L’obbligo di fornire agli interessati le informazioni e le comunicazioni in forma “concisa e trasparente” implica che il titolare del trattamento presenti le informazioni/comunicazioni in maniera efficace e succinta al fine di evitare un subissamento informativo. Tali informazioni dovrebbero essere differenziate nettamente da altre che non riguardano la vita privata, quali clausole contrattuali o condizioni generali d’uso. Nell’ambiente online l’utilizzo di una dichiarazione/informativa sulla privacy stratificata consentirà all’interessato di consultarne immediatamente la specifica sezione desiderata, senza dover scorrere ampie porzioni di testo alla ricerca di un argomento in particolare.
L’obbligo di fornire informazioni “intelligibili” implica che risultino comprensibili a un esponente medio del pubblico cui sono dirette. L’intelligibilità è strettamente connessa all’obbligo di utilizzare un linguaggio semplice e chiaro. Il titolare dei dati responsabilizzato saprà su che tipo di persone raccoglie informazioni e potrà utilizzare tali conoscenze per stabilire che cosa è probabile che il pubblico in questione comprenda. Ad esempio, il titolare che raccoglie dati personali di professionisti potrà immaginare che il suo pubblico presenti un livello di comprensione superiore rispetto a quello cui si rivolge il titolare che ottiene dati personali di minori. Se non è certo del livello di intelligibilità e trasparenza delle informazioni e dell’efficacia delle interfacce utente/informative/dichiarazioni, ecc., il titolare può effettuare dei test, ad esempio ricorrendo, secondo il caso, a meccanismi quali gruppi di utenti, test di leggibilità, interazioni formali e informali e dialoghi con gruppi di settore, associazioni dei consumatori ed enti normativi.
Una considerazione centrale al principio della trasparenza evidenziata in queste disposizioni è che l’interessato dovrebbe essere in grado di determinare in anticipo quali siano la portata del trattamento e le relative conseguenze e non dovrebbe successivamente essere colto di sorpresa dalle modalità di utilizzo dei dati personali che lo riguardano. Ciò costituisce un aspetto importante del principio di correttezza di cui all’articolo 5, paragrafo 1, del regolamento ed è altresì connesso al considerando 39, il quale stabilisce che “[è] opportuno che le persone fisiche siano sensibilizzate ai rischi, alle norme, alle garanzie e ai diritti relativi al trattamento dei dati personali...”. In particolare per il trattamento di dati in casi complessi, tecnici o inattesi, la posizione del Gruppo è che, oltre a fornire le informazioni prescritte agli articoli 13 e 14 (di cui ci si occuperà nel prosieguo delle presenti linee guida), il titolare del trattamento debba dichiarare in una sede distinta, in un linguaggio privo di ambiguità, quali saranno le principali conseguenze del trattamento, in altre parole, quale tipo di effetto sull’interessato, descritto in una dichiarazione/informativa sulla privacy, avrà concretamente il trattamento specifico. Conformemente al principio di responsabilizzazione e in linea con il considerando 39, il titolare del trattamento dovrebbe valutare se questo tipo di trattamento presenti per le persone fisiche rischi particolari da segnalare loro. Ciò può contribuire a offrire una panoramica dei tipi di trattamento che potrebbero avere l’impatto più forte sui diritti e libertà fondamentali degli interessati in relazione alla protezione dei dati personali che li riguardano.
L’elemento della “facile accessibilità” implica che l’interessato non sia costretto a cercare le informazioni, ma che anzi gli sia immediatamente chiaro dove e come queste siano accessibili, ad esempio perché gli sono fornite direttamente, un link lo dirige verso di esse o le informazioni sono contrassegnate chiaramente oppure perché le informazioni si configurano come risposta a una domanda in linguaggio naturale (ad esempio in una dichiarazione/informativa sulla privacy stratificata online, in FAQ, mediante pop-up contestuali che si attivano quando l’interessato compila un modulo online oppure, in un contesto digitale interattivo, attraverso un’interfaccia chatbot, ecc. Questi meccanismi sono trattati nel dettaglio in seguito, tra cui ai paragrafi 33-40.
Esempio
Tutte le organizzazioni che hanno un sito Internet dovrebbero pubblicarvi una dichiarazione/informativa sulla privacy. Su ogni pagina del sito dovrebbe essere chiaramente visibile un link diretto alla dichiarazione/informativa sulla privacy che riporti una dicitura di uso comune (come “Privacy”, “Informativa sulla privacy” o “Informativa sulla protezione dei dati”). Non sono considerati facilmente accessibili un posizionamento o codici cromatici tali da rendere il testo o il link meno visibile o difficile da individuare in una pagina Internet.
Per le app le informazioni necessarie dovrebbero essere messe a disposizione presso uno store online prima del download. Una volta installata l’app, le informazioni devono continuare a essere facilmente accessibili al suo interno. Un modo per soddisfare questo requisito consiste nel garantire che le informazioni non siano mai a più di due “tocchi” di distanza (ad es. includendo un’opzione “Privacy”/”Protezione dei dati” nella funzione di menù dell’app). Inoltre, l’informativa sulla privacy dovrebbe essere specifica alla app e non meramente l’informativa generica dell’azienda che è proprietaria dell’app o che la mette a disposizione pubblicamente.
Il Gruppo raccomanda come migliore prassi che, al momento della raccolta dei dati personali in ambiente online, sia fornito un link alla dichiarazione/informativa sulla privacy o che tali informazioni siano messe a disposizione sulla stessa pagina in cui sono raccolti i dati personali.
