L’articolo 13 del GDPR, il regolamento UE sulla privacy introdotto nel 2018, impone di informare l’interessato circa i diritti e le facoltà che gli sono proprie in relazione ai dati personali da parte del titolare del trattamento.
L’informativa privacy è consegnata, in linea di principio, per iscritto e preferibilmente in formato elettronico, anche se sono ammessi altri mezzi.
Ecco cos’è che non può mancare all’interno dell’informativa sul trattamento dei dati personali:
- l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
- i dati di contatto del responsabile della protezione dei dati, nei casi in cui siamo nominato;
- le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
- i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- nel caso in cui sia pertinente, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali garanzie o il luogo dove sono state rese disponibili.
I contenuti dell’informativa sono elencati in modo tassativo negli articoli 13 e 14 del GDPR e in parte sono più ampi rispetto al Codice della Privacy.
In particolare, il titolare dovrà sempre specificare i dati di contatto del RPD-DPO (Responsabile della protezione dei dati-Data Protection Officer), ove esistente, la base giuridica del trattamento, qual è il suo interesse legittimo se quest’ultimo costituisce la base giuridica del trattamento.
Nell’informativa privacy dovrà essere, inoltre, indicato l’eventuale trasferimento dei dati personali in Paesi terzi e attraverso quali strumenti
La comunicazione dell’informativa sul trattamento dei dati personali (ex. art. 13 del codice della privacy) dovrà essere fornita, nel caso di dati personali non raccolti direttamente presso l’interessato (art. 14 del regolamento), entro un massimo di un mese dalla raccolta, oppure al momento della comunicazione dei dati a terzi o all’interessato.
Chi non dovesse provvedere a rendere note tali informazioni all’utente commette un illecito amministrativo punibile con sanzioni anche molto salate.