Il regolamento privacy (Regolamento 2016/679, GDPR) sarà a breve direttamente applicabile su tutto il territorio europeo. Ha inizio per imprese, pubbliche amministrazioni e privati cittadini il rush finale per adeguarsi alle disposizioni previste dalla nuova normativa. Allo scopo di facilitare la lettura di un testo complesso e articolato come il GDPR, si propongono una serie di semplici schede informative, attraverso la formula del Q&A, che, riprendendo concetti ormai noti nell’ambito privacy, offrono un sintetico orientamento alla nuova normativa.
Quali sono i diritti dell’interessato?
L’interessato, cioè la persona fisica i cui dati personali sono trattati, detiene una serie di diritti, esercitabili nei confronti del titolare del trattamento in qualunque momento, che gli permettono di mantenere il controllo sui dati che ha conferito e sul loro utilizzo.
Questi diritti, già previsti anche dal Codice privacy, sono per esempio: il diritto di accesso ai propri dati (in base al quale l’interessato ha diritto di ottenere la presa visione dei dati che lo riguardano e di una serie di informazioni aggiuntive); il diritto di rettifica (in base al quale l’interessato può chiedere la correzione o integrazione dei dati comunicati); il diritto di opposizione (in base al quale l’interessato ha diritto di opporsi al trattamento in corso al ricorrere di specifiche circostanze).
Cosa cambia con il GDPR?
Per quanto riguarda i diritti, il GDPR ne arricchisce l’elenco, aggiungendo alla lista: il diritto di cancellazione (o diritto all’oblio); il diritto di limitazione del trattamento e il diritto alla portabilità.
Dal punto di vista dei titolari, rimane in capo agli stessi l’obbligo di agevolare l’esercizio dei diritti da parte degli interessati (adottando ogni misura tecnica e organizzativa idonea) e di dare riscontro alle loro richiese (eventualmente con la collaborazione del responsabile del trattamento).
Il GDPR, in particolare, stabilisce che il termine per la risposta all’interessato è, per tutti i diritti, 1 mese, che può essere esteso fino a 3 mesi, in considerazione della complessità e del numero di richieste ricevute. In ogni caso, il titolare deve dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego. La risposta, di regola in forma scritta, deve essere concisa, trasparente e formulata in un linguaggio semplice e chiaro.
Cos’è il diritto di cancellazione (diritto all’oblio)?
Il diritto all’oblio costituisce il diritto dell’interessato di richiedere al titolare del trattamento la cancellazione dei dati dallo stesso detenuti.
Il diritto all’oblio, però, non può essere esercitato in ogni circostanza, ma solo in presenza di una delle condizioni elencate all’art. 17 del GDPR. Queste ricorrono nel caso in cui:
1) i dati esuberino rispetto al perseguimento delle finalità di trattamento;
2) si sia revocato il consenso al trattamento o si sia esercitato il diritto di opposizione;
3) il trattamento risulti illecito;
4) i dati debbano essere cancellati per adempiere ad un obbligo di legge;
5) i dati siano stati raccolti nell’ambito di un servizio della società dell’informazione, quando l’interessato era ancora minorenne (quindi non pienamente consapevole dei rischi derivanti dal trattamento).
All’obbligo del titolare di adempiere alla richiesta di cancellazione dell’interessato, in una delle situazioni sopra elencate, si aggiunge un onere ulteriore. Negli ambienti digitali, infatti, la circolazione e diffusione delle informazioni raggiunge portata ben più significativa rispetto alla loro circolazione nel mondo fisico. Per questo motivo il GDPR ha previsto che il titolare, nel caso in cui abbia reso i dati personali dell’interessato pubblici (es. su un sito web), dovrà anche informare gli altri titolari del trattamento della richiesta espressa dall’interessato di cancellare qualsiasi link o copia o riproduzione dei suoi dati personali.
Gli unici limiti al diritto all’oblio sono previsti nel caso in cui il diritto dell’interessato ad ottenere la cancellazione dei suoi dati soccomba di fronte a interessi superiori. È il caso, per esempio, in cui il trattamento dei dati sia necessario per l’esercizio del diritto alla libertà di espressione e di informazione o, ancora, perché sia richiesto dalla legge o sia necessario al perseguimenti di un interesse pubblico. Il diritto all’oblio potrebbe inoltre essere negato nel caso in cui la conservazione dei dati sia necessaria per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Cos’è il diritto di limitazione del trattamento?
L’esercizio da parte dell’interessato di questo diritto, gli consente di, appunto, “limitare” il trattamento dei suoi dati in una serie di situazioni in cui, pur non venendo totalmente meno un interesse al loro trattamento, l’interessato ne richiede una restrizione temporanea.
Il diritto di ottenere una limitazione nel trattamento può essere esercitato quando:
1) l’interessato contesta l’esattezza dei dati personali, e richiede quindi una limitazione al loro utilizzo per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
2) il trattamento è illecito, ma l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
3) benché il titolare non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
4) l’interessato si è opposto al trattamento, e si attua la limitazione del trattamento in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
Cos’è il diritto alla portabilità dei dati?
Il diritto alla portabilità si presenta come un diritto dal duplice contenuto. Da un lato, si sostanzia nel diritto dell’interessato di ricevere i dati in un formato strutturato, di uso comune, che sia leggibile da dispositivi automatici. Non ci sono espresse indicazioni sul tipo di formato utilizzabile, ma è evidente che l’obbiettivo è quello di garantire che i dati siano forniti in un formato “interoperabile”, che ne consenta il facile riutilizzo da una molteplicità di dispositivi e servizi.
Dall’altro lato, il diritto alla portabilità si sostanzia nel diritto di trasmettere (ma anche di ottenere la trasmissione diretta di) i suoi dati a un altro titolare del trattamento, senza che il titolare “originario” possa impedirlo.
Anche il diritto alla portabilità non può essere esercitato incondizionatamente, ma solo qualora i dati personali rispettino una serie di condizioni, in particolare devono:
1) essere dati personali chiaramente riferibili all’interessato (ovviamente rimangono esclusi i dati anonimi);
2) essere trattati sulla base del consenso preventivo dell’interessato o di un contratto di cui e? parte l’interessato;
3) essere trattati attraverso strumenti automatizzati;
4) essere stati forniti dall’interessato. Questa condizione, però, deve interpretarsi in senso ampio, per cui il diritto non è limitato ai dati forniti consapevolmente e in modo attivo dall’interessato (es. dati raccolti attraverso un form di iscrizione) ma si estende anche ai dati forniti attraverso la fruizione di un servizio o l’utilizzo di un dispositivo (es. dati di localizzazione o la cronologia del browser dell’interessato).
È importante precisare che il diritto alla portabilità, invece, non può essere esercitato sui dati c.d. “derivati”, cioè il prodotto del lavoro di analisi effettuato dal titolare sulla base di dati personali dallo stesso raccolta. Si tratta, in altre parole, di dati “creati” dal titolare, sui quali lo stesso mantiene il controllo (es. l’esito di una valutazione concernente la salute di un utente o il profilo creato al fine di attribuire uno score creditizio o di ottemperare a normativa antiriciclaggio).
Aggiungi commento