GDPR, l’alba delle nuove Informative Privacy (seconda parte)

gdpr, informative privacy

GDPR, l’alba delle nuove Informative Privacy (seconda parte).

Anno nuovo, adeguamento che resta. Termine ultimo 25 maggio 2018: non si scappa.

Nella prima parte di questo articolo abbiamo trattato il tema dei nuovi standard di Informativa Privacy che il GDPR richiede ai Titolari del trattamento. I nuovi riferimenti normativi si trovano al Capo III del Regolamento, nelle sezioni 1 “Trasparenza e modalità” e 2 “Informazioni e accesso ai dati personali”. Gli interventi di adeguamento dovranno tener conto, in particolare, di due aspetti:

  • nuove informazioni che il Titolare dovrà fornire obbligatoriamente all’interessato (indicate agli art. 13 e 14)
  • applicazione del principio di trasparenza nella comunicazione e modalità con cui rendere le informazioni (art.12).

Ho assistito a diversi convegni e dibattiti, nell’ultimo anno, sul GDPR. Il tema delle nuove Informative, almeno nel nostro paese, mi è sembrato concentrarsi soprattutto sul primo aspetto. Adeguare le informative al GDPR impone di effettuare una revisione dei testi, apportare delle sostituzioni, aggiornare gli elementi con la “check-list” dei requisiti riportati nell’art.13: questi elementi c’erano già e li teniamo buoni, questi sono nuovi e vi spieghiamo come vanno interpretati e inseriti.

In qualche caso si è sentito parlare della “possibilità di utilizzare icone” ma niente, o pochissimo, in più: il tema della trasparenza e di come migliorare la forma nella comunicazione con l’interessato, almeno finora, sembra sia stato piuttosto trascurato.

Personalmente sono convinto che le nuove Informative GDPR-ready vadano riviste in una prospettiva che va ben al di là della semplice “spunta” di checklist. L’articolo 12, infatti, pone dei requisiti molto puntuali sulla qualità, sul tono e sul linguaggio della comunicazione, elementi a cui finora si è data pochissima importanza. Le informazioni agli interessati, è scritto, devono essere fornite in una forma “concisa, trasparente, intelligibile e facilmente accessibile, mediante l’uso di un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”.

A prima vista l’esercizio non sembra così lineare: da una parte (art.13) si chiede che l’Informativa diventi ancora più ampia e complessa, dovendo accogliere obbligatoriamente una lunga serie di elementi, molti dei quali non previsti in precedenza; dall’altra (art.12), si prescrive che le informazioni vengano rese in forma concisa, chiara e semplice.

Qualcuno potrebbe pensare, leggendo in sequenza i due articoli, che vi sia una sorta di contradizione. Credo che questo pensiero derivi essenzialmente dall’esperienza che finora abbiamo avuto con questo strumento, sia come utenti destinatari dell’Informativa che come operatori tenuti ad assolvere a questo adempimento.

Come utenti abbiamo conosciuto, spesso “subìto”, la somministrazione dell’Informativa come un qualcosa di estremamente formale e molto poco coinvolgente. Come operatori, il dover redigere un’informativa privacy è sempre stato visto come un compito da delegare esclusivamente a chi si occupa di “leggi e normative” e non anche di comunicazione.

In entrambi i casi abbiamo avuto a che fare con documenti spesso assai lunghi, scritti in un linguaggio tecnico-giuridico (“legalese”), quasi mai declinati in modalità che tenessero conto della user experience, del canale trasmissivo, del destinatario della comunicazione. Con il risultato di trovarci spesso di fronte a vere e proprie “lenzuolate giuridiche” non adatte ad assolvere realmente il compito di informare l’interessato sull’utilizzo, sul controllo e sulla destinazione dei propri dati.

A livello internazionale il tema delle informative “parlanti” e della ricerca di modelli trasparenti ed efficaci è studiato e dibattuto da molto tempo. Ho trovato questi suggerimenti dello studioso americano Jason Cronk molto semplici, ma utili nella traduzione dei requisiti citati dall’art.12 del GDPR, riguardo a come un titolare debba concepire la sua comunicazione:

Concisa: “Sforzati di ottenere un’Informativa di poche centinaia di parole, utilizzando frasi brevi e un’organizzazione chiara”. La brevità delle frasi è già un qualcosa che implica un notevole sforzo, se non accompagnato dalla semplicità del linguaggio.

Trasparente: “Sii sincero. L’onestà intellettuale aiuta a costruire fiducia con i consumatori. Non nascondere informazioni o utilizzare termini ambigui”. Il che significa: non nasconderti dietro formule tecniche e specialistiche: devi andare al punto, in modo chiaro ed onesto, sul cosa farai con i dati e come li utilizzerai.

Intelligibile e facilmente accessibile:Utilizza un approccio a più livelli in modo che il consumatore possa facilmente trovare informazioni. Usa caratteri chiari con un buon contrasto. Rendi la tua informativa sulla privacy facile da trovare. Utilizza le icone dove appropriato, ma anche le descrizioni di testo per gli screen reader e cerca di applicare linee guida sull’accessibilità ai contenuti web”. Su questo tip tornerò tra un istante.

Uso di un linguaggio semplice e chiaro: “Sforzati di scrivere la tua Informativa affinché possa essere letta e compresa dall’utente medio, non farne un documento che trabocca di riferimenti legali e frasi complicate familiari solo a persone con una laurea (magari in Giurisprudenza!)

Non appaiono, questi elementi, essenziali nella composizione di un’informativa che punti ad essere trasparente? Chiarezza, brevità, semplicità.

Si badi bene: scrivere un’Informativa semplice non è un lavoro semplice!

Anche i Garanti dei principali paesi europei se ne sono occupati, più di recente, con accenti e modalità differenti.

Sull’accessibilità e sui linguaggi che possono favorire una comunicazione immediatamente intellegibile, ad esempio, un riferimento molto importante in materia è costituito dalla pubblicazione “Privacy notices, transparency and control – A code of practice on communicating privacy information to individuals” dell’Autorithy inglese ICO, un documento che definisce linee guida fondamentali, affini all’orientamento anglosassone a cui si ispira la linea di pensiero supportata nel Regolamento, in generale e su questa tematica.

A testimonianza di ciò anche altre Autorità se ne sono occupate negli ultimi mesi.

Il Garante italiano ne ha fatto cenno all’interno delle proprie linee guida sul regolamento, pubblicate sul proprio sito.

Non molto dal punto di vista pratico, a dire il vero. Molto più operativa e ricca di spunti ed esempi è la guida “Guia para el cumplimiento del deber de informar” della AEPD, l’Authority sulla protezione dei dati spagnola (https://www.agpd.es/portalwebAGPD/temas/reglamento/common/pdf/modeloclausulainformativa.pdf).

In sintesi, i principi da adottare per le nuove Informative, in linea con quanto prescritto dall’articolo 12 del GDPR e con il sostegno di diverse Authority europee che si sono espresse in materia, dovrebbero ispirarsi a quanto segue:

  • utilizzare layout e format più efficaci e finalizzati all’obiettivo dell’informativa, che resta quello di rendere consapevole l’interessato creando le giuste aspettative sulla destinazione dei propri dati
  • utilizzare un linguaggio più diretto, riducendo al minimo i tecnicismi (riferimenti ad articoli, leggi, ecc) e privilegiando una comprensione “rapida”: non solo testo ma anche icone, sintesi tabellari, infografiche, brevi video
  • porre attenzione ai canali trasmissivi utilizzati e ai “touchpoint” con gli interessati, così da modulare l’informazione anche tenendo conto dello spazio utilizzabile, la leggibilità, l’estensione, la possibilità effettiva di collegare le informazioni (cartaceo, web e mobile offrono possibilità e user experience totalmente diverse). Nell’online le nuove tecnologie possono fortemente incentivare il coinvolgimento dell’utente e rendere i messaggi più chiari e trasparenti
  • in funzione del target a cui è destinata l’informazione si dovrebbe fare il massimo sforzo per facilitare la migliore comprensione anche a particolari categorie (es. minori, età avanzate, soggetti con disabilità visive…)
  • disabituarci all’idea che l’Informativa sia un passaggio di «somministrazione una-tantum» (es. limitata al momento della raccolta): pensare ad un sistema che possa dispensare, lungo il ciclo di vita del rapporto con l’interessato, pillole di informativa che ricordino i fatti salienti dei trattamenti in corso

Un modello concreto, ampiamente supportato dal Regolamento, è quello della cosiddetta “Informativa a più livelli” o “Informativa stratificata a lettura progressiva” (layered model). Questo modello si può applicare in moltissimi casi, soprattutto laddove lo spazio disponibile sia limitato (ad es. nei device mobili). In cosa consiste?

  1. Presentare un’Informativa semplificata di “primo livello”, in forma sintetica, contestualmente e nello stesso canale con cui si stanno raccogliendo i dati (in alcuni casi anche inserendolo nelle formule di acquisizione consenso)
  2. Dare la possibilità all’interessato di accedere ad un’Informativa di “secondo livello”, dove sono presentate informazioni di dettaglio, in un’area apposita più adeguata per un approfondimento, con utilizzo di un linguaggio chiaro e comprensibile, possibilmente in versione stampabile e/o pronta da archiviare.

Esempio di schema di Informativa “breve” o di “primo livello”

cartacea o web
cartacea o web
mobile
mobile

Un altro modello per favorire la trasparenza è quello di fornire le informazioni “just-in-time”, utilizzando funzionalità «hover over» che consentono di contestualizzare con un altissimo grado di pertinenza:

gdpr

Le guide dell’ICO inglese e dell’AEPD spagnola riportano esempi concreti per moltissime situazioni.

Esistono già diversi casi di applicazione concreta, per ora soprattutto da parte di multinazionali o di organizzazioni operanti in altri paesi europei. Un esempio brillante di come l’Informativa privacy da adempimento burocratico si possa trasformare in comunicazione aziendale che crea valore all’immagine e al prestigio del Titolare è rappresentato dalla sezione privacy del sito online della testata giornalistica inglese “The Guardian”:

In Italia, poche realtà si sono già mosse in questa direzione. Un esempio utile ci viene da chi, come ValueDataTrust, fa proprio questo di mestiere.

Abbandoniamo dunque i bizantinismi del passato e abituiamoci ad un futuro fatto di Informative privacy sempre più “parlanti”, trasparenti e costruite al fine di mettere in condizione gli interessati di essere più consapevoli e di poter esercitare in modo semplice ed efficace i propri diritti.

 

Alberto Fuccello – ValueDataTrust

Seguici sui nostri canali social: Facebook Twitter 

Leggi tutte le nostre notizie cliccando QUI

The following two tabs change content below.
Value Data Trust

Value Data Trust

ValueDataTrust opera, in particolare, nei settori bancario e assicurativo, farmaceutico e sanitario, utilities, telco, digital e teleselling. Può supportare con competenze specifiche, servizi e soluzioni qualunque attività in ambito Privacy e Data Protection, con particolare riferimento agli adempimenti previsti dal GDPR (Assessment, DPIA, Privacy Management Tool, DPO in outsourcing, formazione, e-learning).

Lascia un commento