Rendere le Informative privacy più semplici, chiare e immediatamente comprensibili, utilizzando simboli e icone. E’ una possibilità prevista dal Regolamento europeo 2016/679 in materia di dati personali (GDPR) che il Garante ha deciso di promuovere lanciando lo scorso marzo un contest aperto a sviluppatori, addetti ai lavori, esperti, avvocati, designer, studenti universitari e a chiunque fosse interessato a cimentarsi nell’individuare e proporre un set di simboli o icone capaci di esemplificare la gli elementi che, a norma degli articoli 13 e 14 del Regolamento, devono essere contenuti nell’informativa.
Raramente, nelle informative agli interessati, si fa riferimento, tra i soggetti che possono accedere ai loro dati, anche agli enti preposti ad attività di controllo/ispezione/verifica/audit. In questo articolo si vuole approfondire tale casistica fornendo alcune indicazioni di massima, consapevoli che solo il contesto specifico in cui opera un’organizzazione permette di mettere correttamente a fuoco tutti gli elementi peculiari del trattamento.
Come rendere un’informativa sulla privacy semplice, comprensibile e scorrevole? Con un fumetto. È questa l’idea dell’Istituto italiano per la privacy e la valorizzazione dei dati, per rispettare uno dei principi del regolamento europeo per la protezione dei dati personali (Gdpr), che impone di “assicurare trasparenza, comprensibilità” per comunicare come vengono trattate le informazioni.
Dal 15 luglio le pubbliche amministrazioni e gli enti privati di maggiori dimensioni (dal prossimo 17 dicembre lo sarà per quelli minori) devono applicare le previsioni del d.lgs. 24/2023 (DLWB) che recepisce la direttiva europea 1937/2019 sul whistleblowing: ciò implica una revisione delle procedure adottate sinora. Su Federprivacy diversi interventi hanno approfondito varie sfaccettature del DLWB. In questa sede ci si sofferma sull’articolazione dell’informativa, che presenta alcune peculiarità sul tema del whistleblowing (WB).
L’impatto del Gdpr sui siti web è stato in questi anni spesso sottovalutato. Molti operatori del settore hanno pensato che la redazione di una semplice privacy policy potesse, in qualche modo, bastare a rendere conforme al Gdpr il sito web. Il processo di compliance di un sito web, invece, passa inevitabilmente per l’analisi approfondita del sito, delle componenti tecniche di cui è composto e dei dati che raccoglie e tratta.
L’“App economy” è uno dei settori del sistema economico attuale in maggiore espansione, che oggi impiega 1,8 milioni di persone solo in Europa e il cui valore, in termini di fatturato, si stima cresca esponenzialmente nei prossimi anni. Ma possiamo considerare l’espressione “app economy” anche come una delle più appropriate definizioni dell’economia digitale, in cui una parte significativa degli scambi commerciali è veicolata attraverso applicazioni scaricate dai consumatori, per i fini più vari, su smartphone, tablet ecc. Nella maggior parte dei casi, le app forniscono servizi gratuitamente o, meglio, richiedendo un corrispettivo non patrimoniale: i dati.
In Italia e in Europa il tema del rapporto tra il diritto fondamentale alla protezione dei dati personali e i sistemi che offrono servizi basati sull’Intelligenza Artificiale è esploso in modo fragoroso con la vicenda legata ai provvedimenti del Garante italiano relativi a ChatGPT e alle violazioni ravvisate dal Provvedimento del 30 marzo 2023, essenzialmente nella carenza di adeguata informativa agli utenti del servizio circa l’uso e il trattamento di dati personali dell’utente o di terzi e circa le modalità di accesso a tali dati, nonché alla possibilità di esercitare l’eventuale diritto di rettifica o di richiesta di cancellazione ove ricorrano le ipotesi previste a tali fini dal GDPR.
Gli esperti in materia di privacy consigliano spesso gli utenti di leggere bene le informative sul trattamento di dati personali prima di scaricare una app, ma neanche essere scrupolosi può essere sufficiente se un’applicazione mente dichiarando di fare una cosa e poi invece ne fa un’altra.
Sui siti Internet tripletta di informazioni: bisogna tenere separate l'informativa privacy, l'informativa sull'uso di cookie e le informazioni e note legali relative ai servizi online e alle condizioni contrattuali praticate. Sono le prescrizioni applicate al settore marketing dal Garante della privacy nell'ingiunzione n. 348 del 20 ottobre 2022, con la quale è stata sanzionata (1,4 milioni euro) una catena internazionale di profumerie. All'operatore è stato rimproverato anche di avere conservato troppo a lungo i dati dei clienti raccolti nel contesto di un programma di fidelizzazione.
Più che una scoperta è una conferma, ma una di quelle conferme che sarebbe stato meglio non avere. L’hanno fatta i ricercatori di tre università, una olandese, l’altra belga e l’ultima svizzera: online che noi si clicchi o non si clicchi sul pulsante “invio” dopo aver iniziato a compilare un modulo, chi sta dall’altra parte raccoglie comunque i nostri dati e li usa o fa usare per far pubblicità.
