L’informativa è il documento mediante il quale il titolare o il responsabile che effettui un determinato trattamento di dati informa l’interessato circa le finalità e le modalità del trattamento medesimo.
Il Codice privacy (d.lgs. 196/2003) disciplina i contenuti dell’informativa privacy all’art. 13:
L’interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa:
a) le finalità e le modalità del trattamento cui sono destinati i dati;
b) la natura obbligatoria o facoltativa del conferimento dei dati;
c) le conseguenze di un eventuale rifiuto di rispondere;
d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi;
e) i diritti di cui all’articolo 7;
f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, è indicato tale responsabile.”.
Quanto al profilo del consenso che l’interessato dovrà fornire ai fini del trattamento dei propri dati, l’art. 23 del Codice stabilisce quanto segue:
Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato.
Il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso.
Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13.
Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili“.

Il regolamento UE elenca in modo tassativo i contenuti che dovranno avere le due informative dallo stesso previste e disciplinate.
Non più dunque una sola ed unica informativa, ma due informative, a seconda del caso in cui i dati siano raccolti presso l’interessato (art. 13) o presso soggetti terzi diversi dall’interessato (art. 14).
Ciascun titolare del trattamento dovrà quindi specificare nelle proprie informative (verso i propri dipendenti, i propri clienti e i propri fornitori) i dati di contatto del DPO (se designato), la base giuridica del trattamento, se trasferisce i dati personali in Paesi terzi e, in caso affermativo, attraverso quali strumenti; dovrà altresì specificare il periodo di conservazione dei dati o i criteri seguiti per stabilire tale periodo di conservazione e se il trattamento comporta processi decisionali automatizzati (anche la profilazione); per il caso in cui i dati relativi all’interessato e oggetto di trattamento siano raccolti presso soggetti terzi diversi l’interessato (art. 14), il titolare dovrà altresì specificare la fonte da cui hanno origine tali dati.
Di seguito dunque si riporta il testo dell’art. 13 del regolamento:
In caso di raccolta presso l’interessato di dati che lo riguardano, il titolare del trattamento fornisce all’interessato, nel momento in cui i dati personali sono ottenuti, le seguenti informazioni:
a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il titolare del trattamento fornisce all’interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
d) il diritto di proporre reclamo a un’autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.”.

Il regolamento UE definisce il consenso come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.”.
La novità riguarda dunque il modo mediante il quale il consenso viene espresso, in quanto l’intenzione manifestata dall’interessato deve essere libera, specifica, informata e, appunto, inequivocabile.
Il Consenso deve quindi riferirsi a quello specifico trattamento per cui viene richiesto e per le finalità indicate.
Per quanto riguarda il trattamento dei dati «particolari» (ex sensibili) nonché per i trattamenti automatizzati (profilazione) il regolamento richiede che il consenso sia esplicito.
Va poi ricordato come il consenso NON debba essere necessariamente «documentato per iscritto», né sia richiesta la «forma scritta» (anche se questa è modalità idonea a configurare l’inequivocabilità del consenso e il suo essere “esplicito” per i dati sensibili).
Ciò che conta, sempre in ottica di accountability, è che il titolare sia in grado di dimostrare che l’interessato ha prestato il consenso ad uno specifico trattamento.
Il regolamento interviene anche con riferimento al consenso prestato dai minori, prevedendo che lo stesso sia valido a partire dai sedici anni (art. 8, co. 1); prima di tale età occorrerà raccogliere il consenso dei genitori o di chi ne fa le veci.
Sul punto, il Garante italiano non si è ancora espresso formalmente, in attesa del necessario intervento del legislatore nazionale, che dovrà fissare il limite d’età da applicare in Italia.