’ultimo a decidere, di volta in volta, cosa farsene di questa comunicazione.

1

Secondo il primo capoverso del Considerando 58, GDPR, “Il principio della trasparenza impone che le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro, oltre che, se del caso, una visualizzazione”.

2

Indicate in termini generali nella seconda parte del Considerando 58 e nei successivi Considerando da 59 a 64, nonché disciplinate negli articoli 13 e 14, GDPR. Sul punto, si veda, tra gli altri, D. Vecchi, M. Marchese, M. Ortillo in A. D’Agostino, L. R. Barlassina, V. Colarocco, Commentario al Regolamento UE 2016/679 e al codice della privacy aggiornato, Top Legal Academy, 2019, pp. 121-132 e G.M. Riccio, G. Scorza, E. Belisario, GDPR e Normativa Privacy, Commentario, Wolters Kluwer, 2018, pp. 120-169.

3

Ai sensi dell’articolo 13, comma 1, GDPR, il titolare deve fornire all’interessato le seguenti informazioni; “a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; b) i dati di contatto del responsabile della protezione dei dati, ove applicabile; c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi; e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale” e la relativa garanzia su cui il trasferimento si basa.

4

In forza dell’articolo 13, comma 2, GDPR, in aggiunta alle informazioni di cui al paragrafo 1, il titolare deve fornire all’interessato le seguenti informazioni: “il periodo di conservazione dei dati personali” […], “b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati”; c) l’esistenza del diritto di revocare il consenso ove costituisca la base giuridica del trattamento; “d) il diritto di proporre reclamo a un’autorità di controllo”; e) se il conferimento dei dati personali è obbligatorio o facoltativo e le possibili conseguenze della mancata comunicazione; “f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione”.

5

Per amore di precisione, in aggiunta a quanto indicato nel testo, delle piccole differenze si possono riscontrare nella lettera d) del primo comma delle due disposizioni normative. In particolare, l’articolo 13, comma 1, lettera d), indica tra le informazioni che il titolare deve rendere all’interessato “qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi”; l’articolo 14, paragrafo 1, lettera d), fa invece riferimento alle “categorie di dati personali in questione”.

6

Per comprendere la differenza tra le due fattispecie disciplinate dagli articoli 13 e 14, GDPR, si pensi, a titolo di esempio, rispettivamente, al caso della raccolta di dati personali nell’ambito della sottoscrizione di un contratto di fornitura di energia elettrica, in cui il fornitore li ottiene direttamente dal cliente/interessato, e a quello della sottoscrizione di un contratto assicurativo tramite un canale bancario, in cui la compagnia assicurativa riceve i dati personali da parte della banca con cui intrattiene un rapporto commerciale.

7

Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, introdotta in Italia dalla Legge 21 dicembre 1996, n, 675, Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, successivamente modificata dal D.Lgs. 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali.

8

Come previsto dal Considerando 60, GDPR. Sul punto, si veda tra gli altri, D. Vecchi, M. Marchese, M. Ortillo in A. D’Agostino, L. R. Barlassina, V. Colarocco, Op.cit., pp. 123,129-130 e G.M. Riccio, G. Scorza, E. Belisario, op. cit., pp. 150-152.

9

Un esempio potrebbe essere: “Le rendiamo noto che i suoi dati personali verranno trattati in conformità alle vigenti normative e in particolare nel pieno rispetto del Regolamento Privacy”.

10

Situazione quasi “rovesciata” si verifica con le Informative di piccola taglia (“XS”, “S” e “M”) – normalmente lette, grazie alla loro brevità – essendo rarissimo il caso che l’interessato (anche quando si tratta di un “addetto ai lavori con le necessarie competenze”) si preoccupi di chiedere al titolare l’integrazione del documento consegnatogli sino a raggiungere un adeguato livello di conformità al GDPR.

11

Al riguardo non può non citarsi l’esperimento lanciato dall’azienda che gestisce la mobilità di Venezia la quale, nel tentativo di rendere accattivante un documento generalmente tutt’altro che interessante, ha pubblicato la propria informativa in dialetto veneziano (http://avm.avmspa.it/it/content/informativa-privacy-veneziano). Cfr. B. GANZ, Nessuno legge le informative sulla privacy? Provate con questa in dialetto di Avm (ea società de batei e pulman de Venessia e Ciosa), Sole24ore del  26 febbraio 2019.

12

Si veda, tra le altre, la sanzione da 50 milioni di Euro emessa nel gennaio 2019 dall’Autorità garante francese (Commission Nationale de l’Informatique et des Libértes – CNIL) nei confronti di Google per la violazione degli obblighi di trasparenza e informazione cfr. https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001.pdf; cfr. A. Lensi Orlandi, F. Caloprisco, Il caso Google: alcune note alla decisione della Cnil, in Privacy& n. 1 maggio 2019, Egea, pp. 33 e ss. O ancora, la sanzione di euro 16.000 inflitta dal Garante italiano nei confronti di un medico che non aveva reso agli interessati l’informativa ai sensi dell’articolo 14, GDPR, in relazione ai dati personali ottenuti da terzi e utilizzati per finalità diverse da quelle di cura per cui erano stati inizialmente raccolti, Provvedimento n. 49 del 14 febbraio 2019, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9106367.

13

Fermo restando naturalmente il rispetto del principio di accountability per cui il titolare deve essere in grado di dimostrare di aver reso l’informativa all’interessato.