Ciascun interessato deve conoscere quali sono i propri dati personali oggetto di trattamento, da chi sono trattati, per quale finalità e per quanto tempo. Solo così, infatti, sarà davvero possibile controllare il rispetto del proprio diritto alla protezione dei dati ed eventualmente intervenire per bloccare un utilizzo illecito.
La trasparenza è perciò uno dei presupposti fondamentali di ogni corretto trattamento di dati personali ed è richiamata espressamente dall’art. 5 del GDPR, ove si afferma che “i dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”. Il principio di trasparenza risulta così strettamente correlato a quello di equità e a quello di responsabilizzazione (principi fondanti del Regolamento) e il titolare (o il responsabile) dovrà, pertanto, essere in grado di dimostrarne la conformità nell’ambito delle attività di trattamento effettuate. La trasparenza infatti è uno strumento indispensabile per garantire che i dati personali siano trattati nel rispetto dei diritti e delle libertà fondamentali degli interessati, poiché pone le basi per consentire la conoscenza e il controllo effettivi da parte delle persone fisiche coinvolte nel trattamento.
La trasparenza è un obbligo trasversale del GDPR che si esplica, in particolare, in tre aspetti:
- l’informativa resa agli interessati circa il trattamento di dati,
- le informazioni date dai titolari agli interessati sui loro diritti; e
- le modalità con cui viene consentito e facilitato l’esercizio dei diritti agli interessati.
Il principio di trasparenza trova, dunque, la sua principale espressione nell’informativa che deve essere rilasciata agli interessati: ciò vuol dire che, entro il prossimo 25 maggio, i titolari del trattamento dovranno revisionare le proprie privacy policy in modo tale che il loro contenuto preveda tutte le informazioni necessarie per rispettare ed assicurare effettività al principio di trasparenza (e i requisiti pratici sono indicati, come vedremo nell’apposita sezione, dagli articoli 12, 13 e 14 del GDPR). Importanza centrale nel rispetto del GDPR assume quindi l’informativa nei confronti degli interessati, nella quale andranno esplicitate tutte queste informazioni, dall’identità del titolare alle finalità del trattamento, dalla possibilità di accesso a quella di ricevere informazioni dirette.
La trasparenza, inoltre, va garantita sempre, indipendentemente dalle finalità per le quali viene effettuato il trattamento, ed in tutte le sue fasi (vale a dire: prima che vengono raccolti i dati personali, durante l’intero processo di elaborazione dei dati ed al verificarsi di circostanze particolari, come in caso di violazioni dei dati). Ciò significa, a livello pratico, che tutte le informazioni relative al trattamento di dati effettuate devono sempre essere rese accessibili agli interessati ed essere fornite con modalità ed espressioni chiare e facilmente comprensibili da chiunque.
Il concetto di trasparenza, come visto, va inteso con una portata molto ampia e va applicato anche alle modalità con cui vengono effettuate le operazioni di trattamento, alle tipologie ed alla quantità di dati trattati.
Le regole fondamentali al riguardo sono disciplinate dal Capo III del GDPR, dedicato ai Diritti degli interessati, ma la trasparenza non viene direttamente definita dal Regolamento. Una chiara esplicazione del suo significato può essere, peraltro, ricavata dall’art. 12, comma 1, GDPR, il quale prevede, in particolare che le comunicazioni rese agli interessati siano fornite (i) “in forma concisa, trasparente, intellegibile e facilmente accessibile” e (ii) “con un linguaggio semplice e chiaro” (“Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato” 12, comma 1, GDPR). Ne consegue che le informazioni relative alla privacy dovrebbero essere date separatamente rispetto ad altre informazioni non connesse al trattamento dei dati, e con una formulazione diretta, efficace e comprensibile. A tal fine, i titolari potrebbero avvalersi anche di strumenti di visualizzazione particolari (immagini o icone) e dovrebbero rapportare le espressioni alla tipologia media di interessato a cui le stesse sono rivolte, rendendo comunque tutte le informazioni direttamente disponibili agli interessati, senza necessità di effettuare ricerche o richieste particolari.
Ancora, il GDPR richiede, per il rispetto del principio di trasparenza, che le informazioni siano date “per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi [n.d.r: non orali] l’identità dell’interessato” (art. 12, co. 1, GDPR). Le linee guida al riguardo hanno precisato che la forma di default deve essere quella scritta e che per non “appesantire” eccessivamente le comunicazioni, i responsabili possono avvalersi di informative su più livelli (in forma abbreviata con rinvio immediato a quella estesa, ad esempio) od utilizzare strumenti elettronici come avvisi pop-up contestuali “just-in-time”, notifiche touch o hover-over e apposite dashboard. La comunicazione in forma orale, invece, è sempre opportuno che sia accompagnata anche da idoneo avviso per iscritto.
Per garantire il rispetto della trasparenza, è fondamentale, ad ogni modo, che le informazioni vengano date in modo tale che l’interessato possa capire in anticipo quali sono le finalità del trattamento, qual è il suo ambito e quali sono le conseguenze per i propri diritti se non si oppone ad esso.
Infine, sempre all’art. 12, il GDPR precisa anche che le informazioni e le eventuali comunicazioni devono essere fornite gratuitamente agli interessati. Solo in pochi casi eccezionali, come ad esempio, se le richieste da parte dell’interessato sono manifestamente eccessive o assolutamente ripetitive, il titolare potrà chiedere un rimborso spese, ragionevole e rapportato agli eventuali costi amministrativi sostenuti per raccogliere le informazioni (comma 5: “Le informazioni fornite ai sensi degli articoli 13 e 14 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 15 a 22 e dell’articolo 34 sono gratuite. Se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può: a) addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta; oppure b) rifiutare di soddisfare la richiesta. Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta”).