La nuova Legge Federale sulla Protezione dei Dati (LPD), approvata nel settembre scorso dall’Assemblea Federale impone una serie di adempimenti, uno fra tutti l’Informativa.

Che cosa è l’Informativa?

La nuova LPD obbliga il Titolare del Trattamento a informare in maniera appropriata la Persona Interessata sulla raccolta dei Dati Personali, dotandola di tutte le informazioni necessarie per quanto concerne il Trattamento dei Dati Personali che la riguardano.

Questo documento prende il nome di Informativa Privacy.

Quali sono i punti fondamentali che devono essere inseriti?

  • l’identità e i dati di contatto del Titolare del Trattamento;
  • lo scopo e la finalità del trattamento;
  • destinatari o le categorie di destinatari cui sono comunicati i Dati Personali.

Va inoltre comunicato:

  • se i dati non sono raccolti direttamente dall’Interessato, le categorie di Dati Personali Trattati;
  • se i Dati sono comunicati all’estero.

In ultima analisi è bene indicare se vi sono determinate decisioni basate esclusivamente su un Trattamento di Dati Personali automatizzate che possa avere effetti giuridici o conseguenze significative.

Eccezioni all’obbligo di Informativa

Secondo l’art. 20 della LPD, l’obbligo di informare non sussiste se:

  • la Persona Interessata dispone già delle pertinenti informazioni;
  • il trattamento dei Dati Personali è previsto dalla legge;
  • il Titolare del Trattamento è un privato tenuto per legge a serbare il segreto;
  • sono adempiute le condizioni di cui all’art. 27 (relativo alle decisioni individuali automatizzate).

Se i Dati Personali non sono raccolti presso la persona interessata, l’obbligo di informare viene meno qualora l’informazione non sia possibile, o quando richiede un onere sproporzionato.

Tempi e modi per la consegna dell’Informativa

L’informativa si consegna all’Interessato nel momento in cui i Dati Personali vengono raccolti. Se questi ultimi non sono raccolti direttamente presso l’interessato, l’informativa deve essere fornita entro 30 giorni dalla ricezione dei dati.

All’interno della normativa non è presente un’indicazione sulla forma con cui va redatta l’Informativa, ma è consigliabile scegliere la forma scritta. Ciò potrebbe servire in futuro per dare prova di aver adempiuto a tutti gli obblighi di legge, in particolare quello di aver informato l’interessato e poter avere un documento da mostrare all’Incaricato Federale, in sede di una eventuale ispezione, che attesta che la Persona Interessata sia stata informata e che il Titolare del Trattamento si sia adeguato alla normativa.

Il Consenso

Strettamente legato all’Informativa, il Consenso riveste una parte fondamentale, definito come l’espressione fondamentale con cui la Persona Interessata approva il Trattamento dei suoi Dati Personali.

Affinchè sia valido deve essere dato liberamente e previa Informativa; in molti casi la normativa prevede che il consenso sia espresso, e cioè dato con comportamenti concludenti o comunque con dichiarazioni esplicite e non a seguito del silenzio assenso o di comportamenti non attivi.

Queste condizioni di validità del consenso (espressione libera e previa informazione) comportano alcuni importanti aspetti pratici per i Titolari del Trattamento: è necessario mettere in atto tutti i presupposti legali, tecnici ed organizzativi per consentire alle persone di gestire autonomamente i propri dati.

Molto importante per la validità del consenso è la sua documentabilità: i Titolari del Trattamento devono modulare forme di raccolta del consenso che garantiscono la sua libera prestazione (flag sul sito).

A questo punto è d’obbligo adeguare anche quelle che sono le linee guida che supportano il tracciamento delle azioni del soggetto interessato, in modo tale da poter avere sempre a disposizione la consent history (se e quando, viene dato il consenso, se si è letta l’Informativa, se lo si è revocato).

Questi accorgimenti sono volti a garantire maggiormente la tutela di tutti i soggetti che sono coinvolti nel Trattamento dei Dati Personali.