Come si fa a scrivere un’informativa privacy? Pardon: come si fa a scriverla bene?
Evitiamo di affidarci alle approssimazioni che sfociano in copia-e-incolla compulsivi, o a chi vuole spiegarci come fare la perfetta informativa proponendo soluzioni generiche che poi sfociano in una rilettura degli articoli 13 e 14 GDPR.
Nel primo caso, per evitare errori. Nel secondo, per evitare di perdere tempo.
Infatti è già possibile estrarsi una comoda checklist leggendo già gli articoli 13 e 14, rispettivamente nel caso in cui si vadano a raccogliere i dati direttamente dall’interessato o altrimenti da una fonte differente.
Bisogna chiedersi innanzitutto quando si deve scrivere l’informativa. Logica vuole dopo la compilazione del registro dei trattamenti, anche in bozza, in quanto rendiconta le attività svolte. Solitamente è una buona idea inserire direttamente nel registro tutte le informazioni da dover rendere agli interessati.
Scrivere un’informativa privacy: istruzioni per l’uso
Come fare? Una volta individuati i contenuti, si deve fare riferimento all’art. 12 GDPR per capire come scrivere. Per quanto riguarda la forma concisa e trasparente, è sufficiente una coerenza con il registro. Per quanto riguarda invece il linguaggio semplice e chiaro, e la forma intelligibile e facilmente accessibile, si deve tenere conto dei destinatari delle informazioni. Ovverosia gli interessati. Che a loro volta sono riportati all’interno del registro. Quindi bisognerà avere particolare cura di saper comunicare quei contenuti, in modo non decettivo né confuso. E se il primo aspetto si risolve con la buona fede, il secondo avendo le idee chiare. Tanto dei destinatari dell’informazione quanto di un metodo comunicativo efficace che può essere applicato a riguardo, tenendo conto soprattutto del contesto e delle circostanze in cui il titolare svolge le attività di trattamento dei dati personali.
Approccio stratificato. Un metodo per rendere l’informativa maggiormente leggibile è quello di procedere in modo stratificato, facendo in modo che l’interessato abbia inizialmente un’idea generale dell’attività svolta sui dati e poi possa approfondire ulteriori aspetti. Il primo layer informativo – in ambienti digitali e non digitali – deve dunque indicare l’identità del titolare, le finalità perseguite e i diritti esercitabili.
Icone o non icone? Per decidere a riguardo c’è la pagina del Garante Privacy dedicata alle icone, ricordando che le icone non possono sostituire il testo informativo. Sono per lo più un’aggiunta di design. Attenzione, però: le icone presentate all’esito del contest indetto sono sotto licenza CC BY 4.0 e dunque andrà citato l’autore. Possono comunque essere prese come una serie di spunti da cui trarre ispirazione, almeno fintanto che non sarà creato direttamente dall’Authority un set di icone standardizzate e CC 0 (ovverosia: di pubblico dominio).
Ma…serve davvero scriverle?
In realtà no. Per meglio dire: in generale è possibile, con alcune accortezze. In altri casi invece è addirittura preferibile come ad esempio nell’ipotesi di interessati ipovedenti o con difficoltà di comprensione di testi scritti e l’adozione di un’informativa audio. La quale però in questo caso e in casi analoghi deve essere riascoltabile su richiesta dell’interessato. Al di fuori di queste ipotesi specifiche, può essere in aggiunta rispetto ad un’informativa scritta, stratificando così il medium comunicativo con dei contenuti audiovisivi.
Per quanto riguarda l’aspetto della rendicontazione dell’adempimento, è invece sufficiente comprovare l’efficacia informativa del metodo adottato nei confronti degli interessati e, se del caso, della richiesta da parte dell’interessato di ricevere tali informazioni oralmente.