Art. 14 GDPR — Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato

Commento

Trasparenza nei trattamenti indiretti

L'art. 14 GDPR completa l'art. 13 disciplinando l'informativa nei casi in cui i dati personali non siano stati ottenuti presso l'interessato. Tipici scenari sono: data broker, scraping autorizzato, comunicazioni da altre società del gruppo, raccolte da fonti pubbliche, profilazione mediante cookie di terze parti, gestione di garanzie da terzi (es. assicurazioni). L'obbligo informativo permane anche in assenza di contatto diretto, perché la trasparenza è condizione di esercizio dei diritti e non può dipendere dal canale di raccolta. La norma ricalca il contenuto dell'art. 13 con due differenze sostanziali: l'obbligo aggiuntivo di indicare la fonte da cui provengono i dati personali e l'eventuale appartenenza a fonti accessibili al pubblico (par. 2, lett. f); il regime dei tempi e delle eccezioni.

Tempi di fornitura (par. 3)

L'identità del titolare, il DPO, le finalità, le basi giuridiche, i destinatari, i trasferimenti, la retention, i diritti e le decisioni automatizzate sono identici all'art. 13. L'informazione sulla fonte è il quid pluris: l'interessato deve sapere da chi e con quali modalità il titolare ha acquisito i dati. La specifica è particolarmente cogente per data broker e marketing list: indicare "da fonti pubblicamente accessibili" senza ulteriore specificazione è insufficiente. L'EDPB ha sanzionato titolari che hanno occultato la catena delle cessioni.

Eccezioni all'obbligo (par. 5)

Il par. 3 fissa i tempi di fornitura: entro un termine ragionevole dall'ottenimento dei dati, e comunque al più tardi entro un mese, considerando le circostanze specifiche; oppure, nel caso in cui i dati siano utilizzati per la comunicazione con l'interessato, al più tardi al momento della prima comunicazione; oppure, nel caso in cui sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione. La regola del mese è cap massimo: per trattamenti immediati la finestra è più breve.

Coordinamento con l'art. 13

Il par. 5 elenca le eccezioni: l'interessato dispone già delle informazioni; comunicare le informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato (in particolare archiviazione, ricerca, statistica con garanzie ex art. 89); l'ottenimento o la comunicazione sono espressamente previsti dal diritto UE/SM cui è soggetto il titolare; i dati devono rimanere riservati conformemente a un obbligo di segreto professionale. Le eccezioni sono restrittive: l'EDPB richiede la documentazione del test di sproporzione e l'adozione di misure compensative (informazione pubblica sul sito, etc.).

Casi tipici applicativi

L'art. 14 va letto in combinato con l'art. 13: se i dati vengono raccolti direttamente in parte e indirettamente in parte (es. data enrichment da broker), il titolare integra l'informativa originaria con le informazioni di provenienza. La trasparenza è il filo conduttore: l'interessato deve poter ricostruire l'intero ciclo di trattamento. La giurisprudenza CGUE ha confermato che la trasparenza è regola di sistema e non si declina su forma o canale di raccolta.

Sanzioni e prassi

Sul piano applicativo, le aree principali sono: marketing direct con liste acquistate (informare al primo contatto), CRM da fonti commerciali, due diligence e antiriciclaggio con dati da banche dati esterne, gestione di garanzie e contenziosi con dati di controparti. Per le PA, raccolta da altre PA è frequente: serve informativa preventiva o, se impossibile, pubblicazione su albo e sito istituzionale. Il Garante italiano ha sanzionato l'invio di SMS promozionali a contatti acquistati senza informativa preventiva.

Regola pratica e checklist operativa

Compliance art. 14: (i) mappare tutte le fonti di dati indiretti (broker, fornitori, partner, PA); (ii) verificare la base giuridica della cessione/raccolta; (iii) preparare informativa specifica con sezione 'fonte'; (iv) inviarla al primo contatto o entro 1 mese; (v) se invocata eccezione, documentare test di sproporzione e pubblicare informativa generale; (vi) integrare nel registro art. 30; (vii) per marketing, verificare due-diligence col provider. Le sanzioni in materia sono frequenti.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.