menu
cerca
Informativa ex art. 14 GDPR

Informativa ex art. 14 GDPR

14 Gennaio 2025

Il GDPR prevede che prima della raccolta del consenso al trattamento dei dati personali il Titolare fornisca all’interessato una apposita l’informativa (informativa privacy), documento che ha un contenuto minimo stabilito dall’articolo 13 del GDPR, e che ha la finalità di fornire all’interessato le delucidazioni riguardo le finalità e le modalità di trattamento dei dati raccolti.

Non sempre i dati personali trattati, considerati il petrolio dei giorni nostri, vengono raccolti dal Titolare direttamente presso l’interessato, in alcuni casi i dati vengono ceduti dal Titolare che li ha raccolti direttamente a soggetti terzi che rivestiranno, nel momento dell’acquisizione, il ruolo di Titolare, spesso questi dati vengono utilizzati anche per finalità non sempre eseguite completamente dal Titolare che li raccoglie, nella maggior parte dei casi per finalità di marketing.

Quali sono le condizioni perché ciò avvenga legittimamente:

  • Il titolare (cedente) che li ha raccolti deve chiedere ed ottenere un apposito consenso alla cessione dei dati a terzi;
  • Il cessionario (soggetto che ha acquistato i dati) deve verificare se il cedente ha raccolto il consenso alla cessione a terzi (in molti casi si tratta di una mole considerevole di dati in tal caso il cessionario dovrà effettuare una verifica “a campione”);
  • I dati debbono essere trattati per le finalità dichiarate nell’informativa rilasciata al momento della raccolta del consenso;
  • Il cessionario inoltre deve fornire all’interessato una apposita informativa. (Articolo 14 – Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato)

Non sempre il cessionario deve informare l’interessato La Corte di giustizia dell’Unione Europea, con una sentenza molto recente, rispondendo a tre questioni pregiudiziali sottoposte dalla Kuria, la Corte Suprema Ungherese, riguardanti il perimetro di applicazione dell’art. 14 GDPR indicando in quali circostanze ed entro quali limiti il Titolare del trattamento è tenuto ad adempiere all’obbligo informativo a favore dell’interessato per trattamenti di dati personali raccolti presso terzi.

L’art. 14, parr. 1 e 4 GDPR stabilisce che il Titolare del Trattamento è tenuto a fornire all’Interessato un’informativa specifica relativamente ai trattamenti che hanno ad oggetto dati personali non raccolti direttamente presso l’Interessato, anche qualora egli intenda trattare quelle medesime informazioni per finalità ulteriori e diverse a quelle precedentemente dichiarate.

La stessa norma, tuttavia, individua, al par. 5, quattro casi in cui è possibile derogare a tale obbligo informativo:

  • quando l’interessato dispone già delle informazioni;
  • quando la comunicazione delle informazioni relative al trattamento è impossibile o implica uno sforzo sproporzionato, compresi i trattamenti effettuati per finalità di archiviazione nel pubblico interesse, di ricerca scientifica o storica, statistiche ex art. 89 GDPR;
  • quando il diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento prevede l’ottenimento o la comunicazione e misure appropriate a tutela degli interessi legittimi dell’interessato;
  • quando sussiste un obbligo di segretezza o previsto dalla legge.

Le questioni

Il giudice ungherese si è rivolto alla Corte di giustizia presentando tre questioni, aventi ad oggetto l’interpretazione formale e sostanziale della deroga di cui all’art. 14, par. 5, lett. c), GDPR.

  • Per quali dati personali sussiste la deroga all’obbligo informativo pendente sul Titolare del Trattamento?

Il Titolare del Trattamento non è tenuto a fornire l’informativa all’interessato, per la deroga di cui all’art. 14, par. 5, lett. c), GDPR, indistintamente dal tipo di dati personali: oggetto del trattamento devono essere dunque dati personali che il Titolare abbia raccolto presso soggetti diversi dall’Interessato, ovvero dati personali generati dal Titolare medesimo a partire da dati raccolti presso terzi e trattati nell’esercizio dei suoi compiti.

La Corte, infatti, ha ritenuto che tale deroga debba essere estesa a tutti i casi in cui il dato personale oggetto di trattamento non sia stato raccolto direttamente presso l’interessato, purché quest’ultimo possa effettivamente:

  1. avere contezza del trattamento mediante altre fonti di informazione nonché controllo sui propri dati personali;
  2. esercitare i diritti conferitegli dal GDPR;
  3. ricevere un livello di protezione dei propri interessi legittimi adeguato ed equivalente a quello che gli viene garantito in caso di consegna dell’informativa ex art. 14 GDPR.
  • L’autorità di controllo è competente a verificare, nell’ambito di un procedimento di reclamo, se il diritto dello Stato Membro prevede di misure di tutela adeguate a proteggere gli interessi legittimi dell’Interessato?

Nell’ambito di un procedimento di reclamo la competenza per la verifica riguardante la previsione di misure di tutela adeguate a tutelare gli interessi legittimi dell’Interessato, da parte del diritto dello Stato Membro, è posta in capo all’autorità di controllo nazionale.

Il GDPR, infatti, attribuisce ad ogni autorità di controllo compiti e poteri specifici, necessari affinché ciascun Garante nazionale possa sorvegliare e assicurare l’applicazione del Regolamento nel territorio dello Stato Membro di appartenenza, compreso il compito di condurre il procedimento di reclamo per il ricorso proposto dall’Interessato che abbia riscontrato una violazione dell’obbligo informativo da parte del Titolare del Trattamento.

  • La verifica condotta dall’autorità di controllo nazionale competente ha ad oggetto anche le misure di sicurezza messe in atto dal Titolare del trattamento ex art. 32 GDPR?

L’autorità di controllo nazionale non è chiamata a condurre verifiche sull’adeguatezza delle misure di tecniche ed organizzative che il Titolare mette in atto per la sicurezza del trattamento.

Infatti, tale attività non è individuabile all’interno del Regolamento, che circoscrive invece ai contenuti dell’informativa privacy il controllo per il reclamo avente ad oggetto la violazione dell’art. 14 GDPR e dell’obbligo informativo pendente sul Titolare, e non anche agli obblighi di cui all’art. 32 GDPR.

Attraverso questa pronuncia, quindi, possiamo contare su informazioni utili e preziose per la predisposizione della migliore informativa ex art. 14 GDPR.

Fonte:

https://mondoprivacy.it/blog/privacy/informativa-ex-art-14-gdpr-e-raccolte-indirette-di-dati/#:~:text=L%E2%80%99%20art.%2014%2C%20parr.%201%20e%204%20GDPR,anche%20qualora%20egli%20intenda%20trattare%20quelle%20medesime%20

Per la cessione dei dati a terzi è possibile consultare anche il Provvedimento del Garante:

Linee guida in materia di attività promozionale e contrasto allo spam – 4 luglio 2013 [2542348]

contattaci
Go to top