In sintesi
- L'art. 12 GDPR è la norma cardine della trasparenza nel rapporto titolare/interessato.
- Le informazioni devono essere concise, intelligibili, accessibili, in linguaggio semplice e chiaro.
- Il titolare deve agevolare l'esercizio dei diritti degli artt. 15-22 (par. 2).
- Termine di risposta: 1 mese, prorogabile di 2 mesi per richieste complesse, gratuitamente.
- Il diniego va motivato con indicazione di reclamo (art. 77) e ricorso (artt. 78-79).
- Sono ammesse icone standardizzate per agevolare la comprensione (par. 7).
Testo dell'articoloVigente
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Articolo 12 del Regolamento (UE) 2016/679 (GDPR) — Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato.
Vedi sotto per sintesi, commento e FAQ. Testo ufficiale consultabile su EUR-Lex.
Stesso numero, altri codici
- Art. 12 D.Lgs. 504/1995 — Deposito e circolazione di prodotti assoggettati ad accisa
- Articolo 12 L. 184/1983: Convocazione e audizione dei genitori o parenti
- Art. 12 Reg. (UE) 2024/1689 — Conservazione delle registrazioni
- Art. 12 Cod. Amb. — Verifica di assoggettabilita
- Art. 12 D.Lgs. 148/2015 — Durata
- Art. 12 D.Lgs. 159/2011 — Autorizzazione ad allontanarsi dal comune di residenza o dimora abituale
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
Il principio di trasparenza
L'art. 12 GDPR è la norma cardine della trasparenza nel rapporto tra titolare e interessato. Concretizza il principio di trasparenza dell'art. 5, par. 1, lett. a, declinandolo in obblighi operativi su forma, lingua, modalità e tempi delle comunicazioni. La norma si applica trasversalmente agli obblighi informativi (artt. 13-14), ai diritti dell'interessato (artt. 15-22) e alle comunicazioni in caso di data breach (art. 34). La trasparenza è la condizione affinché l'interessato possa esercitare il proprio diritto fondamentale alla protezione dei dati.
Lingua chiara e accessibile
Il par. 1 impone che il titolare adotti misure appropriate per fornire informazioni e comunicazioni in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro, in particolare quando sono destinate specificamente a minori. Sono vietate privacy policy in legalese, formattate come muri di testo, prive di gerarchia visiva. L'EDPB nelle linee guida sulla trasparenza ha consolidato il modello layered (informativa breve + estesa) e l'uso di icone, video, FAQ. La giurisprudenza CGUE ha sanzionato piattaforme che, pur fornendo informazioni, le formulavano in modo inaccessibile.
Modalità di esercizio dei diritti
Le informazioni sono fornite per iscritto o con altri mezzi, anche elettronici. Se richiesto dall'interessato, le informazioni possono essere fornite oralmente, purché ne sia comprovata l'identità con altri mezzi. Il par. 2 prevede che il titolare debba agevolare l'esercizio dei diritti di cui agli artt. 15-22. È regola di proattività: non basta non ostacolare, occorre rendere agevole. Form dedicati, indirizzi privacy@, dashboard self-service sono buone pratiche; il rinvio a procedure cartacee, a uffici remoti, a contatti generici è red flag.
Tempi di risposta e gratuità
Il par. 3 fissa il termine di un mese per fornire informazioni sulle azioni intraprese in seguito a una richiesta dell'interessato (con possibilità di proroga di due mesi per richieste complesse, motivata e comunicata all'interessato entro un mese). Le informazioni sono fornite gratuitamente (par. 5), salvo richieste manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo: in tal caso il titolare può addebitare un contributo ragionevole oppure rifiutare di rispondere, dimostrando il carattere abusivo della richiesta. La gratuità è regola generale, la denegazione è eccezione motivata.
Diniego e tutela
Se il titolare non ottempera alla richiesta, informa l'interessato senza ritardo e al più tardi entro un mese dei motivi dell'inattività e della possibilità di proporre reclamo all'autorità di controllo (art. 77) e di proporre ricorso giurisdizionale (artt. 78-79). È regola di doppio binario: il titolare può negare ma deve motivare e indicare i rimedi. La giurisprudenza del Garante ha sanzionato titolari che hanno opposto silenzio rifiuto o motivazioni generiche.
Icone standardizzate
Il par. 7 prevede la possibilità di accompagnare le informazioni con icone standardizzate per offrire una panoramica chiara, leggibile, significativa. La Commissione ha facoltà di adottare atti delegati per la definizione delle icone (par. 8). La prassi attuale dei Garanti europei e dell'EDPB ha sviluppato library di icone (occhi, lucchetti, frecce, marchi temporali) impiegate nelle informative layered. Il titolare che adotta icone deve assicurare che siano comprensibili in modo intuitivo e coerenti con il contenuto testuale: l'iconografia decorativa o ingannevole è considerata dark pattern.
Regola pratica e checklist operativa
Per la compliance art. 12: (i) ristrutturare l'informativa in modello layered con sezioni titolate; (ii) impostare un canale unico (privacy@, form web) per ricevere richieste; (iii) automatizzare il triage (riconoscimento richiesta, controllo identità, timer 1 mese); (iv) preparare template di risposta per ogni diritto; (v) tracciare ogni richiesta nel registro; (vi) prevedere escalation per richieste complesse; (vii) fornire sempre indicazione dei rimedi (reclamo, ricorso). La trasparenza è fattore competitivo.
Accountability e documentazione
Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.
Coordinamento con il Codice Privacy italiano
L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.
Casi pratici
Caso 1: Tizio: privacy policy illeggibile
Tizio pubblica una privacy policy di 30 pagine in legalese senza gerarchia. Viola l'art. 12, par. 1: trasparenza compromessa. Il Garante ha sanzionato: serve modello layered, lingua semplice, icone.
Caso 2: Caio: richiesta di accesso senza risposta
Caio, interessato, chiede accesso ai propri dati. Il titolare risponde dopo 4 mesi senza motivare. Viola l'art. 12, par. 3: termine 1 mese + proroga motivata. Sanzione e possibile reclamo art. 77.
Caso 3: Sempronio: rifiuto e motivazione
Sempronio, titolare, rifiuta una richiesta di cancellazione perché "non sufficientemente specifica". Va indicato espressamente il motivo, il diritto di reclamo (art. 77) e ricorso (artt. 78-79). Senza motivazione, il rifiuto è illegittimo.
Caso 4: Commento applicativo
L'art. 12 è la lente di accesso al GDPR per gli utenti. Operatori che hanno investito in dashboard self-service, informative layered, FAQ tematiche, supporto multicanale hanno ridotto reclami e migliorato la fiducia. È leva strategica oltre che obbligo.
Domande frequenti
Qual è il termine per rispondere a una richiesta?
Un mese dal ricevimento, prorogabile di due mesi per richieste complesse, con motivazione comunicata all'interessato entro il primo mese (art. 12, par. 3).
Le risposte sono gratuite?
Sì, in via generale (par. 5). Solo per richieste manifestamente infondate o eccessive (ripetitive) il titolare può addebitare un contributo ragionevole o rifiutare, dimostrando il carattere abusivo.
Posso rifiutare una richiesta?
Sì, in casi motivati, ma il titolare deve informare l'interessato dei motivi entro un mese e indicare la possibilità di reclamo (art. 77) e ricorso (artt. 78-79). Il silenzio rifiuto è sanzionato.
Le informazioni vanno fornite per iscritto?
Per iscritto o con altri mezzi, anche elettronici. Su richiesta dell'interessato, anche oralmente, se l'identità è comprovata.
Posso usare icone nell'informativa?
Sì. Il par. 7 ammette icone standardizzate per offrire una panoramica chiara. Devono essere comprensibili e coerenti con il testo, non ingannevoli (no dark patterns).
Vedi anche