Presupposto fondamentale di un trattamento lecito è che venga fornita all’interessato una adeguata informativa sul trattamento dei suoi dati prima che egli presti il consenso o comunque nel momento in cui sono raccolti se il consenso non è previsto come necessario.
L’informativa deve contenere le seguenti indicazioni:
– identità dell’interessato;
– finalità del trattamento;
– base giuridica del trattamento;
– eventuali obblighi di legge o di contratto e conseguenze del rifiuto;
– ambito di circolazione dei dati per destinatari;
– durata del trattamento;
– eventuale processo decisionale basato unicamente su un trattamento automatizzato;
– i diritti dell’interessato.
L’informativa non deve essere necessariamente scritta anche se è opportuno che lo sia perché deve essere fornita la prova del suo contenuto e del fatto di averla data.
È consigliabile che l’informativa venga resa in due parti: una sintetica che indica il contenuto minimo della stessa ed una più estesa, a cui la prima rimanda, che sia invece più ampia.
L’informativa deve essere chiara. Meglio usare espressioni colloquiali semplici che un linguaggio tecnico-giuridico troppo articolato.
I diritti dell’interessato sono:
– diritto di accesso ai dati che lo riguardano;
– diritto di rettifica e integrazione dei dati;
– diritto di limitazione del trattamento alla sola conservazione;
– diritto di revoca del consenso;
– diritto di cancellazione dei dati e diritto di oblio (right to be forgotten);
– diritto di opposizione al trattamento, ma solo nei casi previsti;
– diritto alla portabilità dei dati (data portability) trattati in modo strutturato.
Il consenso deve essere informato, libero, specifico, inequivocabile e espresso.
Non importa che sia scritto ma deve risultare in modo chiaro la volontà dell’interessato di acconsentire al trattamento. Il consenso deve essere prestato per ogni tipo di trattamento per cui il consenso ottenuto per l’archiviazione dei dati fiscali non è idoneo a consentire di utilizzare quegli stessi dati per finalità di marketing.
Il consenso deve poi essere “esplicito” nel caso di trattamento di dati sensibili, per attività decisionali basate su trattamenti automatizzati e nel caso di trasferimento di dati verso un paese terzo o un’organizzazione internazionale non adeguati.