Faccio una ricerca su Google scrivendo “informativa privacy pdf”.
Le informative che trovo sono tutte rese ai sensi del Codice della Privacy, art. 13, e non sono state ancora adeguate al Reg. UE 679/2016. Provo, quindi, a fare un piccolo test di conformità alla normativa italiana (che sta per essere superata) ed a verificare quanti e quali aggiornamenti sono necessari.
Comincio leggendo la prima informativa. Non è lunga, solo una pagina: ce la posso fare. È l’informativa di una società di brokeraggio. Andando avanti, mi rendo conto che la forma è concisa, trasparente, intellegibile ed il linguaggio semplice e chiaro (così come prescritto dall’art. 12 del Reg. UE 679/2016). Mi soffermo sul paragrafo dedicato alla “Comunicazione dei dati” (forse quello più delicato) e mi colpisce un “rimando” (nelle informative ce ne sono spesso anche se sarebbero da evitare) che riferisce testualmente “I dati personali possono essere comunicati per le finalità di cui al punto 1) lettera a)…”. Vado a rivedere il punto 1 e scopro che non c’è nessuna lettera a): il punto 1 è una sezione senza “sottosezioni”. Non è un errore banale, perché il paragrafo prosegue con “inoltre i dati personali possono essere comunicati per le finalità di cui al punto 1) lettera b)…”. No, così non va: c’è da lavorare. Passiamo alla prossima.
È l’informativa di una università: 10 righe. Perfetto. Ma c’è tutto? Ci sono le finalità del trattamento ma non le modalità. Poi, testualmente, si dice “la comunicazione o la diffusione dei dati personali a soggetti privati sarà effettuata…”. Ma come? Confondiamo “comunicazione” e “diffusione”? La comunicazione è il trasferimento dei dati verso soggetti identificati (l’analogo dell’invio di una lettera in busta chiusa all’indirizzo di qualcuno) mentre la diffusione è il trasferimento dei dati a soggetti non qualificati né quantificati (l’analogo di mettere i manifesti). Mancano, inoltre, le conseguenze di un rifiuto al conferimento dei dati. Anche qui c’è molto da lavorare.
La terza è l’informativa di un big player italiano nel settore dei servizi. E si vede: cinque pagine di informativa. Certo, i servizi che offre sono articolati ma pochi riescono a leggere cinque pagine di informativa senza distrarsi. Quello che più stona, però, è una certa ambiguità insita nell’uso del futuro: “i dati personali saranno trattati…”, “i dati sensibili potranno essere trattati…”, “il trattamento dei dati personali avverrà mediante…”. Parliamo di realtà o di ipotesi?
L’ultima informativa appare sobria: una sola pagina. Ma risulta fantasiosa nel contenuto. In particolare, quando dice “Il trattamento che intendiamo effettuare è finalizzato alla gestione dell’invio delle informative”: sbigottimento! Quindi, è l’informativa dell’informativa. E, poi, quando dichiara solennemente “Il conferimento dei dati è facoltativo ma necessario”. Perfetta per un film di Totò.
Come diceva il principe “siamo uomini o caporali”