Risoluzione delle Autorità internazionali: relativa al miglioramento della comunicazione di informazioni sulle politiche seguite in materia di privacy

Garante per la protezione
dei dati personali

25ma Conferenza Internazionale delle Autorità di Protezione dei Dati e della Privacy

Sydney, 10-12 Settembre 2003

RISOLUZIONE RELATIVA AL MIGLIORAMENTO DELLA COMUNICAZIONE DI INFORMAZIONI SULLE POLITICHE SEGUITE IN MATERIA DI PROTEZIONE DEI DATI E PRIVACY

adottata venerdì 12 settembre 2003
(Traduzione non ufficiale)

Proponente: Autorità per la privacy, Australia; co-sponsors:

- Autorità per la protezione dei dati e l’accesso agli atti, Brandeburgo, Germania

- Commissione nazionale informatica e libertà, Francia

- Autorità per la protezione dei dati, Repubblica Ceca

- Autorità ellenica per la protezione dei dati

- Centro indipendente per la tutela della privacy, Schleswig-Holstein, Germania

- Ispettorato statale per la protezione dei dati, Repubblica di Lituania

- Autorità olandese per la protezione dei dati

Risoluzione

La 25ma Conferenza internazionale delle Autorità di protezione dati e della privacy adotta la seguente risoluzione:

1. La Conferenza richiama l’attenzione di soggetti pubblici e privati sull’importanza

- di migliorare significativamente la comunicazione delle informazioni da essi fornite sulle modalità di gestione e trattamento di dati personali,

- di raggiungere una coerenza complessiva nelle modalità di comunicazione di tali informazioni,

e, così facendo,

- di migliorare la comprensione e la sensibilizzazione dei singoli rispetto ai diritti ed alle opzioni disponibili e la rispettiva capacità di incidere su tali diritti e opzioni, e

- di incentivare i vari soggetti, in seguito a tale sensibilizzazione, a migliorare le politiche seguite nella gestione e nel trattamento dei dati e ad accrescerne la lealtà e correttezza.

2. La Conferenza si fa promotrice dei seguenti strumenti ai fini del raggiungimento degli obiettivi prima citati:

- messa a punto e utilizzazione di un formato sintetico per la presentazione di un quadro complessivo delle informazioni in materia di privacy che sia standardizzato a livello mondiale per tutti i soggetti e stabilisca

- le informazioni più importanti da rendere note ai singoli, le informazioni che con maggiore probabilità i singoli desiderano conoscere, e l’impiego di un linguaggio semplice, inequivocabile e diretto;

- l’impiego della lingua del sito web o del modulo utilizzati per la raccolta delle informazioni;

- previsione della limitazione del formato ad un numero ristretto di elementi che, coerentemente con quanto sopra indicato, si riferiscano a principi importanti in materia di protezione dati, come ad esempio

- il soggetto che raccoglie i dati personali e le modalità per contattarlo (almeno la denominazione ufficiale del soggetto e il suo indirizzo fisico);

- quali dati personali sono raccolti dal soggetto in questione e con quali strumenti; le finalità per cui il soggetto raccoglie i dati personali;

- se i dati personali saranno resi noti ad altri soggetti e, in tal caso, le tipologie o i nominativi di tali soggetti e le relative finalità,

- le opzioni in materia di privacy di cui dispongono i singoli ed i meccanismi per esercitarle con facilità, in particolare le opzioni relative all’eventualità che dati personali siano rivelati a terzi per finalità non correlate, ancorché legittime, ed ai dati personali che i singoli sono tenuti a fornire per ricevere un servizio,

- una sintesi dei diritti di accesso, rettifica, blocco o cancellazione riconosciuti ai singoli,

- l’ente di controllo indipendente al quale i singoli possono sottoporre reclami qualora ritengano di avere subito una violazione dei propri diritti;

- impiego di strumenti opportuni al fine di consentire ai singoli di reperire con facilità informazioni ulteriori, come ad esempio

- informazioni che un soggetto sia tenuto a fornire in base alla normativa vigente, per esempio in materia di diritto di accesso, rettifica, blocco o cancellazione, ed il periodo di conservazione dei dati personali da parte dei singoli soggetti, e

- una spiegazione esauriente delle informazioni presentate in forma sintetica nel formato condensato, e

- la descrizione completa delle politiche seguite dal soggetto nella gestione e nel trattamento delle informazioni.

3. La Conferenza concorda sul fatto che il formato standardizzato e condensato di cui sopra dovrebbe essere conforme a tutte le norme nazionali applicabili, e che esso debba integrare, se necessario, ed essere compatibile con le informazioni che un soggetto sia tenuto per legge a fornire ai singoli.

4. La Conferenza è consapevole dell’importanza del momento in cui l’interessato prende visione dell’informativa in materia di protezione dati e privacy. Ad esempio, è particolarmente auspicabile che tale informativa sia fornita in modo automatico nel momento in cui ai singoli è data la possibilità di scegliere quali informazioni fornire e se consentire la comunicazione di tali informazioni a terzi. In altri casi può essere opportuno lasciare che siano i singoli a reperire le informazioni in materia di privacy e protezione dati attraverso legami ipertestuali evidenti. La Conferenza è consapevole delle importanti attività svolte dal Gruppo di lavoro UE in materia di protezione dei dati ex Articolo 29, per quanto riguarda la presentazione automatica di informazioni relative a privacy e protezione dati, attraverso la Raccomandazione 2/2001 su alcuni requisiti minimi per la raccolta online di dati personali nell’Unione Europea.

5. La Conferenza ritiene che l’attività delle Autorità di protezione dati e privacy potrebbe proseguire in modo fruttuoso valutando il momento in cui presentare l’informativa nel formato condensato, che tiene conto delle caratteristiche dell’ambiente sia offline sia online.

6. La Conferenza è al corrente, inoltre, di attività correlate quali la definizione di linguaggi informatici in grado di descrivere le politiche adottate in materia di privacy. La Conferenza invita a proseguire nella messa a punto di meccanismi utili a tradurre tali politiche nel formato standardizzato e condensato prima descritto.

7. La Conferenza considera quanto sopra un primo passo volto a promuovere migliori prassi nei meccanismi con cui i vari soggetti comunicano le informazioni relative alle modalità di gestione o trattamento di dati personali. La Conferenza è al corrente delle iniziative intraprese in questo settore, e invita tali iniziative a migliorare la comunicazione fra le parti in causa (soggetti che trattano i dati e singoli individui i cui dati sono oggetto di trattamento). La Conferenza intende collaborare con i soggetti ed i gruppi di interesse impegnati in tali iniziative, e prevede di compiere passi ulteriori al fine di migliorare le comunicazioni fra singoli e soggetti che trattano i dati nell’ambito di future conferenze.