Cosa deve contenere un'informativa?

25 ottobre 2019Ultimo aggiornamento 22 giugno 2020
Tempo di lettura stimato: 9'
Il GDPR ci dice che tutte le organizzazioni pubbliche e private hanno l’obbligo di informare i propri utenti prima di iniziare a raccogliere e compiere qualsiasi operazione con i loro dati personali. Questa informativa può essere resa per iscritto o verbalmente ma comunque sempre nel rispetto delle caratteristiche previste dal GDPR. Bene. Per me è qualcosa di più. Per me l’informativa è la cartina tornasole, che mi serve per capire tante cose. Perché quando la vedo, provo o ipotizzo o faccio finta di capire, come l’azienda affronta il Regolamento Europeo.
Lo so, non è bello e qualcuno fra chi legge si scandalizzerà, ma per me l’informativa sono le mutande, e guardando le aziende e gli enti in Italia ho capito che sono di tre tipi.

Senza informativa, con l’informativa inadeguata, con l’informativa di un altro

Cosa deve contenere un'informativa privacy - PrivacyLab

La situazione in Italia, anche dopo il GDPR, è questa. Ci sono i naturisti – le aziende senza mutande - sono quelli che non hanno l’informativa. Non ce l’hanno perché non si sa, perché non la vogliono avere, perché loro trattano solamente dati per obblighi di legge. Loro sono nature, sono quelli che non avevano neanche le informative della 196. Nudi e crudi, a lametta!
Poi ci sono gli incoscienti: quelli che indossano le mutande come Borat usa il costume da bagno. Io li chiamo gli incoscienti, perché sono quelli che fondamentalmente hanno un’informativa, ma il dubbio di essere adeguati non gli si è posto. Loro le informative le hanno ma, ad esempio, su quella del sito web – sito normalissimo, non siti particolari, intendiamoci, che ha qualche cookie e la registrazione alla newsletter – c’è scritto che loro trattano i dati relativi alla mia vita sessuale e al mio stato di salute!
Se non ce l’hai l’informativa è male, ma anche quella inadeguata non va bene. Sia chiaro.
Per ultimi ci sono i pigri. Sono le aziende che indossano le mutande di un altro. Copiano l’informativa perché dicono “Eh, l’ha fatta la banca! Avrà pure gli avvocati la banca. Se va bene per la banca, andrà bene anche per me”. Ma acciderbolina, non è così!
Bene. Allora come deve essere l’informativa? Cosa deve contenere?

I contenuti dell’informativa sulla privacy

Gli articoli 13 e 14 del Regolamento Europeo 16/679 elencano con precisione quali contenuti vanno obbligatoriamente inclusi nell’informativa sul trattamento dei dati personali. Ecco che cosa bisogna indicare.


1) Chi è l'interessato 

L’interessato è la persona fisica a cui si riferiscono i dati personali. 

Esempio – Antonio firma un contratto di lavoro con un’azienda. Al momento dell’assunzione l’azienda rilascia ad Antonio un’informativa sulla privacy per spiegargli quali dati raccoglie, come li raccoglie, da chi verranno trattati. Antonio è l’interessato. 

2) Chi effettua il trattamento 

È il soggetto che tratterà i dati della persona fisica, cioè il titolare del trattamento e se presente, l’informativa dovrà indicare anche il suo rappresentante. 

Esempio – L’azienda che ha assunto Antonio è titolare del trattamento dei dati personali e nell’informativa deve riportare il nome dell’azienda, la sede e i contatti. Se invece l’organizzazione fosse uno studio legale, per esempio, il titolare del trattamento sarebbe lo studio legale Beta in persona dell’avv. Taldeitali.


3) Se nominato, i recapiti del DPO

Il DPO (Data Protection Officer) o Responsabile della Protezione dei Dati personali (RPD) è la nuova figura introdotta dal GDPR. È un consulente tecnico e legale – interno o esterno all’azienda – che ha il compito di: informare il titolare, il responsabile e gli addetti affinché rispettino la normativa; sorvegliare responsabili e addetti per verificare che si attengano al GDPR; cooperare per fare da punto di contatto fra l’autorità di controllo e il titolare del trattamento.
Il DPO è obbligatorio? Non per tutti. Deve essere nominato obbligatoriamente dai titolari e dai responsabili del trattamento che hanno come attività principale il monitoraggio regolare e sistematico degli interessati su larga scala, che fanno trattamenti su larga scala di categorie particolari di dati personali o di dati relativi a condanne penali e a reati. Hanno questo obbligo, per esempio, le banche, le assicurazioni, le società di revisione contabile, quelle di recupero crediti, partiti e sindacati, caf, ospedali, call center… l’elenco è disponibile sul sito del Garante

Esempio – L’azienda che ha assunto Antonio è una banca, per legge obbligata ad avere un DPO. Quindi l’informativa di Antonio deve riportare anche il nominativo e i contatti del Responsabile della Protezione dei Dati personali (RPD) nominato dall’istituto di credito.


4) Quali sono i trattamenti effettuati e perché

In questa parte dell’informativa, il titolare del trattamento spiega come e per quali finalità tratterà i dati personali dell’interessato. 
Esempio – L’informativa di Antonio spiega che i suoi dati personali verranno usati dalla banca solo per l’avvio e la gestione del rapporto di lavoro, la gestione dei dati fiscali, previdenziali e assicurativi, la sicurezza sul lavoro. Poi spiega che i dati di Antonio verranno trattati con sistemi informatici e cartacei, verranno inseriti nelle scritture e nei registri obbligatori per legge e trasmessi agli istituti previdenziali e agli uffici finanziari per rispettare quanto previsto dalla legge per i datori di lavoro. Spiega anche che i dati di Antonio vengono trattati in modo da garantirne l’integrità, la riservatezza e la disponibilità.


5) Qual è la base giuridica del trattamento 

La base giuridica è la motivazione che giustifica il trattamento dei dati. Secondo il GDPR, ogni organizzazione deve necessariamente identificare le basi su cui si fondano la raccolta e il trattamento dei dati, che deve essere documentata e aggiornata, perché sia chiara. Una volta le aziende non ci facevano molto caso, ma oggi è un passaggio necessario, perché i diritti delle persone dipendono dalla base normativa scelta per trattare i loro dati. 


Esempio – Nel caso di Antonio, che viene assunto dalla banca, la base giuridica è data dal contratto di lavoro e dagli obblighi di legge. Quindi, leggendo l’informativa, Antonio sa che la banca userà i suoi dati per motivi strettamente legati al rapporto di lavoro, non per finalità di marketing e per mandargli i volantini pubblicitari. 
Trattamento dati personali - PrivacyLab


6) Quali sono i dati raccolti

I dati raccolti sono i dati personali. Un dato personale è qualsiasi informazione che riconduce ad un singolo individuo per via delle sue caratteristiche, relazioni, abitudini, stile di vita e così via. Quindi sono dati personali: le informazioni identificative – nome, cognome, data e luogo di nascita, residenza, domicilio, immagini che ritraggono la persona –, le informazioni che una volta venivano chiamate dati sensibili - orientamento sessuale, condizioni di salute, origine razziale ed etnica, convinzioni religiose, filosofiche, opinioni politiche, adesione a partiti, sindacati, organizzazioni di varia natura –, le informazioni giudiziarie, che possono rivelare l'esistenza di provvedimenti giudiziari e anche i dati legati alle nuove tecnologie: dati relativi alle comunicazioni elettroniche telefoniche e internet – come l’indirizzo IP -, i dati che permettono di geolocalizzare una persona, quelli genetici e biometrici. 
Quindi l’informativa deve indicare quali dati personali verranno raccolti: una scelta che dipende dall’attività del titolare e dal tipo di trattamento. Per esempio, l’informativa di un sito web normale – non di YouPorn.com – non tratterà dati relativi alla vita sessuale degli interessati, ma dati più normali, come quelli sulla navigazione delle pagine e l’iscrizione alla newsletter.


Esempio – I dati personali di Antonio trattati dalla banca sono quelli anagrafici, quelli familiari - se per esempio Antonio fa richiesta di assegni familiari, chiede la 104 o un congedo di paternità - e di salute: permessi per malattia, interventi chirurgici, donazioni di sangue e così via.



7) Se il trattamento comporta operazioni automatizzate, come la profilazione

La profilazione dei dati personali è la raccolta di informazioni su un individuo o un gruppo di individui per analizzarne le caratteristiche e inserirli in categorie o gruppi e poterne fare delle valutazioni o previsioni.
Se la profilazione avviene con sistemi automatizzati, la cosa si fa più delicata e l’informativa deve spiegare che i dati verranno utilizzati per questa finalità in modo chiaro, completo ed esaustivo.


Esempio - Il gestionale della banca che ha assunto Antonio ha un algoritmo che dice se i clienti possono ottenere un prestito oppure no. Quando Giulia e Peppino vanno in filiale e parlano con Antonio per chiedere un prestito, Antonio entra nel gestionale della banca, inserisce tutti i dati – età, professione (è un lavoro stabile o precario?), se hanno già dei prestiti e se sì, se sono indietro con le rate – poi l’algoritmo della banca, che si basa sulla profilazione, emette il verdetto: Giulia ha i requisiti per chiedere il prestito, Peppino no. Quindi la decisione di deliberare o meno il prestito è automatizzata e la banca deve spiegarlo chiaramente nell’informativa rilasciata a Giulia e Peppino. 


8) Se i dati verranno comunicati a soggetti esterni (responsabili esterni)

L’informativa deve indicare se i dati vengono comunicati ad altri soggetti, diversi dal titolare del trattamento, cioè i responsabili esterni

Esempio –Michela, lavora in un’azienda metalmeccanica di Albinea che si affida ad uno studio di Reggio Emilia per fare le buste paga. Lo studio paghe quindi è un responsabile esterno: non è necessario che nell’informativa compaia la ragione sociale, la sede e i contatti del consulente ma almeno l’indicazione che i  dati di Michela verranno gestiti per obblighi di legge e contrattuali da studi esterni si, fermo restando che Michela potrà sempre chiedere evidenza puntuale ed ecco che i dati dello studio paghe dovranno essere presenti sul Registro dei Trattamenti. 

9) Per quanto tempo saranno conservati i dati e in che modo

L’informativa deve indicare come e per quanto tempo vengono conservati i dati: archiviati in un’agenda cartacea o con strumenti elettronici? Vengono salvati in cloud? Su un foglio Excel? E per quanto tempo vengono conservati? Il principio di privacy-by-design introdotto dal GDPR ci obbliga ad organizzare preventivamente l'intero processo di gestione dei dati, compreso quindi il modo in cui li strutturiamo e li conserviamo, per ridurre il rischio di violazioni. 


Esempio – L’azienda metalmeccanica in cui lavora Michela conserva tutti i dati anagrafici dei dipendenti in un sistema di repository in Cloud. L’informativa rilasciata a Michela deve contenere in maniera sintetica anche questa informazione. 

Conservazione dati personali - PrivacyLab


10) Se i dati saranno trasferiti in altri Paesi e come

L’informativa deve comunicare se i dati personali vengono trasmessi all'estero, cioè in Paesi che sono al di fuori dell'Unione Europea e dello spazio economico comunitario. 


Esempio – L’azienda usa DropBox per poter comunicare e condividere file con i propri clienti, DropBox purtroppo i Dati li tiene su server americani, quindi nell’informativa deve essere indicato che i dati saranno trasferiti in America.



11) Quali sono i diritti dell’interessato

Il GDPR stabilisce che chi lascia i propri dati personali ha dei diritti, che vanno riportati anche nell’informativa: 
  • il diritto a essere informati su come e perché vengono trattati i suoi dati
  • il diritto di accedere ai propri dati
  • il diritto di poter correggere i propri dati
  • il diritto alla cancellazione dei dati da parte del titolare e dei responsabili
  • il diritto alla portabilità dei dati, cioè chiedere che i dati vengano o trasferiti direttamente ad un'altra azienda, quando è possibile tecnicamente
  • il diritto all'obiezione, cioè di chiedere all’organizzazione che elabora i dati personali - sulla base di un proprio legittimo interesse o come parte di un'attività di interesse pubblico o per un'autorità ufficiale – di non utilizzarli
  • il diritto a non essere oggetto di scelte automatizzate, come la profilazione


Chi deve redigere l’informativa?

L’informativa deve essere redatta dai Titolari del trattamento.

Il problema di base è che se deve essere la cartina tornasole di come vengono effettuati i trattamenti all’interno dell’Azienda diventa fondamentale per ogni categoria di interessati coinvolgere le funzioni aziendali che concorrono al ballo partendo dal marketing, passando all’amministrazione arrivando al Ced.
Essere consapevoli di quali dati si hanno, perché dove e con chi, fa parte della composizione dell’informativa.
RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

Biografia dell'autore

Andrea Chiozzi è nato a Reggio Emilia il 4 Agosto del 1969, reggiano “testaquadra” DOC come il lambrusco, ed è sposato con Luisa che lo sopporta da più di vent’anni.
Imprenditore e consulente, da più di 12 anni è l’Evangelist del GDPR.

Attività professionali:
Andrea Chiozzi è socio fondatore e CEO di PRIVACYLAB SRL, azienda che si occupa della produzione di PRIVACYLAB GDPR per la gestione avanzata delle attività legate alla compliance per il Regolamento Europeo 679/2016.
Esperto di GDPR e protezione dei dati personali (soprattutto nelle aree più problematiche quali il marketing digitale e i social network, il digital advertising, l’Internet of Things, i Big Data, il cloud computing),
Andrea presta consulenza per la media e la grande industria italiana e si occupa di organizzare e condurre i consulenti aziendali ad un approccio ottimizzato alla gestione della Compliance GDPR.
È ideatore del sistema Privacylab e della metodologia applicata ai consulenti certificati GDPR. 
Nel 2003 dà vita alla figura di “Privacy Evangelist” e comincia a girare l’Italia come relatore in vari convegni e corsi in tema di protezione dei dati personali arrivando a evangelizzare più di 10.000 persone.

È commissario d’esame per:

UNICERT per lo schema DSC_12/30 per Consulenti Certificati GDPR
TÜV dello schema CDP_ 201 Privacy Officer, Bureau Veritas
CEPAS Bureau Veritas DATA PROTECTION OFFICER per lo schema SCH73 norma Uni 11697:2017 (Accredia) 
ACS ITALIA DATA PROTECTION OFFICER per lo schema SCH01 norma Uni 11697:2017 (Accredia)
UNIVERSAL Gmbh DAKKS per lo schema ISO/IEC 17024:2012 "DATA PROTECTION OFFICER"

E' certificato con:
Unicert come "Consulente Certificato GDPR" n. 18203RE22
TÜV come “Privacy Officer e Consulente Privacy” n. CDP_196.
Cepas Bureau Veritas "Data protection Officer" n. DPO0206
UNICERT DAKKS " Data Protection Officer" n. DPO 0818 010012

Fa parte del Comitato Scientifico Privacy di Torino Wireless, GDPR Academy e di Agile DPO .

Le categorie

Gli argomenti dei nostri articoli

La guida di PrivacyLab

Per orientarti tra i nostri articoli

Resta informato su quello che succede.

Lasciaci la tua email e riceverai le nostre comunicazioni informative e commerciali

informativa sulla privacy