Quando un’organizzazione raccoglie dati personali dalla persona stessa o da altre fonti, deve fornire alla persona (in quanto interessato) informazioni chiare su come e perché i dati vengono elaborati. Ciò include informazioni sull’organizzazione (in qualità di titolare del trattamento) , finalità del trattamento, diritti dell’interessato e altri aspetti rilevanti.
Nonostante la maggior parte dei servizi sia disponibile elettronicamente e la pubblicazione di una politica sulla privacy su un sito web sia il modo più comune con cui le organizzazioni adempiono al proprio obbligo di informazione, non tutte le organizzazioni dispongono di un sito web di questo tipo. Inoltre, non in tutti i casi la pubblicazione di un’informativa sulla privacy è sufficiente a garantire che una persona sia tempestivamente e pienamente informata sul trattamento dei suoi dati. Pertanto, questa volta esamineremo ulteriori modi e formati in cui le organizzazioni possono adempiere al proprio dovere di informazione.
Un esempio. La società “ABC” partecipa alla fiera del settore, dove presenta ai visitatori i suoi servizi. I dipendenti offrono ai visitatori le loro informazioni di contatto per ricevere offerte di prodotti. ABC ha pubblicato sul proprio sito web un’informativa sulla privacy facilmente accessibile che spiega il trattamento dei dati. Tuttavia, tenendo conto che la raccolta dei dati in tale situazione viene effettuata al di fuori del sito web e che le informazioni pubblicate su di esso potrebbero non essere facilmente accessibili alle persone in un dato momento, la società deve prendersi cura di ulteriori mezzi di informazione per garantire rispetto dei requisiti del Regolamento Dati.
Va notato che l’organizzazione che raccoglie i dati deve sempre adottare misure proattive per fornire alle persone le informazioni pertinenti o dire loro dove trovarle (ad esempio comunicandoglielo, pubblicando un collegamento a un sito Web o un codice QR). Non è accettabile una situazione in cui una persona può ottenere queste informazioni solo se lui stesso le richiede o le cerca, ma l’organizzazione non ha intrapreso alcuna azione per fornire queste informazioni.
Non esiste un formato o un ordine specifico in cui dovrebbero essere fornite le informazioni sul trattamento dei dati, ma si stabilisce che debbano essere adottate “misure adeguate” per garantire la trasparenza delle informazioni. Ciò significa che quando si sceglie come informare le persone, l’organizzazione deve adattare il formato della notifica alla propria attività di trattamento. È necessario tenere conto di come avviene la comunicazione con le persone, in quali condizioni avviene, e bisogna scegliere un modo che garantisca che le informazioni raggiungano le persone in modo tempestivo ed efficiente.
Un approccio multilivello per fornire informazioni
Come nell’ambiente elettronico, anche negli altri formati le informazioni sul trattamento dei dati possono essere fornite utilizzando più livelli di notifica. Secondo questo approccio, quando un’organizzazione contatta per la prima volta una persona, le vengono fornite le informazioni più importanti. Vale a dire, informazioni sull’organizzazione, sulle finalità del trattamento e sui suoi diritti in qualità di interessato. Inoltre, la persona viene informata su come il trattamento dei dati può influenzarla o creare conseguenze inaspettate, indicando inoltre come può ottenere maggiori informazioni sul suo trattamento dei dati.
Alla luce di quanto sopra, l’organizzazione dovrebbe scegliere la forma di informazione più adatta per entrambe le parti scegliendo uno o più dei mezzi elencati:
- In formato cartaceo . L’informativa sulla privacy può essere rilasciata in formato cartaceo a ciascun individuo o può essere resa disponibile a un pubblico più ampio mediante affissione nei locali dell’organizzazione in cui le persone soggiornano. Un esempio. Per aderire all’associazione è necessario compilare un modulo di registrazione cartaceo rilasciato dall’associazione. Al fine di garantire che il potenziale socio sia pienamente informato sul trattamento dei dati personali da parte dell’associazione prima di inviarli, insieme al modulo viene rilasciata un’informativa stampata sulla privacy.
- Informazioni orali : le informazioni vengono fornite di persona o a distanza da un dipendente assegnato dall’organizzazione oppure è garantita la fornitura di informazioni automatizzate o preregistrate. Un esempio. Quando contatta il telefono del servizio clienti dell’organizzazione, il cliente viene informato prima di connettersi al consulente che la conversazione verrà registrata, oltre a spiegare le finalità per cui viene effettuata e fornire informazioni su come l’interessato può accedere a informazioni aggiuntive.
- Informazioni fornite nell'”ambiente reale” : possono essere utilizzati pannelli informativi visibili, segnali pubblici, campagne di sensibilizzazione del pubblico o annunci su giornali/media. Ad esempio, un’organizzazione scatta foto durante un evento pubblico. La pubblicità dell’evento sui social network, che costituisce il principale canale pubblicitario dell’evento, include informazioni sulla fotografia, così come cartelli informativi su tale trattamento vengono posizionati prima di entrare nel territorio dell’evento, indicando lo scopo della fotografia, nonché un Sul sito del gestore viene aggiunto il codice QR per ottenere maggiori informazioni.
Va ricordato che, sebbene un’organizzazione in qualità di titolare del trattamento debba essere in grado di dimostrare di soddisfare i requisiti del Regolamento sui dati, non è obbligata a ottenere da una persona la conferma della sua conoscenza delle norme sul trattamento dei dati.
Allo stesso tempo, l’organizzazione deve essere in grado di dimostrare quali misure ha adottato per soddisfare i requisiti di cui agli articoli 13 e 14 del Regolamento dati.