Tra le novità introdotte dal nuovo Regolamento UE (n.679/2016) -direttamente applicabile in tutti gli Stati membri a partire dal 25 maggio- la rinnovata attenzione nei riguardi del principio di trasparenza può essere considerata centrale per l’intera disciplina Privacy, in un’ottica di accountability e responsabilizzazione dei ruoli. È bene precisare che, seppure nel Regolamento UE non sia presente un’esplicita definizione del concetto di trasparenza, il testo ruota interamente attorno ad esso, soprattutto in relazione alla centralità della figura dell’interessato (cioè colui i cui dati vengono trattati) che ne diventa il protagonista principale.
Tuttavia, da una disamina dei contenuti del Regolamento UE, diversi sono gli articoli e i riferimenti, in cui si rintracciano degli accenni al concetto di trasparenza, essenziale per garantire un trattamento dei dati personali conforme a quanto previsto dalla disciplina in materia Privacy.
Secondo quanto prescritto dal WP29[1], la trasparenza dovrebbe caratterizzare principalmente tre momenti: il modo in cui si forniscono le informazioni ai soggetti interessati al trattamento dei dati; il modo in cui i Titolari del trattamento comunicano con gli interessati; il modo in cui i Titolari del trattamento facilitano l’esercizio dei diritti da parte degli interessati.
Già a partire dall’articolo 5 del GDPR “Principi applicabili al trattamento di dati personali”, il Legislatore afferma infatti che, “i dati personali sono trattati in modo lecito, corretto e trasparente nei confronti dell’interessato”. Quest’affermazione non fa altro che chiarire che gli interessati dovrebbero conoscere le modalità con cui sono raccolti, utilizzati e consultati i dati personali che li riguardano, nonché la misura in cui i dati personali sono o saranno trattati.
Come anche riportato al Considerando 39 “il principio della trasparenza impone che le informazioni e le comunicazioni relative al trattamento di tali dati personali, siano facilmente accessibili e comprensibili e che sia utilizzato un linguaggio semplice e chiaro”. Tale “principio” si riferisce sia alle finalità del trattamento dei dati personali (per assicurare che sia corretto e trasparente con riguardo alle persone interessate) sia all’informazione degli interessati sull’identità del Titolare del trattamento.
Proseguendo la disamina, all’articolo 13 relativo alle “Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”, il comma 1 prevede che “in caso di raccolta presso l’interessato di dati che lo riguardano, il Titolare del trattamento fornisce all’interessato (al momento della raccolta dei dati), una serie di informazioni per renderlo edotto dell’esistenza del trattamento e delle sue finalità ,prendendo in considerazione le circostanze e il contesto specifico in cui i dati sono trattati, ai fini di una corretta applicazione del Regolamento nel rispetto dei principi di correttezza e trasparenza”. È opportuno, dunque, che i soggetti interessati siano sensibilizzati ai rischi, alle norme, alle garanzie, ai diritti relativi al trattamento dei dati, ma soprattutto alle modalità di esercizio dei diritti.
Anche l’esercizio del diritto d’accesso da parte dell’interessato ex art. 15 del Regolamento UE non è altro che espressione del principio di trasparenza, in quanto l’interessato (qualora sia in corso un trattamento dei dati personali che lo riguarda), ha il diritto di accedere a tali dati per ottenere informazioni relative a: le finalità del trattamento, le categorie di dati trattati, i destinatari a cui i dati sono stati comunicati, e al periodo di conservazione dei dati.
Proseguendo la lettura, ritroviamo un accenno al principio della trasparenza anche all’articolo 24 relativo alle “Responsabilità del Titolare del trattamento” laddove il comma 1 impone allo stesso Titolare di “mettere in atto misure tecniche e organizzative adeguate per garantire che il trattamento sia effettuato in modo conforme al regolamento, dunque in un’ottica di accountability e responsabilizzazione dell’attività svolta, in modo da garantire all’interessato un corretto trattamento dei dati giustificato dalle politiche interne adottate dallo stesso Titolare nello svolgimento dell’attività e dalle misure che soddisfino i principi della protezione dei dati”, in linea con quanto previsto dall’articolo 12 per il Titolare, che è tenuto ad adottare “tutte le misure necessarie per fornire all’interessato informazioni relative al trattamento dei dati in forma chiara, concisa, trasparente, intellegibile e facilmente accessibile con un linguaggio semplice e chiaro”.
Al termine di tale ricognizione è possibile comprendere la crucialità del nodo della trasparenza, ai fini del raggiungimento della piena compliance. Un corretto trattamento dei dati personali, non può prescindere in sostanza da una posizione di tutela dell’interessato, alla stregua delle garanzie derivate dalla normativa a tutela del consumatore. L’autentico spirito del GDPR, impone al Titolare di rendere edotti e consapevoli gli interessati, riguardo alle modalità adottate per il trattamento, nel rispetto del principio di trasparenza, sotteso all’intero framework di riferimento europeo, di recente adozione.
[1] Linee Guida del WP29 sulla Trasparenza: http://ec.europa.eu/newsroom/just/document.cfm?doc_id=48850