g-docweb-display Portlet

Provvedimento del 22 febbraio 2018 - Indicazioni preliminari di cui in motivazione volte a favorire la corretta applicazione delle disposizioni del Regolamento (UE) 2016/679

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 8080493]

Provvedimento del 22 febbraio 2018 - Indicazioni preliminari di cui in motivazione volte a favorire la corretta applicazione delle disposizioni del Regolamento (UE) 2016/679

Registro dei provvedimenti
n. 121 del 22 febbraio 2018

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali, decreto legislativo 30 giugno 2003, n. 196 (di seguito Codice);

VISTO il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito "Regolamento");

VISTA la legge 25 ottobre 2017, n. 163, recante "Delega al Governo per il recepimento delle direttive europee e l´attuazione di altri atti dell´Unione europea - Legge di delegazione europea 2016-2017", contiene al suo art. 13 delega al Governo per l´emanazione di uno o più decreti legislativi in modo da adeguare il quadro normativo nazionale alle disposizioni del Regolamento (UE) 2016/679, abrogando quelle che risultino con esso incompatibili e modificando quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel Regolamento stesso, procedimento ancora in fase di definizione;

VISTA la legge 27 dicembre 2017, n. 205, recante "Bilancio di previsione dello Stato per l´anno finanziario 2018 e bilancio pluriennale per il triennio 2018-2020";

RITENUTO di fornire indicazioni preliminari per favorire la corretta applicazione delle disposizioni del Regolamento in attuazione dell´art. 1, comma 1021, della predetta legge;

VISTA la documentazione in atti;

VISTE le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

Nel quadro dell´adeguamento dell´ordinamento interno alle disposizioni introdotte dal Regolamento, al fine di assicurare contestualmente la tutela dei diritti fondamentali e delle libertà dei cittadini, l´art. 1, comma 1021, della legge n. 205/2017, prevede che il Garante provveda a disciplinare, con proprio provvedimento, le modalità attraverso le quali monitorare l´applicazione del Regolamento medesimo e fornisca opportune indicazioni in materia di trattamento dei dati personali fondato sul legittimo interesse del titolare che si avvale dell´utilizzo di nuove tecnologie. 

In attuazione di tale disciplina, il Garante intende fornire alcune preliminari indicazioni volte a contribuire alla corretta applicazione del Regolamento, così da tutelare le persone fisiche in relazione al trattamento dei loro dati personali e facilitare la libera circolazione di tali dati nel mercato unico.

Tali indicazioni riguardano, in particolare:

a)  le modalità attraverso le quali il Garante stesso monitora l´applicazione del Regolamento e vigila sulla sua applicazione;

b) le modalità di verifica della presenza di adeguate infrastrutture per l´interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati, in particolare, ai fini dell´esercizio del diritto di cui all´art. 20 del Regolamento;

c) l´informativa da fornire a cura dei titolari di dati personali che effettuano un trattamento fondato sul legittimo interesse che prevede l´uso di nuove tecnologie o di strumenti automatizzati;

d) le buone prassi in materia di trattamento dei dati personali fondato sul legittimo interesse del titolare.

1. Monitoraggio e vigilanza sulla corretta applicazione del Regolamento

Il Garante, in qualità di autorità di controllo ai sensi dell´art. 51 del Regolamento, verificherà e vigilerà sulla corretta applicazione delle relative disposizioni con riferimento ai trattamenti di dati personali per i quali risulti autorità competente secondo i criteri individuati dalle disposizioni europee.

L´attività di monitoraggio e vigilanza si esplicherà in relazione al trattamento effettuato nell´ambito delle attività di uno stabilimento del titolare o del responsabile sul territorio nazionale, al trattamento di dati personali effettuato dalle pubbliche autorità o dagli organismi privati che agiscono nel pubblico interesse, al trattamento riguardante gli interessati presenti nel territorio o al trattamento effettuato da un titolare o da un responsabile non stabilito nell´Unione europea riguardante interessati che si trovano nel suo territorio.

Le attività di monitoraggio e vigilanza includeranno l´esercizio dei compiti e dei poteri previsti dagli artt. 57 e 58 del Regolamento, anche sulla base delle disposizioni del decreto di attuazione della delega di cui all´art. 13 della legge n. 163/2017, ovvero delle ulteriori disposizioni che conferiscono al Garante specifiche attribuzioni in relazione a particolari settori, con riferimento, in particolare, ai compiti in materia di audit di sicurezza sull´Anagrafe nazionale della popolazione residente; di accesso ai documenti amministrativi e di accesso civico, nonché di cyberbullismo.

Il Garante eserciterà i poteri di indagine, i poteri correttivi e sanzionatori, e i poteri autorizzativi e consultivi previsti dalle disposizioni di riferimento, procedendo, segnatamente, a esaminare i reclami proposti dall´interessato ovvero, anche d´ufficio, a controllare che i trattamenti di dati personali siano effettuati nel rispetto della disciplina applicabile. All´esito di tale valutazione, l´Autorità potrà tra l´altro prescrivere le azioni correttive appropriate, necessarie e proporzionate, al fine di assicurare la conformità dei trattamenti effettuati al Regolamento, tenuto conto delle circostanze di ciascun singolo caso. Tali azioni correttive potranno comprendere, fra le altre, l´imposizione di una limitazione provvisoria o definitiva al trattamento, incluso il divieto dello stesso.

I predetti compiti e poteri saranno inoltre esercitati nel rispetto di adeguate garanzie procedurali – volte anche a consentire al titolare o al responsabile del trattamento la partecipazione al procedimento che li riguarda – che saranno individuate dalle disposizioni di attuazione della predetta delega, nonché dai regolamenti concernenti le procedure dinanzi all´Autorità aventi rilevanza esterna, che dovranno essere conseguentemente aggiornati.

Per l´espletamento dei propri compiti di monitoraggio e vigilanza, il Garante potrà, tra l´altro, richiedere al titolare, al responsabile, all´interessato o anche a terzi di fornire informazioni e di esibire documenti anche con riferimento al contenuto di banche di dati. Inoltre, l´Autorità potrà disporre accessi a banche di dati, archivi o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento dei dati personali.

Il Garante procederà, altresì, a denunciare i fatti configurabili come reati perseguibili d´ufficio, dei quali venga a conoscenza nell´esercizio o a causa delle funzioni, avendo inoltre il potere di intentare un´azione o di agire in sede giudiziale o, se del caso, stragiudiziale in caso di violazione delle disposizioni del Regolamento e della disciplina nazionale applicabile.

2. Verifica della presenza di adeguate infrastrutture per l´interoperabilità dei formati con cui i dati siano messi a disposizione degli interessati

Il Regolamento promuove lo sviluppo di formati interoperabili da parte dei titolari, così da consentire la portabilità dei dati personali e, quindi, facilitare la circolazione, la copia o la trasmissione dei dati da un ambiente informatico all´altro (sia che si tratti dei sistemi propri dell´interessato, sia di quelli di terzi fiduciari, o di quelli di un diverso titolare del trattamento).

Tale diritto permette agli interessati di ricevere i dati personali da loro forniti al titolare del trattamento, in un formato strutturato, di uso comune e leggibile meccanicamente, e di trasmetterli a un diverso titolare senza impedimenti (art. 20).

Ciò, allo scopo di accrescere il controllo degli interessati sui propri dati personali: infatti, la circolazione dei dati, che costituisce una componente del diritto alla portabilità, configura per gli interessati la possibilità non soltanto di ottenere e riutilizzare i dati forniti a un titolare del trattamento, bensì anche di trasmettere questi dati a un diverso fornitore di servizi. Tale diritto avrà come conseguenza ulteriore anche quella di supportare la libera circolazione dei dati personali nell´Unione europea e di favorire la concorrenza fra titolari del trattamento: il suo esercizio, infatti, faciliterà il passaggio, in piena sicurezza e sotto il controllo dell´interessato, da un fornitore di servizi all´altro e, quindi, contribuirà anche a incoraggiare la creazione di nuovi servizi del mercato unico digitale, oltre che ad arricchire l´esperienza dell´utente nella fruizione di tali servizi.

Cionondimeno, l´obiettivo primario della portabilità è quello di "riequilibrare" il rapporto fra interessati e titolari del trattamento, tramite l´affermazione dei diritti e del controllo spettanti agli individui in rapporto ai dati personali che li riguardano. Il Regolamento è, infatti, incentrato sulla protezione dei dati personali e non limita il novero dei dati portabili solamente a quelli necessari o utili per la prestazione di servizi analoghi da parte di soggetti concorrenti del titolare (cfr. Linee guida sul diritto alla portabilità dei dati, adottate dal Gruppo Art. 29, WP 242 rev. 01, doc. web n. 6058842).

Va tenuto altresì presente che il Regolamento non prevede un diritto generale alla portabilità dei dati, bensì esso trova applicazione quando i dati personali sono trattati, attraverso strumenti automatizzati, sulla base del consenso dell´interessato o per l´esecuzione di un contratto di cui è parte l´interessato (art. 20, par. 1, del Regolamento; ad esempio, l´elenco dei libri acquistati da un fornitore online o la lista dei brani musicali ascoltati mediante un servizio di streaming musicale).

In secondo luogo, possono essere oggetto di portabilità solo i dati che riguardano l´interessato e sono stati "forniti" da quest´ultimo (cfr. Linee guida del Gruppo Art. 29 sul diritto alla portabilità dei dati, cit.). Può accadere, tuttavia, che all´interno di tali dati vi siano anche dati personali di terzi che l´interessato utilizza per scopi personali (si pensi ai tabulati telefonici riferiti a un abbonato, la messaggistica interpersonale o i dati VoIP che possono contenere informazioni su soggetti terzi in rapporto alle chiamate in entrata e in uscita). Questi soggetti terzi non devono però subire alcun pregiudizio dall´esercizio del diritto alla portabilità da parte dell´interessato (art. 20, par. 4, del Regolamento).

Dal punto di vista tecnico, sebbene il Regolamento non configuri un obbligo in capo ai titolari del trattamento di introdurre o mantenere sistemi di trattamento tecnicamente compatibili, è opportuno favorire l´interoperabilità dei formati con cui i dati sono messi a disposizione dagli stessi. Le specifiche del Regolamento circa il formato ("strutturato", "di uso comune" e "leggibile da dispositivo automatico") da utilizzare per fornire i dati costituiscono, infatti, requisiti minimi volti a garantire l´interoperabilità dei formati messi a disposizione dai titolari, che rappresenta l´obiettivo finale da perseguire.

In ogni caso, tenuto conto della molteplicità di categorie di dati potenzialmente oggetto di trattamento e che il Regolamento non contiene indicazioni specifiche per i titolari quanto al formato dei dati personali da fornire agli interessati, il Garante si riserva di verificare che il formato scelto sia quello più idoneo - in relazione allo specifico settore di attività - a consentire la trasmissione dei dati personali in un formato che offra all´interessato un ampio margine di portabilità.

Il Garante potrà essere chiamato a vigilare affinché il formato dei dati sia idoneo a garantire che i dati medesimi siano riutilizzabili dall´interessato o da un diverso titolare con un minimo sforzo (ad esempio, i titolari dovrebbero fornire, anche al fine di tutelare i terzi, quanti più dati tecnici necessari per garantire la continuità dei servizi e la semantica specifica delle informazioni oggetto di scambio, ove rilevante).

In particolare, il Garante potrà verificare - tenuto anche conto del contesto in cui il trattamento viene effettuato, della tipologia di dati trattati e delle finalità perseguite - che il titolare del trattamento non ponga in essere impedimenti - di natura giuridica, tecnica o finanziaria – volti a evitare o rallentare l´accesso, la trasmissione o il riutilizzo dei dati conferiti da parte dell´interessato o di un diverso titolare. A titolo esemplificativo, non potranno essere richiesti dei corrispettivi per fornire i dati richiesti, e i formati interoperabili dovranno sempre essere resi concretamente disponibili; inoltre, dovrà essere favorita la creazione di API (application programming interface) e non dovrà essere impedito l´accesso ai dati nel formato in cui essi vengono forniti; non dovrà risultare eccessivamente complesso il recupero della totalità dei dati richiesti o eccessivamente esteso il tempo necessario a tale scopo. Parimenti, non sarà consentito l´offuscamento deliberato dei dati indicati dall´interessato, o la previsione di vincoli settoriali specifici e ingiustificati o eccessivi in termini di standard o accreditamenti richiesti (cfr. le Linee guida del Gruppo Art. 29 sul diritto alla portabilità dei dati, cit.).

Inoltre, il Regolamento obbliga il titolare a trasmettere i dati portabili direttamente a un diverso titolare "se tecnicamente fattibile" (art. 20, par. 2, del Regolamento). La fattibilità tecnica della trasmissione da un titolare all´altro, sotto il controllo dell´interessato, andrà valutata caso per caso, tenendo presente che il Regolamento non configura alcun obbligo in capo agli altri titolari di supportare il formato con cui i dati sono trasmessi su indicazione dell´interessato. La trasmissione diretta dei dati da un titolare all´altro andrà assicurata, quindi, ove sia possibile instaurare una comunicazione fra due sistemi, in modo sicuro, e se il sistema ricevente è tecnicamente in grado di ricevere i dati in ingresso. Qualora impedimenti di ordine tecnico precludano la trasmissione diretta, il titolare dovrà illustrarne l´esistenza agli interessati poiché, in caso contrario, la sua decisione sarà nei fatti analoga a un diniego di intervento nei confronti della richiesta formulata dall´interessato (art. 12, par. 4, del Regolamento).

Considerata la complessità del tema, il Garante potrà farsi promotore di iniziative di collaborazione fra i produttori e le associazioni di categoria al fine di sviluppare un insieme condiviso di standard e formati interoperabili che soddisfino i requisiti del diritto di cui all´art. 20 del Regolamento, segnalando anche al Comitato europeo per la protezione dei dati l´opportunità di adottare linee guida, raccomandazioni e migliori prassi in materia (art. 70, par. 1, lett. e, del Regolamento).

3. Trattamento di dati personali tramite nuove tecnologie o strumenti automatizzati fondato sul cd. legittimo interesse e informativa agli interessati

Il Regolamento rimette al titolare del trattamento la valutazione in ordine alla sussistenza, nel caso concreto, di un interesse, proprio o di terzi, tale da legittimare il trattamento dei dati personali, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell´interessato e tenuto conto delle ragionevoli aspettative nutrite dallo stesso sulla base della sua relazione con il titolare del trattamento (art. 6, par. 1, lett. f). Ad esempio, un legittimo interesse potrebbe essere ravvisato quando l´interessato è un cliente o è alle dipendenze del titolare del trattamento, oppure qualora titolari del trattamento facenti parte di un gruppo imprenditoriale trasmettano dati personali all´interno del gruppo a fini amministrativi interni, o ancora ove il trattamento di dati personali relativi al traffico si renda necessario per garantire la sicurezza delle reti e dell´informazione, vale a dire la capacità di una rete o di un sistema d´informazione di resistere, a un dato livello di sicurezza, a eventi imprevisti o atti illeciti o dolosi che compromettano la disponibilità, l´autenticità, l´integrità e la riservatezza dei dati personali conservati o trasmessi (v. considerando 48 e 49 del Regolamento).

Fermo restando che il legittimo interesse non costituisce idonea base giuridica per i trattamenti svolti dalle autorità pubbliche in esecuzione dei propri compiti (art. 6, par. 1, lett. f, alinea 1), in ogni caso, l´esistenza di legittimi interessi del titolare del trattamento o di terzi richiede un´attenta valutazione anche in merito all´eventualità che l´interessato possa ragionevolmente attendersi che abbia luogo un trattamento a ciò preordinato. In situazioni in cui gli interessati non possano ragionevolmente attendersi un ulteriore trattamento dei dati personali, dovrebbero, tenute sempre in considerazione le circostanze del caso, ritenersi prevalenti gli interessi e i diritti fondamentali delle persone alle quali i dati si riferiscono.

Riguardo ai criteri utilizzabili per il bilanciamento in questione, può farsi utilmente riferimento al parere adottato sul tema dal Gruppo Art. 29 (WP 217, doc. web n.  3815154) nonché al parere sui trattamenti in ambito lavorativo, con specifico riferimento a tale contesto (WP 249, doc. web n. 6880588). A titolo esemplificativo, si ricorda comunque che il Garante ha individuato alcuni casi in cui il legittimo interesse del titolare può costituire un valido fondamento di liceità del trattamento: si pensi, tra i tanti, alla videosorveglianza da parte di soggetti privati (doc. web n. 1712680), all´utilizzo di sistemi antifrode (doc. web n. 6068256) o all´utilizzo di sistemi di localizzazione geografica su flotte aziendali (doc. web n. 1850581).

Tale valutazione è espressione del più generale principio di responsabilizzazione (art. 5, comma 2), che impone al titolare di osservare una serie di parametri – desumibili, in particolare, dai principi applicabili al trattamento di cui all´art. 5 del Regolamento – al fine di conformare il trattamento che intende effettuare alla disciplina in materia.

Fermo restando che ciascun titolare del trattamento deve rispettare tutti i principi di cui all´art. 5 del Regolamento, nel trattare dati personali sulla base del legittimo interesse proprio o di terzi, è necessario tenere in debita considerazione tra gli altri, i seguenti profili che assumono specifico rilievo in tali circostanze, in modo da non incorrere nel rischio di ledere i diritti dell´interessato, dovendo verificare prima di iniziare il trattamento, in particolare, che:

i. il trattamento non riguardi le categorie particolari di dati personali enumerate all´art. 9, par. 1, del Regolamento (tra i quali sono inclusi i dati biometrici che, rispetto al regime previgente stabilito dal Codice, vengono, così, sottratti alla possibilità di essere trattati in base al presupposto del legittimo interesse), né i dati relativi a condanne penali e reati di cui all´art. 10 del Regolamento;

ii. non sia più appropriato applicare, nel caso concreto, un diverso presupposto in grado di consentire, ai sensi del Regolamento, il trattamento, derivante, ad esempio, dalla necessità di adempiere un obbligo legale ovvero di salvaguardare gli interessi vitali dell´interessato o di un terzo; per l´esecuzione di un compito di interesse pubblico oppure per l´esecuzione di un contratto del quale è parte l´interessato o di misure precontrattuali;

iii. gli specifici scopi perseguiti mediante il trattamento dei dati devono essere individuati attentamente, di modo da consentire al titolare di effettuare non solo il necessario bilanciamento di tutti gli interessi in gioco (quelli perseguiti dal titolare o dai terzi con i diritti e le libertà degli interessati), ma anche di predisporre garanzie adeguate, in relazione al caso concreto, per proteggere i dati personali e tutelare gli altri diritti fondamentali degli interessati (in particolare, in ambito lavorativo, il legittimo interesse del datore di lavoro può essere invocato come presupposto di liceità a condizione che il trattamento dei dati dei lavoratori sia strettamente necessario per uno scopo legittimo e conforme ai principi di proporzionalità e sussidiarietà – cfr. il parere del Gruppo Art. 29 cit. sui trattamenti in ambito lavorativo);

iv. le predette finalità devono essere determinate, esplicite e legittime in quanto gli obiettivi perseguiti nel singolo caso, non devono comunque porsi in contrasto con altri settori dell´ordinamento;

v. venga sempre salvaguardata la qualità dei dati che si intende trattare, assicurando che siano adottate misure idonee - in rapporto alla natura, all´oggetto, al contesto e alle finalità del trattamento che si intende effettuare - per garantire l´esattezza e, ove necessario, l´aggiornamento delle informazioni raccolte;

vi. si proceda a una raccolta e utilizzazione dei dati che risponda ai requisiti di minimizzazione, al fine di trattare solo le informazioni che si rivelino adeguate, pertinenti e limitate al soddisfacimento della specifica finalità di volta in volta perseguita, applicando gli stessi criteri alle operazioni su di essi eseguibili, in modo da ridurre al minimo l´invasività del trattamento;

vii. venga sempre assicurata la protezione dei dati fin dalla progettazione e per impostazione predefinita, nonché l´adozione di misure e accorgimenti che – sotto il profilo sia tecnico, sia organizzativo – siano in grado di garantire un livello di sicurezza adeguato al rischio, che dovrà essere valutato tenendo in considerazione lo stato dell´arte e i costi di attuazione, nonché la natura, l´oggetto, il contesto e le finalità del trattamento, come anche la probabilità e la gravità di eventuali impatti negativi per i diritti e le libertà dell´interessato;

viii. sia effettuata, prima di procedere al trattamento, la valutazione di impatto di cui all´art. 35 del Regolamento, considerato che il trattamento fondato sul legittimo interesse, allorché venga effettuato tramite l´uso di nuove tecnologie o strumenti automatizzati, può di per sé presentare un rischio elevato per i diritti e le libertà fondamentali degli interessati, fermo restando la necessità di consultare preventivamente il Garante ai sensi dell´art. 36 del Regolamento medesimo, qualora all´esito della valutazione d´impatto il rischio residuo rimanga elevato, in quanto le garanzie, le misure e gli accorgimenti previsti dal titolare non risultano sufficienti ad attenuarlo a un livello accettabile (v. Linee guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati, WP248, doc. web n. 7015994). Peraltro, la predetta valutazione facilita il titolare a effettuare un ponderato bilanciamento degli interessi coinvolti, tenuto anche conto che, in base al principio di responsabilizzazione, questi è tenuto a dimostrare, ove richiesto, gli elementi che lo hanno portato a decidere di trattare i dati su tale fondamento, senza comprimere in misura eccessiva i diritti e le libertà degli interessati, e l´idoneità delle garanzie approntate.

Al riguardo, si sottolinea che un imprescindibile requisito di legittimazione del trattamento è la relativa correttezza e trasparenza (art. 5, par. 1, lett. a, 12, 13, par. 1, lett. d, e 14, par. 2, lett. b, del Regolamento): è quindi essenziale che il titolare garantisca la piena consapevolezza dell´interessato circa le finalità e le modalità del trattamento dei dati che lo riguardano in modo conciso, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.
Pertanto, qualsiasi titolare che intenda effettuare un trattamento di dati personali fondato sul legittimo interesse, sia che i dati siano raccolti direttamente presso l´interessato sia che vengano ottenuti da altre fonti, dovrà fornire un´informativa che evidenzi opportunamente - specie qualora il trattamento preveda l´uso di nuove tecnologie o strumenti automatizzati - agli interessati la circostanza che sta trattando i dati che li riguardano sulla base di tale presupposto, nonché esplicitare quale sia il legittimo interesse in concreto perseguito, che andrà quindi opportunamente evidenziato come tale, a beneficio dell´interessato (artt. 13, par. 1, lett. d, e 14, par. 2, lett. b, del Regolamento). In particolare, può essere una buona prassi, quella di fornire all´interessato le indicazioni essenziali risultanti dal  bilanciamento effettuato in relazione al caso concreto, che ha portato il titolare a scegliere di far affidamento sull´interesse proprio o di terzi quale presupposto di liceità del trattamento ai sensi dell´art. 6, par. 1, lett. f), del Regolamento (v.  Guidelines on transparency under Regulation 2016/679, WP 260, in fase di definizione). Considerata la peculiare fonte di legittimazione del trattamento, il titolare dovrà sottolineare in special modo, il diritto di opposizione attribuito agli interessati (v. artt. 13, par. 2, lett. d, 14, par. 2, lett. c e 21, par. 4, del Regolamento).

In questo quadro, potrà anche essere presa in considerazione la possibilità di rendere pubblica la valutazione d´impatto effettuata dal titolare (o parte di essa). Sebbene una tale pubblicazione non sia richiesta dal Regolamento, in alcune circostanze, potrebbe rappresentare uno strumento utile per dimostrare trasparenza e responsabilizzazione da parte del titolare e per rafforzare la fiducia degli interessati riguardo al trattamento dei loro dati.

In ogni caso, le predette indicazioni devono essere esplicite, chiare e separate da altre informazioni eventualmente fornite all´interessato, come ad esempio i termini e le condizioni d´uso di un prodotto o di un servizio oppure, nel caso in cui il trattamento sia effettuato dal datore di lavoro, le condizioni del contratto di lavoro applicabile.

Quanto al formato o alle modalità con cui l´informativa va resa agli interessati, il Regolamento chiarisce che spetta al titolare del trattamento adottare "misure appropriate" (art. 12, par. 1, del Regolamento). Ciò significa che, al fine di decidere le modalità e il formato più adeguati per fornire all´interessato le indicazioni richieste dall´informativa, il titolare dovrebbe tenere conto del contesto e delle circostanze in cui si svolge il trattamento, nonché delle modalità di interazione con l´interessato (ambiente cartaceo, telefonico, ambiente IoT-Internet delle cose, utilizzo di tecnologie intelligenti, interazioni dirette in ambiente fisico, eventualmente associate all´utilizzo di videosorveglianza o droni in grado di registrare dati e immagini). Potrà quindi essere necessario prendere in considerazione, ove applicabile, il dispositivo utilizzato dall´interessato, oppure l´interfaccia a disposizione dell´utente e le eventuali limitazioni che tali elementi  comportano. In contesti digitali, al fine di evitare che le informazioni fornite siano troppo dettagliate e difficilmente comprensibili per gli interessati, potranno essere, ad esempio, utilizzate modalità per rendere l´informativa su più livelli in modo da  consentire agli interessati di acquisire i necessari approfondimenti in fasi successive o di consultare particolari aspetti dell´informativa che giudicano di maggiore interesse. Sempre nel contesto digitale, a seconda dei casi, altre modalità appropriate per rendere l´informativa potrebbero includere, tra gli altri, avvisi tramite finestre a comparsa (pop-up), notifiche di cui confermare la ricezione esercitando differenti pressioni sullo schermo di un dispositivo intelligente, notifiche dinamiche legate al passaggio del mouse o del puntatore su determinate aree, e i "cruscotti" di controllo per la privacy).

Ad esempio, nel momento in cui l´utente accede a un sito web, dovrebbe essergli presentata una prima informativa "breve" (contenuta non in una sezione nascosta del sito che necessita di diversi clic per essere raggiungibile, bensì in un banner a comparsa immediata sulla home page o altra pagina tramite la quale l´utente può accedere al sito) contenente le indicazioni essenziali relative al trattamento dei suoi dati personali. Tale prima informativa dovrebbe altresì consentire all´interessato di avere una chiara visione d´insieme sulle informazioni a sua disposizione in relazione al trattamento che lo riguarda e sulle modalità con cui può reperire tali indicazioni dettagliate all´interno dei diversi "livelli" in cui si articola l´informativa.  L´informativa "estesa" dovrebbe invece essere resa su più "livelli", anche attraverso  link cliccabili dall´utente che rinviano a ulteriori dettagli in conformità agli artt. da 12 a 14 del Regolamento, sempre che siano opportunamente evidenziati, in particolare, il legittimo interesse perseguito, il soggetto che ne sia portatore, nonché la possibilità per l´interessato di esercitare il diritto di opposizione al trattamento.

Si ricorda, infine, che le informazioni possono essere fornite "in combinazione" con icone standardizzate per dare, in modo facilmente visibile, intelligibile e chiaramente leggibile, un quadro d´insieme del trattamento previsto; inoltre, se presentate elettronicamente, le icone dovrebbero essere leggibili da dispositivo automatico (art. 12, par. 7, del Regolamento). Quindi, non potrà farsi ricorso a tali strumenti in sostituzione delle informazioni necessarie per l´esercizio dei diritti degli interessati, o in ogni caso in sostituzione del rispetto degli obblighi trattamento in materia di trasparenza fissati dal Regolamento (artt. 13 e 14).

_________________________

Con il presente provvedimento, si intendono fornire delle indicazioni preliminari per favorire la corretta applicazione delle disposizioni del Regolamento (UE) 2016/679 in attuazione dell´art. 1, comma 1021, della legge n. 205/2017.

Considerato che la delega per l´attuazione delle disposizioni del Regolamento di cui alla legge n. 205/2017 non è stata ancora esercitata e il decreto legislativo, che verrà adottato in ottemperanza alla medesima delega, sarà suscettibile di incidere profondamente sulla materia in esame, si ritiene opportuno differire l´applicazione del presente provvedimento con riferimento a quanto sopra fino a sei mesi dall´entrata in vigore del predetto decreto, fatta salva diversa determinazione del Garante adottata anche anteriormente a tale data. Ciò anche al fine di consentire all´Autorità di poter acquisire informazioni dai titolari dei trattamenti effettuati per via automatizzata o tramite tecnologie digitali.

TUTTO CIO´ PREMESSO, IL GARANTE

ai sensi dell´art. 154, comma 1, lett. h), del Codice, adotta le indicazioni preliminari di cui in motivazione volte a favorire la corretta applicazione delle disposizioni del Regolamento (UE) 2016/679 in attuazione dell´art. 1, comma 1021, della legge n. 205/2017.

Roma, 22 febbraio 2018

IL PRESIDENTE
SORO

IL RELATORE
SORO

IL SEGRETARIO GENERALE
BUSIA