L’adempimento principe del GDPR non solo è un obbligo, ma anche una sfida in termini di comunicazione.
È altamente probabile che le Informative in circolazione riportino fedelmente i contenuti obbligatori previsti dagli articoli 13 e 14 del GDPR. Basta cliccare su “Privacy” in calce ai siti che visitiamo, per renderci subito conto di quante informazioni vengano riportate in caratteri minuscoli, spesso in scoraggianti PDF e con terminologie ai più incomprensibili. Di contenuti, quindi, ce ne sono parecchi, ma da qui a dichiarare “a norma” le suddette Informative, davvero ce ne passa. Vediamo il perché.
A chi dare l’Informativa?
Appuntiamocelo bene perché deve diventare una specie di mantra: l’Informativa va consegnata a tutti gli Interessati.
Chi sono gli Interessati? Tutte le persone a cui si riferiscono le informazioni che vogliamo raccogliere per il nostro business (dai dati contrattuali a quelli obbligatori per legge, dalla mail per inviare newsletter alle immagini raccolte dal sistema di videosorveglianza).
L’Informativa risponde ad un obbligo di “trasparenza”, caposaldo del GDPR: spiegare in maniera chiara e anche concisa all’Interessato chi siamo e per quale motivo gli stiamo chiedendo informazioni che lo riguardano.
Quando dare l’Informativa?
Poiché l’Informativa deve mettere l’Interessato nelle condizioni di decidere se condividere con noi alcune sue informazioni (dati personali), è indispensabile che venga fornita prima della raccolta delle informazioni. L’eccezione si presenta quando non raccogliamo i dati direttamente dall’Interessato, ma da terzi (acquisto di un database per finalità di mail marketing): in questo caso gli daremo l’informativa non appena lo contatteremo (ed esempio al primo invio della nostra newsletter).
Cosa mettere nell’Informativa?
Vediamo i contenuti minimi obbligatori elencati dal GDPR. Nell’Informativa devono essere presenti almeno le seguenti informazioni:
- Chi siamo
- I dati di contatto del DPO, ove presente
- Perché stiamo chiedendo dati personali (finalità del trattamento) e la base giuridica che ci permette di trattarli
- Se, fornirci i dati richiesti, rappresenta un obbligo legale o contrattuale e quali sono le conseguenze di un eventuale rifiuto a fornirceli
- Se verranno trattati per un processo decisionale automatizzato (es.: profilazione) e, in caso affermativo, quale logica lo sottende
- Se e con quali soggetti Terzi potremo condividere i dati raccolti
- Se abbiamo intenzione di trasferirli extra UE e con quali garanzie di sicurezza
- Quanto a lungo li conserveremo
- I diritti che l’Interessato può esercitare nei nostri confronti
- Il diritto di proporre reclamo al Garante Privacy
Quindi tutto a posto?
Non proprio. Dopo avere inserito tutta questa mole di informazioni, il GDPR precisa che, l’Informativa deve anche essere redatta “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.”
E qui casca l’asino: circa un 10% delle Informative in circolazione rispettano questo obbligo esponendo, di conseguenza, le Aziende titolari del trattamento a sanzioni fino a 20 milioni di euro.
Come fare, dunque?
Cominciamo dalle c.d. Informative multistrato, ovvero: facciamo una sintesi delle informazioni riportate e proponiamola agli Interessati all’inizio dell’Informativa in modo da dare subito loro la percezione di quello che abbiamo intenzione di fare coi loro dati. Potremmo, ad esempio, subito comunicare:
- Cosa abbiamo intenzione di fare con i loro dati
- Se li condivideremo con soggetti terzi
- Se li utilizzeremo anche a fini di marketing
- Se li trasferiremo fuori dall’Unione Europea
- Chi siamo e come contattarci
Dopodiché inseriremo l’Informativa completa che, in ogni caso, dovrà essere scevra di inutili formalismi notarili, linguaggio barocco e tecnicismi ai più incomprensibili.
In conclusione: la parola d’ordine è trasparenza, ovvero mettere l’Interessato nelle condizioni di capire quello che abbiamo intenzione di fare con le informazioni che riguardano la sua vita. Farlo correttamente richiede uno sforzo creativo in termini non solo di linguaggio ma anche di layout dell’Informativa stessa. Possiamo, ad esempio, ricorrere anche ad immagini o icone, abbandonando così formalismi più consoni ad esperti di privacy che alla persona della strada che poco o nulla sa di GDPR e del proprio sacrosanto diritto alla riservatezza.