Il Regolamento generale sulla protezione dei dati (GDPR 679/2016) prevede che gli interessati siano informati del trattamento dei loro dati personali prima o al momento di dare avvio alla raccolta dei dati. L’informativa deve contenere informazioni chiare e concise sui dati personali raccolti, sulle finalità del trattamento, sui diritti degli interessati e sui contatti del titolare o del responsabile del trattamento.
L’informativa deve essere fornita in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Deve inoltre essere fornita per iscritto o, se richiesto dall’interessato, in altro formato elettronico leggibile.
L’informativa deve contenere le seguenti informazioni:
l’identità e i dati di contatto del titolare del trattamento e, se applicabile, del responsabile del trattamento;le finalità del trattamento;le categorie di dati personali interessati;i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari in paesi terzi o organizzazioni internazionali;se applicabile, i trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali, comprese le garanzie appropriate;se applicabile, la durata del periodo di conservazione dei dati personali;l’esistenza di diritti dell’interessato e come esercitarli;l’esistenza di un meccanismo di reclamo presso un’autorità di controllo;se applicabile, l’esistenza di processi decisionali automatizzati, compresa la profilazione, e informazioni significative sull’influenza di tale trattamento sulle persone fisiche.
Nel caso in cui i dati personali siano raccolti direttamente presso l’interessato, l’informativa deve essere fornita all’interessato al momento della raccolta dei dati. Nel caso in cui i dati personali non siano raccolti direttamente presso l’interessato, l’informativa deve essere fornita all’interessato entro un termine ragionevole, che non può superare 1 mese dalla raccolta dei dati personali.
L’informativa può essere fornita in formato cartaceo, elettronico o orale. Nel caso in cui l’informativa sia fornita in formato orale, l’interessato deve avere la possibilità di richiederne una copia scritta.
L’informativa può essere fornita in combinazione con altre comunicazioni, purché le informazioni siano facilmente accessibili e chiaramente distinguibili da altre informazioni.
Il mancato rispetto dell’obbligo di fornire l’informativa è sanzionato dal GDPR con una multa amministrativa fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale dell’anno precedente, se superiore.