ICO: sanzioni per poca trasparenza e consenso illecito

ICO: sanzionata azienda per poca trasparenza e consenso non informato

Marketing, informativa e consenso si confermano criticità da non sottovalutare

Il 9 aprile scorso l’autorità di controllo del Regno Unito (Information Commissioner’s Office, ICO) ha emesso un provvedimento sanzionatorio per 400.000 sterline (circa 460.000 euro) per aver illecitamente condiviso con terze parti i dati personali appartenenti a oltre 14 milioni di persone.

Il fatto.

Nell’ambito degli accertamenti messi in atto dall’ICO, è stato rilevato che la Bounty Limited avesse raccolto informazioni personali ai fini della registrazione e dell’iscrizione tramite differenti modalità, tra cui il suo sito web e la sua app per smartphone, schede di richieste di merchandise e direttamente da nuove madri ai letti d’ospedale.

La società gestisce un sito web che fornisce informazioni, consigli e supporto in gravidanza e genitorialità per le mamme nuove e incinte, offrendo anche prodotti a supporto delle famiglie nella transizione alla genitorialità, dalla gravidanza alla nascita, dall’infanzia all’asilo. Inoltre, gestisce anche una comunità online che consente alle famiglie di condividere problemi, preoccupazioni, suggerimenti e risultati con una rete di supporto di mamme che stanno attraversando la stessa situazione; ancora, fornisce prodotti e servizi, come borse e pacchetti di campioni di prodotti, invii postali e newsletter, ritratti e servizi di pubblicazione settimanali. Infine, gestisce Bounty Boutique, un negozio online che vende giocattoli, coperte e mussole, carte e accessori (fonte: Bloomberg).

Durante le indagini è emerso altresì che la società avesse operato, sino al 30 aprile dello scorso anno, anche trasferendo i dati raccolti, cedendoli, a soggetti terzi per finalità di marketing diretto tramite modalità elettroniche, per un ammontare di oltre 34 milioni di record tra giugno 2017 e aprile 2018. Tali dati sono stati ceduti a un totale di 39 organizzazioni (tra cui le quattro di maggior rilievo sono Acxiom, Equifax, Indicia e Sky) operanti nel credito al consumo e nel marketing.

I dati personali condivisi erano riferibili a neomamme o future madri, neonati o bambini molto piccoli e includevano, oltre alla data di nascita e al sesso del bambino, anche altre informazioni particolarmente meritevoli di tutela.

Inoltre, il procedimento ispettivo ha rilevato che per le registrazioni online, sebbene l’informativa sul trattamento dei dati personali resa da Bounty fornisse “una descrizione ragionevolmente chiara delle organizzazioni con le quali potevano condividere le informazioni”, non indicava in modo esplicito nessuno dei quattro maggiori destinatari sopra citati.

Infine, è risultato che le finalità di marketing (anche da parte di terzi) non soggiacessero al cosiddetto otp-in, ossia un’espressione libera, volontaria, chiara, inequivocabile e specifica del consenso degli interessati.

Le ragioni della sanzione.

Secondo la legislazione del Regno Unito, pertanto, la Bounty ha violato il Data Protection Act del 1998 (il loro omologo del nostro Codice privacy), condividendo le informazioni in suo possesso con un numero di organizzazioni terze senza rendere un’idonea informativa, in particolare sotto al profilo della chiarezza al riguardo di tale attività di trattamento, agli interessati.

Steve Eckersley, dell’ICO, ha dichiarato:

Il numero di documenti personali e di persone coinvolte in questo caso non ha precedenti nella storia delle indagini condotte dall’ICO nei settori dell’intermediazione di dati e delle organizzazioni collegate a questo.

Bounty non ha tenuto un comportamento aperto e trasparente verso le milioni di persone interessate, che, quindi, non erano a debita conoscenza del fatto che i loro dati personali potessero essere trasmessi a un numero così grande di organizzazioni. Qualsiasi consenso dato da queste persone era chiaramente non informato. Le azioni di Bounty sembravano essere state motivate dal guadagno finanziario, dato che la condivisione dei dati era una parte integrante del loro modello di business al momento.

Tale sconsiderata condivisione di dati potrebbe aver causato disagio a molte persone, dal momento che non sapevano che le loro informazioni personali venissero condivise più volte con così tante organizzazioni, incluse le informazioni sul loro stato di gravidanza e sui loro figli”.

Dopo Google, un altro caso.

Solo poche settimane fa un’altra autorità di controllo, la CNIL, aveva sanzionato Google per la stessa ragione (qui l’articolo).

Appare sempre più chiaro, quindi, la centralità della trasparenza e della completezza delle informazioni da rendere alle persone di cui si vogliono trattare i dati personali, sulla base delle quali esse possono esprimere un consenso regolare oppure rifiutarci il trattamento per determinate finalità.

Ne consegue che determinare il contenuto di un’informativa, disciplinata dagli articoli 13 e 14 del GDPR e dalle linee guida dell’EDPB sulla trasparenza, non è così semplice e dovrebbe essere oggetto di una progettazione approfondita, poiché dovrebbe rispecchiare in modo fedele l’ambito e il contesto a cui si deve riferire.

L’attenzione al dettaglio non è mai troppa e la sanzione, come abbiamo visto, è dietro l’angolo e potrebbe non essere irrisoria.


Fonte: Fiscal Focus

Controllo a distanza dei lavoratori, privacy e INL

Controllo a distanza dei lavoratori, privacy e INL

Le novità e gli adempimenti da affrontare alla luce del nuovo contesto normativo

L’attività di telecontrollo dei lavoratori è uno degli aspetti maggiormente critici della vita di un’impresa. Sin dal 1970, con lo Statuto dei lavoratori, il Legislatore nazionale si è preoccupato di disciplinare l’argomento andando a definire, in particolare, gli obblighi dei datori di lavoro e i diritti dei lavoratori. Nel tempo, lo Statuto ha subìto numerose modificazioni ed è stato affiancato da altri testi normativi, in particolare quelli che trattano di protezione dei dati personali, di cui il Codice privacy e il GDPR sono la massima espressione in questo momento. Una doverosa premessa è che la legge considera eguali sia le attività volontariamente messe in atto per controllare, sia quelle che generano la mera possibilità di farlo. Questo è sicuramente un approccio prudenziale. L’art. 4 dello Statuto dei lavoratori, prevede che “gli impianti audiovisivi e gli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali”. L’oggetto della norma, quindi, è limitato agli strumenti e alla possibilità che avvenga il controllo a distanza, a prescindere che sia effettivamente messa in atto o meno; in questa frase, inoltre, vengono esplicitati gli unici presupposti di liceità del trattamento, qualora sia effettuato su base volontaria (per esempio, nei locali adibiti a sale per le videolottery, le telecamere DEVONO essere installate, perché previsto per legge) e viene posto il vincolo dell’accordo sindacale. “In mancanza di accordo”, prosegue l’art. 4, “gli impianti e gli strumenti di cui al primo periodo possono essere installati previa autorizzazione della sede territoriale dell’Ispettorato nazionale del lavoro”. A onor del vero, l’articolo contiene anche altre indicazioni, ma non sono pertinenti in questa sede. Recentemente, il Ministero del Lavoro e delle Politiche Sociali ha definito i nuovi standard per procedere con l’inoltro dell’istanza di autorizzazione all’impiego di strumenti che permettono il controllo a distanza dei lavoratori (per esempio gli impianti di videosorveglianza o di rilevazione satellitare tramite rete GPS), pubblicando sul sito dell’Ispettorato Nazionale del Lavoro la modulistica da presentare per ottenerla. Compilare i campi richiesti è un’operazione semplice. L’insidia risiede in un dettaglio che, se ignorato, rischia di generare enormi ripercussioni sul piano amministrativo e penale. In tutti i moduli (videosorveglianza, GPS e “altri mezzi”), infatti, è presente una dichiarazione che il legale rappresentante presta come dichiarazione sostitutiva ai sensi dell’art. 46 del DPR 445/2000 e punita penalmente, in caso di mendacità, ai sensi del successivo art. 76, oltre che con la decadenza dai benefici eventualmente conseguenti al provvedimento emanato sulla base di una dichiarazione non veritiera. La dichiarazione, tra le altre cose, include due aspetti chiave:
  • Che si provvederà ad informare tutti i lavoratori, come previsto dallo Statuto dei lavoratori;
  • Che sarà rispettata la disciplina dettata dal GDPR.
I verbi sono al futuro perché l’autorizzazione dovrebbe essere richiesta prima di procedere e iniziare il trattamento dei dati, non successivamente. La parte complicata è fare in modo che il sistema di telecontrollo sia conforme ai dettami sulla privacy: compilare il modulo per l’istanza e scrivere le relazioni tecniche richieste non è assolutamente sufficiente, ed è doveroso procedere almeno con:
  • La conduzione di una valutazione d’impatto, focalizzata sul trattamento considerato (attenzione al coinvolgimento del Garante, nel caso risultassero rischi elevati per i diritti e le libertà delle persone);
  • La predisposizione di adeguate evidenze in materia di privacy by design e privacy by default, tra cui una certificazione da parte dell’eventuale installatore o manutentore;
  • Il censimento dell’attività nel registro dei trattamenti;
  • La predisposizione di specifiche informative;
  • La predisposizione di una procedura e di una politica interna che disciplinino specificamente l’argomento e che siano coerenti con gli altri documenti già presenti (per esempio il contratto collettivo, il regolamento interno o il codice disciplinare);
  • L’individuazione di persone autorizzate al trattamento, avendo cura di procedere contestualmente con la specificazione dei poteri operativi in caso si usino strumenti informatizzati (di amministratore di sistema o di utente).
Non essere conformi a quanto disposto dal GDPR, implica una non conformità anche sugli obblighi disposti dal Codice privacy e dallo Statuto dei lavoratori e, conseguentemente, pone il legale rappresentante nella posizione di rendere una dichiarazione non veritiera. Tutto ciò, comporta sanzioni di carattere amministrativo (per esempio ai sensi dell’art. 83 del GDPR) e penale (per esempio ai sensi dell’art. 76 del DPR 445/2000 e dall’art. 38 dello Statuto dei lavoratori).
Fonte: Fiscal Focus

Google vs CNIL: quando la trasparenza costa 50 milioni

Google vs CNIL: quando la trasparenza costa 50 milioni

L’autorità di controllo francese ha sanzionato Google, sulla base del GDPR, per non essere stata trasparente e non aver individuato le basi giuridiche per fare pubblicità

Con il GDPR, l’intero territorio dell’UE vede applicare le medesime sanzioni amministrative pecuniarie in materia di privacy. Lo stesso si può affermare anche per tutte quelle entità che, pur non essendo stabilite in Europa, qui hanno i loro affari, anche attraverso le loro filiali sul territorio. È questo il caso di Google LLC, la famosa società californiana.

La CNIL, l’omologo francese del nostro Garante privacy, che già sul finire del 2018 aveva provveduto a sanzionare altri colossi come Uber e Bouygues Télécom, rispettivamente per 400.000 € e per 250.000 €, ha recentemente sanzionato il colosso di Mountain View con una sanzione amministrativa pecuniaria pari a 50 milioni di Euro. L’impianto sanzionatorio del GDPR L’articolo di riferimento è l’83, par. 5, che prevede sanzioni fino a 20 milioni o fino al 4% del fatturato, se superiore (è evidente che siamo di fronte al caso in cui il 4% è superiore), in particolare per le violazioni che impattano sui diritti degli interessati. In questo caso, l’informativa e la definizione delle basi giuridiche sulle quali procedere con il trattamento (tra cui, ricordiamo, il consenso). Il comunicato della CNIL Come si legge sul sito istituzionale dell’autorità francese, relativamente alla delibera di 31 pagine con sui si argomenta la decisione sanzionatoria, il 21 gennaio 2019, la CNIL ha pronunciato una sanzione per mancanza di trasparenza, informazioni insoddisfacenti e mancanza di valido consenso per la personalizzazione di pubblicità. Il 25 e il 28 maggio 2018, la CNIL aveva ricevuto reclami collettivi da parte di due associazioni distinte. In questi due reclami, le associazioni evidenziavano come Google non avesse una valida base giuridica per trattare i dati personali degli utenti dei suoi servizi, in particolare ai fini della personalizzazione della pubblicità. la CNIL, quindi, iniziò immediatamente a indagare, coinvolgendo le sue controparti europee, in particolare l’autorità di protezione irlandese in cui si trovano le sedi europee di Google. L’istruttoria, alla data in cui la CNIL iniziò i suoi lavori, aveva evidenziato come l’establishment irlandese non avesse alcun potere decisionale sui trattamenti effettuati nell’ambito del sistema operativo Android e sui servizi forniti da Google LLC in relazione alla creazione di un account utente durante la configurazione di un telefono cellulare. In altre parole, la filiale irlandese non poteva essere considerata titolare del trattamento e, in ragione del fatto che il principio dello “sportello unico” (art. 56 del GDPR) non fosse applicabile, la CNIL era da ritenersi competente a condurre ispezioni e prendere decisioni sui trattamenti attuati da Google LLC. Al termine delle indagini, la CNIL aveva così rilevato due grandi mancanze. Una violazione degli obblighi di trasparenza e di informazione In primo luogo, è stato valutato che le informazioni fornite da Google non fossero facilmente accessibili agli utenti e nemmeno sempre chiare e comprensibili. Gli utenti, pertanto, non erano nella condizione di comprendere l’entità dei trattamenti messi in atto, particolarmente massivi e invadenti. In particolare, le finalità risultavano descritte in modo troppo generico e vago. Allo stesso modo, le informazioni fornite non erano sufficientemente chiare per consentire all’utente di comprendere che la base giuridica dei trattamenti di personalizzazione della pubblicità fosse il consenso e non l’interesse legittimo di Google. Infine, mancava l’indicazione del periodo di conservazione. Mancanza della base giuridica per i trattamenti di personalizzazione della pubblicità Secondo la CNIL, Google faceva affidamento sul consenso degli utenti per trattare i dati per scopi di personalizzazione della pubblicità. Tuttavia, è stato ritenuto che il consenso non fosse stato validamente raccolto per due ragioni. Innanzitutto, il consenso dell’utente non era sufficientemente informato. In secondo luogo, è risultato che il consenso ottenuto non fosse né “specifico”, né “non ambiguo”: infatti, non solo l’utente doveva cliccare sul tasto dedicato per accedere alle impostazioni avanzate, ma la visualizzazione degli annunci personalizzati risultava preselezionata per impostazione predefinita. La sanzione La CNIL, quindi, ha condannato Google al pagamento di una sanzione amministrativa di 50 milioni di euro e alla sua pubblicazione. Questa è la prima volta che un’autorità europea applica le sanzioni massime previste dal GDPR. L’importo e la pubblicità della sanzione sono giustificati dalla gravità delle carenze riscontrate che riguardano i principii essenziali del GDPR: trasparenza, informazione e consenso. Inoltre, le carenze indicavano continue violazioni, non limitate a una data breach puntuale, limitata nel tempo. Osservazioni pratiche Da quanto disposto con la delibera della CNIL, emerge come un elemento apparentemente così semplice, come l’informativa da rendere ai sensi degli artt. 13 e/o 14 del GDPR, sia fattualmente un punto estremamente critico le cui caratteristiche, qualora non fossero rispondenti ai criteri di trasparenza, intelligibilità e facilità di accesso, possono comportare, oltre a un vizio nel conferimento del consenso, l’erogazione di pesanti sanzioni a livello amministrativo. Quelle della fascia più alta, tra le due definite dal GDPR. È chiaro, quindi, che scrivere un’informativa non adeguata non è solo “facile”, ma è anche estremamente grave. Non solo per Google LLC.

Fonte: Fiscal Focus
 

È iniziato il processo di cambiamento del Codice privacy

È iniziato il processo di cambiamento del Codice privacy.

Solo pochi giorni fa il Parlamento delegava il Governo a emanare atti normativi per modificare il nostro Codice privacy, al fine di allinearlo alle disposizioni del GDPR che, come ben sappiamo o dovremmo sapere, è già in vigore e diventerà applicabile tra meno di sei mesi.

Nel frattempo, lo stesso Parlamento si è dato da fare per apportare le prime modifiche attraverso una legge: lunedì 27 novembre, infatti, è stata pubblicata sulla Gazzetta Ufficiale la Legge n° 167, del 20 novembre u.s, recante disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017 (GU Serie Generale n° 277 del 27/11/2017). La legge entrerà in vigore il prossimo 12 dicembre.

Tralasciando il fatto che mi sembra incomprensibile delegare il Governo e poi agire direttamente (cfr. L 163/2017, art. 13, in particolare il co. 3, lett. b)), andiamo a vedere cosa è effettivamente cambiato e proviamo a determinarne gli effetti concreti.

Al codice in materia di protezione dei dati personali sono state apportate due importanti modifiche.

All’articolo 29 (Responsabile del trattamento), dopo il comma 4 è stato inserito il 4-bis:

“Fermo restando quanto previsto ai commi 1, 2, 3 e 4, il titolare può avvalersi, per il trattamento di dati, anche sensibili, di soggetti pubblici o privati che, in qualità di responsabili del trattamento, forniscano le garanzie di cui al comma 2. I titolari stipulano con i predetti responsabili atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento; i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante”.

Sempre all’art. 29, il comma 5 è stato sostituito dal seguente:

“Il responsabile effettua il trattamento attenendosi alle condizioni stabilite ai sensi del comma 4-bis e alle istruzioni impartite dal titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle disposizioni di cui al comma 2, delle proprie istruzioni e di quanto stabilito negli atti di cui al comma 4-bis”.

Infine, dopo l’articolo 110 è stato aggiunto il 110-bis. (Riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici), che recita:

1. Nell’ambito delle finalità di ricerca scientifica ovvero per scopi statistici può essere autorizzato dal Garante il riutilizzo dei dati, anche sensibili, ad esclusione di quelli genetici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.

2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione o anche successivamente, sulla base di eventuali verifiche, il Garante stabilisce le condizioni e le misure necessarie ad assicurare adeguate garanzie a tutela degli interessati nell’ambito del riutilizzo dei dati, anche sotto il profilo della loro sicurezza”.

Dunque, quali sono gli effetti di queste prime modifiche al Codice? Vediamoli insieme.

Innanzi tutto possiamo dire che, soprattutto quando il responsabile del trattamento è esterno, il titolare deve stipulare con lui un contratto scritto, il cui contenuto è solo in parte vincolato dal nuovo Codice: al di là di quello che sarà la volontà delle parti, che si accorderanno come meglio riterranno, questo contratto deve contente almeno la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento. A ben vedere, è molto diverso dal testo del GDPR, che prevede che nel contratto siano indicati la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento, oltre a tutti quegli elementi indicati dalle lettere da a) a h) del par. 3 dell’art. 28 del GDPR e dai paragrafi successivi.

Già qui ci sarebbe da criticare fortemente chi ha scritto il testo delle Legge. A parte che è inutile averlo fatto, avrebbe almeno potuto copiare bene.

Nella seguente tabella evidenzio le differenze.

Caratteristiche del contratto Nuovo Codice privacy modificato GDPR
Forma scritta  Sì
Materia disciplinata No
Natura del trattamento No  Sì
Finalità perseguita No  Sì
Tipologia di dati  Sì
Categorie di interessati No
Durata del trattamento  Sì
Obblighi e diritti del titolare del trattamento No  Sì
Obblighi e diritti del responsabile del trattamento  Sì
Modalità del trattamento  Sì
Altre specifiche No  Sì
Obbligo di conformarsi agli schemi proposti dal Garante  Sì

L’ultimo periodo dell’nuovo comma 4-bis obbliga implicitamente il Garante a predisporre degli “schemi tipo”, cosa che il GDPR gli riconosce come facoltativa.

Sostanzialmente, il nuovo comma 5 non apporta variazioni o innovazioni nel modo in cui i titolari devono vigilare sui propri responsabili.

Il nuovo art. 110-bis, invece, offre una nuova opportunità per i titolari, ovvero quella di trattare ulteriormente i dati già in loro possesso per finalità di ricerca scientifica o statistiche. In linea con il par. 4 dell’art. 9 del GDPR, il Parlamento ha posto due importanti vincoli: il primo è che deve essere ottenuta un’autorizzazione da parte del Garante (magari ci sarà spazio per delle autorizzazioni generali?), mentre il secondo è che, comunque, a prescindere dall’aver ottenuto l’autorizzazione o dalle misure di sicurezza adottate, non sarà lecito trattare per finalità di ricerca scientifica o statistiche i dati genetici. Mi viene da chiedermi come ci si dovrà comportare quando questo divieto contrasterà con finalità d’interesse pubblico rilevante, come la salvaguardia della vita o dell’incolumità fisica dell’interessato o di terzi (cfr. Dlgs 196/2003, art. 26, co. 4, lett. b) e GDPR, art. 6, per. 1, lett. d) e art. 9), con particolare riferimento ai casi in cui qualcuno si sottopone a terapie mediche sperimentali che, per loro stessa natura servono a salvaguardare la vita di qualcuno e sono ancora in fase di studio e, quindi, fortemente legate alla ricerca.

Ritengo che soprattutto su quest’ultimo punto si apriranno dibattiti interessanti nel prossimo periodo.

Trasparenza e comunicazione delle informazioni. Breve analisi critica.

Trasparenza e comunicazione delle informazioni. Breve analisi critica.

Siamo tutti convinti di saper comunicare davvero e ci ergiamo a difensori della trasparenza nelle comunicazioni e nelle informazioni, ma sappiamo davvero cosa significano queste cose?

Comunicazioni trasparenti
Tipico esempio di comunicazione trasparente, se conosci il codice.

Trasparenza.

Di sicuro questa parola ha assunto, nell’ultimo periodo storico, un forte significato sul piano sociale, politico ed economico. Si pretende trasparenza dalle istituzioni, si vuole trasparenza nelle gare d’appalto, si esige trasparenza nei rapporti commerciali…

Ma cos’è davvero la trasparenza? Aver scritto già così tante volte questa parola, in così poche righe l’ha già snaturata e resa banale. Rischia quasi di fare mucchio assieme alle altre sue colleghe come “responsabilità”, “correttezza”, “informazione”…

Durante il congresso annuale di AssoDPO, che si è tenuto a Milano gli scorsi 8 e 9 maggio, uno dei moderatori, a conclusione del suo intervento di riepilogo, faceva notare quanto molto del lavoro che bisognerà affrontare per raggiungere il completo adeguamento al GDPR vedrà le informative come oggetto principale. Solo pochi giorni dopo, il 12 maggio, l’AGCM emetteva un comunicato stampa sulla sanzione da 3 milioni di Euro comminata a WhatsApp, per aver indotto gli utenti a condividere i loro dati con Facebook (qualcuno ricorderà di sicuro un messaggino da parte di WhatsApp, che era arrivato più o meno a metà dello scorso anno, circa le variazioni dei termini di contratto del servizio… ebbene, io lo ricordo, così come ricordo chiaramente di aver accettato senza nemmeno aver letto, il che è di per se un grave errore).

Già il giorno successivo al termine del congresso stavo lavorando su una teoria che vede le norme sulla protezione dei dati strettamente legate con quelle sulla tutela dei consumatori (per quelli che vanno matti per le fonti normative, rispettivamente il Dlgs 196/2003, art. 7, co. 1, il GDPR, art. 12, par. 1 e il Dlgs 206/2005, art. 5, co. 3). Poi l’atto dell’Autorità Garante della Concorrenza e del Mercato mi ha dato una preziosa conferma che fossi sulla strada giusta. Ve la espongo.

Spesso ci si trova a scrivere l’informativa agli interessati, pensando che sia un mero adempimento burocratico di poco conto. Chi è convinto di questo, sottovaluta la questione e non si accorge che quell’informativa è uno dei più importanti biglietti da visita di un’organizzazione, perché non è “solo un’informativa”, ma “comunicazione”.

Oggi la comunicazione è sovente affidata a esperti, e si ritiene che lo scopo principale sia legato al marketing in senso lato e a migliorare la percezione dell’immagine dell’ente da parte degli altri. Ma siamo sicuri di sapere davvero comunicare? Non si sta, forse, sottovalutando uno degli aspetti basilari di questa pratica, ovvero che lo scopo della comunicazione sia trasferire dalla testa dell’emittente, l’esatto concetto che questo sta elaborando, alla testa del ricevente? Bisogna aver presente che se quest’ultimo non capisce cosa gli stiamo dicendo, non è necessariamente stupido lui: è possibile che siamo noi a non aver scelto il linguaggio giusto (sorvolo sugli altri elementi del processo comunicativo, perché non pertinenti in questa sede).

E dunque mi domando: cosa significa “rendere le informazioni all’interessato”? Quali aspetti sono maggiormente critici?

Ebbene, dopo attente riflessioni sono giunto alla conclusione che fornire informative che citano più o meno testualmente la norma o di natura standardizzata o decontestualizzata, sia inutile. Perché contengono dati che sono facilmente intuibili oppure già conosciuti o conoscibili dal ricevente.

Fornire un’informativa agli interessati significa dover pensare a cosa si vuole comunicare, a quali informazioni siano pertinenti nel contesto in cui viene resa, al contesto stesso, al rapporto con l’interlocutore, al mezzo di comunicazione scelto e, soprattutto, al destinatario.

A questo punto ritorno sulla trasparenza e qualcuno, prevedibilmente, si chiederà: cosa c’entra tutto questo con la trasparenza?

Il legame è stretto: trasparenza, in questo caso, significa facilità di accesso all’informazione, significa comprensibilità, significa non fare fatica nel capire cosa qualcuno ci stia comunicando, significa immediatezza.

Non tutte le informative sono uguali perché non tutti i contesti, né tutti gli interlocutori lo sono. Già in alcuni ambiti territoriali (per esempio nelle Regioni a statuto speciale del nord Italia), alcuni operatori economici sono obbligati a informare i loro clienti in almeno due lingue (l’italiano e quella straniera maggiormente usata). Provate poi a immaginare quale potrebbe essere il livello di attenzione di un anziano appena immigrato, a cui comunicate informazioni circa il trattamento dei suoi dati personali in forma orale, ma parlando con lo stesso linguaggio forbito e formale che si potrebbe usare in una comunicazione scritta. Oppure pensate a quanto possa essere efficace una comunicazione in forma scritta fornita a un cieco, senza che questa utilizzi il codice Braille.

Chi mi conosce sa che non vado matto per le citazioni a memoria delle norme, ma stavolta mi sembra utile per sottolineare il concetto che sto esprimendo:

  • Le informazioni al consumatore, da chiunque provengano, devono essere adeguate alla tecnica di comunicazione impiegata ed espresse in modo chiaro e comprensibile, tenuto anche conto delle modalità di conclusione del contratto o delle caratteristiche del settore, tali da assicurare la consapevolezza del consumatore;
  • L’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile;
  • Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.

Che lo ammettiate o meno, questi tre disposti normativi ci impongono la stessa identica cosa: la trasparenza.

E la trasparenza è relativa e va vista dalla prospettiva del destinatario. Spero di essere riuscito a comunicarlo.