Il Garante della privacy con la deliberazione n. 166 del 12 settembre 2019 rende nota la programmazione di una massiccia attività ispettiva per il secondo semestre di quest’anno.
Alla fine del 2019, infatti, saranno già state effettuate 100 ispezioni che hanno come target due distinti filoni, il primo di questi due filoni riguarda gli accertamenti in specifici ambiti considerati a rischio quali, ad esempio i trattamenti collegati alla fatturazione elettronica e i dati trasmessi dalle banche all’anagrafe dei conti tenuta dal Fisco, il secondo più rilevante, si concentrerà in particolare su:
- Informative rilasciate agli interessati.
- Raccolta del consenso prestato dagli interessati
- Tempi di conservazione dei dati personali
Le succitate categorie di adempimenti nascondono una serie di insidie che possono rivelarsi fatali per il soggetto che subisce le ispezioni, considerando anche la pesantezza delle sanzioni che possono essere comminate (fino a 20 milioni di euro).
Consenso: occhio al marketing e ai dati particolari.
L’adempimento forse più insidioso è quello relativo alla raccolta del consenso per una serie di motivazioni:
- Innanzitutto il consenso è base giuridica residuale, ciò equivale a dire che andrebbe raccolto esclusivamente qualora non sia possibile giustificare il trattamento dei dati personali con un altra delle basi giuridiche previste dall’art. 6 del GDPR, è quindi fondamentale scegliere correttamente i casi che richiedono la raccolta del consenso e quali invece non lo richiedono.
Qualora si decida di ricorrere ad un altra base giuridica, tuttavia, è bene essere in grado di documentare e giustificare accuratamente la scelta, soprattutto con riferimento alla base giuridica del legittimo interesse del titolare del trattamento, concetto labile e di facile fraintendimento.
Esempi di trattamenti che certamente richiedono la prestazione del consenso da parte dell’interessato sono:- Il marketing diretto
- La profilazione
- La pubblicazione di immagini online
- Il trattamento di dati particolari in assenza di una delle basi giuridiche alternative previste dall’art.9 del GDPR
- In secondo luogo andranno considerate le modalità con le quali il consenso è stato raccolto, la violazione delle modalità previste dal GDPR comporta infatti la radicale nullità della prestazione del consenso, e la conseguente selezionabilità del trattamento, in particolare sarà necessario fare particolare attenzione a:
- Presenza di minori d’età, se minori di anni 14 il consenso andrà prestato dai genitori o dal tutore
- Obbligatorietà del consenso al trattamento dei dati personali per accedere ad un servizio, prevedere una simile modalità di raccolta potrebbe violare il requisito della libertà del consenso, rendendolo nullo ed esponendo il titolare a sanzioni.
- Chiarezza nell’esporre le finalità per le quali il consenso viene richiesto, l’utilizzo di formule commercialmente accattivanti ma non del tutto trasparenti può comportare la nullità del consenso stesso.
Informativa, attenzione a contenuto e chiarezza
L’informativa sul trattamento dei dati personali in ottemperanza alle previsioni degli artt. 13 e 14 del GDPR deve avere un contenuto minimo che rispecchi effettivamente le modalità con le quali viene effettuato il trattamento.
In tal senso la pratica dell’utilizzo di template “universali” è da sconsigliare assolutamente, in quanto non garantisce al titolare di aver adempiuto realmente all’obbligo di informativa.
Fondamentale anche in questo caso la trasparenza, il linguaggio utilizzato nell’informativa deve renderla chiara a chiunque.
Tempi di conservazione
Il GDPR impone al titolare del trattamento di determinare la durata di ognuno dei trattamenti che effettua e di informare l’interessato in merito a tale durata, tuttavia, la scelta di questo tempo di conservazione non può essere del tutto arbitraria:
- Qualora vi sia una norma che determina a monte la durata del trattamento (es. conservazione dei documenti fiscali) il titolare del trattamento dovrà ovviamente rispettarla e pertanto la durata del trattamento coinciderà con la durata indicata dalla norma.
- Qualora invece manchi una simile indicazione di legge il titolare del trattamento dovrà essere in grado di giustificare la propria scelta, in generale:
- Durate eccessivamente brevi potrebbero danneggiare il diritto dell’interessato ad accedere in futuro ai propri dati personali.
- Durate molto lunghe devono essere supportate da motivazioni solide, specie nel caso di dati utilizzati per finalità commerciali, di marketing o di profilazione dell’utente.
