I contenuti dell’informativa sono elencati in modo tassativo negli artt. 13, par. 1 e 14, par. 1, GDPR.
Le due disposizioni disciplinano rispettivamente i casi in cui i dati personali siano raccolti presso l’interessato e i casi in cui invece vengano raccolti da terze parti.
Nelle informative devono sempre comparire i dati di contatto del responsabile della protezione dei dati, ove esistente, la base giuridica del trattamento, quale sia il suo interesse legittimo, se quest’ultimo costituisca la base del trattamento, nonché se siano previsti trasferimenti di dati personali verso Paesi terzi e, in caso affermativo, attraverso quali strumenti.
Nel caso in cui la base giuridica del trattamento sia il consenso, l’informativa deve contenere il richiamo al diritto dell’interessato di revocare lo stesso.
Nel caso in cui, invece, la base giuridica sia l’esecuzione di un contratto, è necessario che il titolare informi l’interessato delle conseguenze in caso di diniego al trattamento.
Dev’essere anche indicato il periodo di conservazione dei dati o i parametri adottati per determinarlo, nonché l’esistenza dei diritti che l’interessato può far valere nei confronti del titolare e il diritto a proporre reclamo all’Autorità garante.
Nei casi in cui i dati siano acquisiti direttamente dall’interessato, l’informativa non è necessaria nei limiti in cui quest’ultimo sia già a conoscenza delle informazioni.
Qualora i dati siano acquisiti presso terzi, l’informativa di cui all’art. 14 dovrà chiaramente specificare le fonti da cui sono stati ottenuti i dati dell’interessato.
Peraltro, tale ultima informativa, non essendo resa all’interessato al momento in cui il titolare ottiene i dati dai terzi, dovrà essere trasmessa all’interessato entro termini specifici, di regola entro un mese da quando sono stati ottenuti i dati e comunque non oltre il primo contatto utile.
L’informativa di cui all’art. 14 è soggetta tuttavia a limitazioni. In particolare, il titolare può non adempiere a tale obbligo qualora l’interessato disponga già delle informazioni, o qualora la comunicazione di tali informazioni risulti impossibile o eccessivamente gravosa per il titolare, o ancora qualora l’ottenimento di tali dati sia previsto da un obbligo giuridico o infine qualora i dati debbano rimanere riservati in forza di obblighi di segretezza.
Infine, qualora il trattamento comporti processi decisionali automatizzati (tra cui la profilazione), l’informativa deve specificarlo e deve indicare la logica di tali processi decisionali e le conseguenze previste per l’interessato.
Per approfondire:
- G. FINOCCHIARO, La protezione dei dati personali in Italia, Bologna, 2019;
- M. G. RICCIO, G. SCORZA, E. BELISARIO, GDPR e Normativa Privacy Commentario, Padova, 2018;
- R. SCIAUDONE, E. CARAVÀ, Il codice della privacy - Commento al D. Lgs. 30 giugno 2003, n. 196 e al D. Lgs. 10 agosto 2018 n. 101 alla luce del Regolamento (UE) 2016/679 (GDPR), Pisa, 2019;
- S. SICA, V. ZENO ZENCOVICH, Manuale di diritto dell'informazione e della comunicazione, Padova, 2019;
- A. CICCIA MESSINA, N. BERNARDI, Privacy e Regolamento Europeo, Padova, 2017
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- Ruolo e responsabilità del “responsabile del trattamento” nell’ecosistema del GDPR - Dicembre 9, 2024
- La qualificazione giuridica del contratto di licenza d’uso - Dicembre 2, 2024
- Sui limiti all’utilizzabilità delle deroghe al trasferimento transfrontaliero dei dati personali - Novembre 25, 2024
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024