L’obbligo di rendere l’informativa relativa al trattamento dei dati personali è una prescrizione che, a quasi cinque anni dall’entrata in vigore del GDPR, dovrebbe essere nota a tutti. In realtà non è così. Puntualmente, infatti, sul tavolo del Garante privacy finiscono vicende in cui il titolare del trattamento omette completamente di rilasciare questo documento agli interessati.
L’informativa privacy è un documento con il quale il soggetto che si appresta a raccogliere ed utilizzare i dati personali informa il diretto interessato di quello che andrà a fare. Quali dati saranno utilizzati, quali strumenti verranno impiegati, quali finalità verranno perseguite, quale base giuridica autorizzi il trattamento, quali saranno i tempi di conservazione, eccetera. Il titolare del trattamento, in sintesi, è chiamato ad essere corretto e trasparente. Non si tratta, tutto sommato, di uno sforzo particolare: semplicemente, va spiegato come si andrà a lavorare sui dati forniti.
“Autorizzo il trattamento ai sensi del GDPR”… troppo poco!
Questo adempimento, però, finisce troppo spesso per essere sottovalutato. Si prenda il caso esaminato dal Garante nel provvedimento doc web n. 9842389. Il fornitore del servizio di assistenza stradale ha raccolto i dati di un soggetto, per fornirgli un preventivo, inserendoli su un documento, denominato “scheda lavoro”. Questo documento conteneva la formula “autorizzo il trattamento dei dati personali ai sensi dell’art. 13 del d.lgs. 101/2018 e del GDPR Regolamento UE 679/201”. Secondo il titolare, questa formula poteva ritenersi sufficiente per considerare adempiuti gli obblighi che il GDPR pone a chi tratta dati personali altrui.
La formula, in realtà, è del tutto generica e priva di alcun significato. Eppure, quotidianamente continuiamo a vederla spesso utilizzata nei moduli che ci troviamo a compilare. Davanti a tanta genericità, il Garante ha riscontrato che questa formula non è assolutamente in grado di valere come informativa privacy. La sanzione che ha comminato, stante la violazione riscontrata, è di 1000 euro.
Alcune riflessioni
La vicenda si presta ad alcune riflessioni. Sottovalutare l’obbligo di rendere l’informativa privacy, anzitutto, può costare caro. Né rileva che i dati in questione non siano “sensibili”: anche se si raccolgono solo dati anagrafici e recapito telefonico, come in questo caso, l’informativa va resa. Usare formule vuote, o cercare di cavarsela con una “autorizzazione” generica, non basta. Al titolare è richiesto uno sforzo, in realtà minimo, se ha chiaro cosa fa con i dati dei suoi clienti: è sufficiente farglielo presente, in modo chiaro ed intellegibile. Un altro aspetto da considerare è il rapporto con i clienti. La mancanza di trasparenza e correttezza potrebbe infatti indurli, come in questo caso, a rivolgersi al Garante. Con tutte le conseguenze che ne derivano.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale