Ciascun interessato deve avere la possibilità di conoscere quali sono i propri dati personali oggetto di trattamento, da chi sono trattati, per quale finalità e per quanto tempo.
Solo così, infatti, sarà davvero possibile controllare il rispetto del diritto alla protezione dei dati ed eventualmente intervenire per bloccare un utilizzo illecito delle informazioni.
La trasparenza è perciò uno dei presupposti fondamentali di ogni corretto trattamento di dati personali ed è richiamata espressamente dall'art. 5 del GDPR, in base al quale "i dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell'interessato". Il principio di trasparenza risulta così strettamente correlato a quello di equità e a quello di responsabilizzazione (principi fondanti del Regolamento) e il titolare (o il responsabile) dovrà, pertanto, essere in grado di dimostrarne la conformità nell'ambito delle attività di trattamento effettuate.
La trasparenza infatti è uno strumento indispensabile per garantire che i dati personali siano trattati nel rispetto dei diritti e delle libertà fondamentali degli interessati, poiché pone le basi per consentire la conoscenza e il controllo effettivi da parte delle persone fisiche coinvolte nel trattamento.
La trasparenza è un obbligo trasversale del GDPR che si esplica, in particolare, in tre aspetti:
- l'informativa resa agli interessati circa il trattamento di dati,
- le informazioni date dai titolari agli interessati sui loro diritti; e
- le modalità con cui viene consentito e facilitato l'esercizio dei diritti agli interessati.
Il principio di trasparenza trova, dunque, espressione nell'informativa che deve essere rilasciata agli interessati: ciò vuol dire che, entro il prossimo 25 maggio, i titolari del trattamento dovranno revisionare le proprie privacy policy affinché il loro contenuto preveda tutte le informazioni necessarie per rispettare ed assicurare effettività al principio di trasparenza (e i requisiti pratici sono indicati, come vedremo nell'apposita sezione, dagli articoli 12, 13 e 14 del GDPR). Importanza centrale nel rispetto del GDPR assume quindi l'informativa resa agli interessati, nella quale andranno esplicitate tutte queste informazioni, a partire dall'identità del titolare alle finalità del trattamento, dalla possibilità di accesso a quella di ricevere informazioni dirette.
La trasparenza, peraltro, va garantita sempre, indipendentemente dalle finalità per le quali viene effettuato il trattamento, ed in tutte le sue fasi (vale a dire: prima che vengono raccolti i dati personali, durante l'intero processo di elaborazione dei dati ed al verificarsi di circostanze particolari, come in caso di violazioni dei dati). Ciò significa, a livello pratico, che tutte le informazioni relative al trattamento di dati effettuate devono sempre essere rese accessibili agli interessati ed essere fornite con modalità ed espressioni chiare e facilmente comprensibili da chiunque.
Il concetto di trasparenza, come visto, va inteso con una portata molto ampia e va applicato anche alle modalità con cui vengono effettuate le operazioni di trattamento, alle tipologie ed alla quantità di dati trattati.
Le regole fondamentali al riguardo sono previste dal Capo III del GDPR, che disciplina i diritti degli interessati, ma la trasparenza non viene direttamente definita dal Regolamento.
Una chiara esplicazione del suo significato può, però, essere ricavata dall'art. 12, comma 1, GDPR, il quale prevede, in particolare che le comunicazioni rese agli interessati siano fornite (i) "in forma concisa, trasparente, intellegibile e facilmente accessibile" e (ii) "con un linguaggio semplice e chiaro". Ne consegue che le informazioni relative alla privacy dovrebbero essere date separatamente rispetto ad altre informazioni non connesse al trattamento dei dati, e con una formulazione diretta, efficace e comprensibile.
A tal fine, i titolari potrebbero avvalersi anche di strumenti di visualizzazione particolari (immagini o icone) e dovrebbero rapportare le espressioni utilizzate alla tipologia media di interessato a cui le stesse sono rivolte, rendendo comunque tutte le informazioni direttamente disponibili agli interessati, senza necessità di effettuare ricerche o richieste particolari per ottenerle.
Ancora, il GDPR prevede, per il rispetto del principio di trasparenza, che le informazioni siano date "per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi [n.d.r: non orali] l'identità dell'interessato" (art. 12, co. 1, GDPR). Le linee guida in materia hanno precisato che la forma di default deve essere quella scritta e che, per non "appesantire" eccessivamente le comunicazioni, i responsabili possono semmai avvalersi di informative su più livelli (in forma abbreviata con rinvio immediato a quella estesa, ad esempio) od utilizzare strumenti elettronici come avvisi pop-up contestuali "just-in-time", notifiche touch o hover-over e apposite dashboard. La comunicazione in forma orale, invece, è sempre opportuno che sia accompagnata anche da un idoneo avviso per iscritto.
Per garantire il rispetto della trasparenza, è fondamentale, ad ogni modo, che le informazioni vengano date in modo tale che l'interessato possa capire in anticipo quali sono le finalità del trattamento, qual è il suo ambito e quali sono le conseguenze per i propri diritti se non si oppone ad esso.
Infine, sempre all'art. 12, il GDPR precisa anche che le informazioni e le eventuali comunicazioni devono essere fornite gratuitamente agli interessati. Solo in pochi casi eccezionali, come ad esempio, se le richieste da parte dell'interessato sono manifestamente eccessive o assolutamente ripetitive, il titolare potrà chiedere un rimborso spese, ragionevole e rapportato agli eventuali costi amministrativi sostenuti per raccogliere le informazioni.
Puoi trovare tutte le news sul GDPR in questa pagina speciale.
Per ricevere assistenza consulta il sito fclex.it