NEWS

Il concetto di accessibilità come base imprescindibile per l’esercizio dei diritti sulla privacy

Torniamo a parlare di esercizio dei diritti degli interessati, questa volta osservando la questione da diverso punto di vista. L’effettiva possibilità di comprendere agevolmente, per chiunque, quali e quante informazioni vangano richieste o carpite. Da chi e perché tali informazioni verranno utilizzate. Il concetto è del tutto complementare, ma non identico, a quello di trasparenza.

Sergio Aracu

(Nella foto: Sergio Aracu, membro Gruppo di Lavoro Federprivacy per l’agevolazione dell’esercizio dei diritti dell’interessato)

La trasparenza, infatti, è un concetto più ampio e, se vogliamo, più astratto di quello di accessibilità.

L’accessibilità è imprescindibile per garantire trasparenza.

La necessità di garantire accessibilità però non è solo legata al dovere di rendere conoscibili le informazioni necessarie ed obbligatorie ad un utente/interessato.

Chi intende trattare dati personali, deve rendere accessibili anche i canali e le modalità di esercizio dei diritti degli interessati.

Obbligare un interessato a scrivere una e-mail - o addirittura una PEC - quando potrebbe semplicemente riferire le proprie domande o istanze all’operatore con cui sta dialogando (e che magari lo ha contattato) o cliccare in calce ad una e-mail per opporsi\revocare un consenso o, ancora, utilizzare facile ed intuitivo form web, significa non garantire la necessaria accessibilità.

Impostare un processo di trattamento secondo logiche di privacy by design, significa anche ragionare su come rendere accessibile agli interessati la possibilità di esercitare i propri diritti o accedere a tutte le informazioni necessarie per comprendere a pieno la portata del trattamento.

E non c’è spazio per imposizioni formalistiche. È l’informazione che deve adattarsi in modo plastico a chi deve riceverla. Comportarsi come l’acqua, che si adatta al recipiente destinato a raccoglierla e non viceversa.

Ed il recipiente – inteso come “recettore” – nella maggior parte dei casi, non è un esperto burocrate. Né un attento e concentrato lettore di documenti legali. Neppure, in fine, un esperto informatico capace di muoversi agevolmente all’interno di un sito pieno di dark patterns.

Il recipiente medio, il più delle volte, non ha né le capacità né il tempo di seguire canali che siano più complessi di un click o di leggere documenti più lunghi di 5 righe.

Immaginiamo – quindi ed inoltre - se gli interessati a cui ci rivolgiamo si trovano in situazioni di difficoltà.

Assodato che rendere accessibili informazioni e canali di esercizio dei diritti è un dovere imprescindibile per chiunque tratti dati, ed assodato che questo significa necessariamente operare uno sforzo progettuale per cercare di prevedere il livello medio degli interlocutori cui ci rivolgiamo ed adattarci alle loro esigenze e capacità cognitive, occorre fare un deciso passo avanti.

Diritti Privacy: occorre garantire la possibilità di essere realmente informati, davvero a tutti, nessuno escluso.


Parliamo dell’accessibilità alle informazioni rivolgendoci, in particolare, a tutti coloro che vivano situazioni di disabilità, tra cui quelle visive, uditive, fisiche, vocali, cognitive, di linguaggio, di apprendimento e neurologiche.

L’occasione è duplice.

Da un lato, la presentazione di quanto realizzato dal Gruppo di Lavoro per l’esercizio dei diritti degli interessati, istituito da Federprivacy e coordinato dal collega Aldo Giacomo Colantuono. Di tale Gruppo ho l’onore di far parte insieme ai Colleghi Nadia Giusti, Federico Mirri, Maria Elena Poggioli, Denise Medri, e Veronica Punzo.

Dall’altro, l’invito a Federprivacy di Osservatorio Imprese e Consumatori (per il tramite del suo Presidente Operativo Raffaella Grisafi), a partecipare ad un convegno che affronta un argomento non ancora approfondito e considerato a sufficienza dai titolari del trattamento: l’accessibilità e la fruibilità dei siti web, in particolare ai servizi web del credito.

L’invito è risultato ancor più gradito poiché apre la strada a rispettive contaminazioni che permetteranno ai progetti di lievitare e svilupparsi in modo più efficace e completo. Il lavoro portato avanti da Osservatorio Imprese Consumatori (OIC), i cui risultati sono oggetto del convegno, va infatti in una direzione del tutto complementare e sinergica rispetto a quella percorsa dal Gruppo di lavoro di Federprivacy.

È opportuno precisare che non siamo stati certo noi di Federprivacy o OIC a domandarci se e come, chi è tenuto a farlo provveda a garantire l’accessibilità e la trasparenza delle informazioni relative al trattamento dei dati personali, anche e soprattutto nei confronti di chi è in difficoltà.

Nel marzo 2021 la Commissione europea ha adottato la strategia sui diritti delle persone con disabilità 2021-2030.

La strategia si basa sui risultati della precedente strategia europea sulla disabilità 2010-2020, e ha come obiettivo quello di compiere progressi per garantire che tutte le persone con disabilità in Europa, indipendentemente dal sesso, dalla razza o dall'origine etnica, dalla religione o dalle convinzioni personali, dall'età o dall'orientamento sessuale, possano:

- godere dei loro diritti umani;
- avere pari opportunità e parità di accesso alla società e all'economia;
- essere in grado di decidere dove, come e con chi vivere;
- circolare liberamente nell'UE indipendentemente dalle loro esigenze di assistenza;
- non essere più vittime di discriminazioni.

Appare quindi di estrema importanza l’individuazione di mezzi e modalità atte a consentire e facilitare l’accesso agli elementi informativi di cui agli artt. 13 e 14 del Regolamento UE 2016/679 per permettere a costoro di esercitare appieno i loro diritti e godere di pari opportunità, sia nel mondo fisico che in quello digitale, promuovendo ogni potenzialità e risorsa di crescita autonoma ed individuale, in vista della realizzazione di una piena ed effettiva autodeterminazione, costrutto imprescindibile della Qualità di Vita .

Molteplici sono stati inoltre gli interventi del Working Party art. 29 e dello European Data Protection Board sui concetti di Accessibilità e Trasparenza.

Tra tutti, quelli più attinenti agli argomenti qui trattati sono rinvenibili:

1) nelle Linee Guida WP29 sulla trasparenza, adottate nell’aprile del 2018, che meriterebbero di essere qui interamente trascritte;
2) nelle Linee Guida n. 4/2019 (Protezione dei dati fin dalla progettazione e per impostazione predefinita) in cui si legge:

“Il titolare deve essere chiaro e trasparente con l’interessato su come raccoglierà, utilizzerà e condividerà i dati personali". Trasparenza significa consentire agli interessati di comprendere e, se necessario, avvalersi dei loro diritti come fissati negli articoli da 15 a 22 (Ndr – del GDPR).

Il principio trova fondamento negli articoli 12, 13, 14 e 34.

Le misure e le garanzie tese a sostenere il principio di trasparenza dovrebbero anche concorrere all’attuazione di questi articoli.

Gli elementi chiave della progettazione e dell’impostazione predefinita per quanto riguarda il principio della trasparenza possono includere:

- chiarezza – le informazioni sono fornite in un linguaggio chiaro e semplice, conciso e comprensibile;
- semantica – la comunicazione deve avere un significato chiaro per il pubblico a cui è rivolta;
- accessibilità – le informazioni sono facilmente accessibili per l’interessato;
- contestualità – le informazioni devono essere fornite al momento opportuno e nella forma adeguata;
- pertinenza – le informazioni devono essere pertinenti e applicabili all’interessato specifico;
- progettazione universale – le informazioni sono accessibili a tutti gli interessati, compreso l’utilizzo di linguaggi leggibili da una macchina per agevolare e automatizzare la leggibilità e la chiarezza;
- comprensibilità – gli interessati devono avere una buona comprensione di ciò che possono aspettarsi dal trattamento dei loro dati personali, in particolare quando si tratti di minori o di soggetti appartenenti ad altre categorie vulnerabili;
- multicanalità – le informazioni dovrebbero essere fornite attraverso canali e mezzi di comunicazione diversi, non solo quelli testuali, per aumentare la probabilità che raggiungano efficacemente l’interessato;
- approccio multilivello – le informazioni devono essere fornite secondo un approccio multilivello, in modo da garantire un equilibrio tra completezza e comprensibilità, rispecchiando le ragionevoli aspettative degli interessati.( Vedasi le Linee Guida EDPB 4/2019 par: 3.1.)

3) Nelle Linee Guida EDPB n. 3/2022 sui Dark Patterns nelle piattaforme web e social media, che richiamano quelle sulla trasparenza, ribadendo come l'articolo 5 (1) (a) del GDPR stabilisca che i dati personali debbano essere trattati in modo trasparente nei confronti dell'interessato, fornendo le informazioni in una "forma concisa, trasparente, comprensibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice”.

Nelle stesse viene altresì espressamente indicato che, per Dark Patterns, si intendono le interfacce e le “user experience” implementate sulle piattaforme di social media che inducono gli utenti a prendere decisioni non volute, involontarie e decisioni potenzialmente dannose in merito ai loro dati personali.

I Dark Patterns mirano ad influenzare i comportamenti degli utenti e possono ostacolare la loro capacità di "proteggere efficacemente i propri dati personali e di fare scelte consapevoli ", ad esempio rendendoli incapaci di "dare un consenso informato e libero "(Vedasi le Linee Guida n. 3/2022 “on Dark patterns in social media platform interfaces: How to recognise and avoid them”)

Il Gruppo di lavoro si è quindi concentrato sul tema della trasparenza e dell’accessibilità delle informazioni nei confronti dei soggetti con difficoltà.

Il task è stato quello di riassumere in un vademecum - fruibile da chiunque debba strutturare una informativa - tutte le best practices raccolte tramite Linee Guida internazionali, interviste sul campo, documentazione scientifica.

La scelta del Gruppo di lavoro, infatti, è stata quella di alleggerire ove possibile, a chi si trovi a dover rendere trasparenti ed accessibili informazioni, l’incombenza di doversi documentare per capire come raggiungere tale imprescindibile obiettivo.

In a nutshell: ottenere il duplice risultato di semplificare la vita ai titolari del trattamento e di garantire la possibilità di essere realmente informati, davvero a tutti, nessuno escluso.

Siamo partiti dalle casistiche maggiormente diffuse e sfidanti per i titolari del trattamento, con il preciso e forse ambizioso intento di creare un vademecum che fosse pratico in quanto facilmente fruibile, ma al tempo stesso rigoroso dal punto di vista tecnico.

Sono state prese in considerazione varie casistiche di difficoltà legate alle seguenti macroaree, qui di seguito brevemente descritte:

a) svantaggio linguistico, culturale e socio-politico-economico;
b) disabilità sensoriale;
c) deficit cognitivo lieve.

A breve il risultato del lavoro sarà presentato da Federprivacy con una apposita circolare e non sarà di certo un punto di arrivo né di per sé né rispetto alle attività del Gruppo di Lavoro.

Note sull'Autore

Sergio Aracu Sergio Aracu

Data Protection Officer, Privacy Officer certificato TÜV Italia, Founding Partner Area Legale Srl, Membro Gruppo di Lavoro Federprivacy per l’agevolazione dell’esercizio dei diritti dell’interessato

Prev Privacy & Sostenibilità: gli impatti dell’Agenda 2030 sulla protezione dei dati personali
Next Privacy e medicina predittiva: come conciliare il ricorso all’Intelligenza Artificiale con la tutela dei dati personali

Il presidente di Federprivacy a Report Rai 3

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy