Il Garante Privacy ha pubblicato un white paper sulle modalità tramite le quali rendere l’informativa privacy più comprensibili per l’utente, ad esempio utilizzando la tecnica del legal design.
Il White Paper è il risultato del tavolo di lavoro Garante Privacy – Creative Commons Italia, sul tema della trasparenza come pilastro fondamentale del GDPR.
Il Garante ricorda che il GDPR, al fine di garantire un corretto bilanciamento tra protezione dell’interessato in relazione al trattamento e accesso e utilizzo dei dati da parte del titolare, stabilisce infatti un quadro normativo fondato su alcuni principi generali, tra cui il principio di trasparenza.
Tale principio è posto alla base degli obblighi del titolare, nelle informative privacy, di fornire talune informazioni all’interessato, prima dell’inizio del trattamento e nel corso dello stesso (artt. 12, 13 e 14 GDPR): tale principio riconosce quindi all’interessato il diritto di chiedere, in ogni momento, al titolare del trattamento, una serie di informazioni relative ai trattamenti dei propri dati personali in corso (art. 15 GDPR).
La consapevolezza dell’interessato in relazione al trattamento che il titolare intende iniziare è, inoltre, presupposto necessario, ma non sufficiente, di validità del consenso, ovvero una delle basi giuridiche del trattamento: il consenso, in assenza di adeguata consapevolezza circa i termini del trattamento, gli effetti e le conseguenze certe ed eventuali, non può considerarsi validamente espresso.
Tuttavia tale consapevolezza spesso manca, e non può pertanto affermarsi che l’interessato sia posto in grado di esercitare un effettivo controllo sui trattamenti dei dati personali posti in essere dai titolari.
Le difficoltà per l’interessato sorgono principalmente in due casi:
- inadempimento da parte del titolare: il titolare non adempie all’obbligo di fornire all’interessato un’informativa privacy completa e dettagliata su un trattamento che sta per iniziare, o non gli riconosce il diritto di accesso a un trattamento in corso
- adempimento parziale: il titolare del trattamento fornisce all’interessato informazioni incomplete, o un accesso parziale, oppure fornisce tutte le informazioni ma con modalità tali da precludere all’interessato di comprenderne sostanzialmente il contenuto.
Il Garante Privacy ricorda che il mancato raggiungimento di un adeguato livello di consapevolezza in relazione al trattamento dei dati personali, causato dalle modalità attraverso le quali sono fornite le informazioni:
- sta minando l’effettività della regolazione europea e nazionale, sulla protezione dei dati personali
- sta producendo l’effetto paradossale di trasformare l’adempimento formale degli obblighi di legge in un perfetto alibi per i titolari del trattamento: questi ultimi sostengono infatti di aver fornito agli interessati tutte le informazioni necessarie, senza che gli interessati stessi, tuttavia, possano esercitare un controllo effettivo sui trattamenti dei loro dati personali.
Lo studio approfondisce quindi l’applicazione della tecnica del legal design alla protezione dei dati personali, con particolare riferimento all’informativa privacy, al fine di:
- garantire la piena aderenza al principio di trasparenza
- promuovere una maggior cultura di consapevolezza nella gestione dei dati.
