GDPR: quali sono i diritti degli interessati
Tutelare i nostri dati grazie al General Data Protection Regulation
Vi è mai capitato di scoprire che una società o un ente pubblico o un sito internet stiano trattando i vostri dati senza che ve ne siate accorti? Oggi la quantità di dati forniti da ciascuno di noi, anche inconsapevolmente, a terze parti è elevatissima e coinvolge i più svariati settori. Basti pensare alle tessere fedeltà del supermercato, ai dati trattati per inviarci sulla posta elettronica delle offerte pubblicitarie o semplicemente ai dati raccolti da un sito internet su cui navighiamo. Il problema è, appunto, che molte volte il soggetto interessato non è nemmeno consapevole dell’aver comunicato i suoi dati, o, pur essendo consapevole, non conosce il tempo di conservazione dei dati o i soggetti a cui questi dati verranno trasferiti. Le soluzioni a questo problema vengono date dal Regolamento europeo sulla protezione dei dati personali che, ponendo al proprio centro l’interessato, ovvero la persona fisica i cui dati sono oggetto di trattamento, garantisce una elevata protezione dei suoi dati personali e una notevole tutela dei diritti.
Cosa è il GDPR
Il Regolamento Generale sulla Protezione dei Dati (in inglese General Data Protection Regulation, abbreviato GDPR), ovvero Regolamento Europeo n. 2016/679, è stato adottato il 27 aprile del 2016 ed entrato in vigore il 25 maggio del 2018. Il GDPR ha sostituito la Direttiva 95/46/CE, la Data Protection Directive, ne ha esteso gli scopi e la portata, e garantisce criteri di funzionamento uniformi per tutti gli stati europei anche in considerazione del fatto che i regolamenti, contrariamente alle direttive, sono direttamente applicabili agli stati membri. Con i suoi 173 considerando e i suoi 99 articoli rappresenta oggi da un lato una guida a tutela dei dati delle persone fisiche e delle loro informazioni raccolte e trattate da terze parti e una forte tutela per le libertà dell’interessato, dall’altro appresta in capo ai Titolari del trattamento – cioè coloro i quali determinano i mezzi e le modalità di trattamento – numerosi obblighi e responsabilità al fine di tutelare la riservatezza dei cittadini europei.
Il GDPR rappresenta una svolta sia nella concezione della data protection che nella gestione pratica dei dati delle persone fisiche da parte di aziende ed enti pubblici. Con il GDPR, infatti, il trattamento dei dati personali diventa non più soltanto un adempimento ma un vero e proprio processo che coinvolge l’intera organizzazione aziendale e che richiede l’adozione di protocolli e procedure che disciplinino il modo in cui i dati vengono acquisiti, utilizzati, conservati ecc. Ciò che si richiede, dunque, ai Titolari del trattamento è la loro “responsabilizzazione”; essi devono dimostrare di aver adottato tutte le misure previste dal Regolamento per garantire la sicurezza dei dati raccolti: ad es. la nomina di un data protection officer (DPO) nei casi previsti dall’art. 35, o ancora l’adozione di un codice etico o adesione a codici di condotta di cui all’art. 40 o di codici etici.
Cosa sono i diritti degli interessati
Il Regolamento è la prima fonte normativa europea ad affidare alla persona fisica il controllo dei propri dati, riconoscendogli la possibilità di esercitare una serie di diritti per proteggerli. Il Capo III del GDPR è interamente dedicato ai diritti degli interessati.
Nello specifico essi sono:
- Art. 12-14: Diritto alla ricezione di informazioni e comunicazioni trasparenti
- Art. 15: Diritto di accesso
- Art. 16: Diritto di rettifica
- Art. 17: Diritto all’oblio
- Art. 18: Diritto di limitazione del trattamento
- Art. 19: Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
- Art. 20: Diritto alla portabilità dei dati
- Art. 21: Diritto di opposizione
- Art. 22: Diritto di non essere sottoposto ad un processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.
Quali sono i diritti degli interessati
Analizziamo, adesso, i singoli articoli.
- Art. 12-14. I primi articoli della Sezione 1 del Capo III traggono origine dal principio di trasparenza sancito dall’articolo 5.1 lett. a). Il Titolare del Trattamento dei dati è tenuto, infatti, a fornire agli interessati tutte le informazioni necessarie a chiarire la natura, le modalità e le finalità del trattamento condotto e gli ulteriori diritti esercitabili dall’interessato. Queste informazioni devono essere fornite in modo “coinciso, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro”. Tra i diversi documenti previsti dal Regolamento, l’informativa è quello che, grazie anche alla possibilità di essere resa sotto forma di info grafica, può soddisfare i requisiti indicati. Gli artt. 13 e 14 riguardano il diritto degli interessati a ricevere informazioni sul trattamento dei loro dati condotto dai Titolari del trattamento sia quando questi siano raccolti direttamente presso l’interessato sia quando siano raccolti presso terze parti. Tra le informazioni che l’informativa deve contenere ci sono i dati di contatto del Titolare del trattamento dei dati e del responsabile della protezione dati, i dati raccolti e lo scopo del trattamento, la base giuridica del trattamento, la finalità del trattamento, il periodo di conservazione dei dati, eventuali trasferimenti dei dati verso paesi terzi, i diritti che l’interessato può esercitare e nel caso della informativa di cui all’art. 14 anche la fonte dalla quale i dati sono stati acquisiti.
- Art. 15. Il Diritto di accesso gioca un ruolo centrale in quanto, dando la possibilità all’interessato di “ottenere dal Titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano”, favorisce l’esercizio di ulteriori diritti quali quello di rettifica e quello di cancellazione dei dati personali. Infatti, in caso di conferma da parte del Titolare del trattamento in corso, l’interessato ha diritto di ricevere le informazioni relative allo scopo del trattamento, alle categorie di dati trattati, ai destinatari cui i dati sono eventualmente stati comunicati, al periodo di conservazione dei dati, alla loro origine, all’esistenza di un processo automatizzato, e alla possibilità di proporre reclamo ad una autorità di controllo. Una volta ricevuta copia dei dati personali oggetto di trattamento e le informazioni sopra indicate, l’interessato ben potrà decidere di esercitare i diritti di cui agli articoli 16 e 17.
- Art. 16. Il diritto di rettifica è strettamente correlato al principio di esattezza sancito dall’art. 5.1 lett. d), in forza del quale i dati personali dell’interessato devono sempre essere esatti ed aggiornati. Qualora così non fosse l’interessato potrà esercitare il diritto di cui all’art. 16 che garantisce la rettifica di cancellazione dei dati inesatti ed anche l’integrazione di quelli incompleti.
- Art. 17. Il diritto alla cancellazione dei propri dati personali, conosciuto anche con il nome di diritto all’oblio, prevede la possibilità per l’interessato di ottenere la cancellazione dei propri dati se si verificano le condizioni di cui al primo comma dell’art. 17, ovvero: i dati trattati non sono più necessari per la finalità per cui originalmente erano stati raccolti; il trattamento era basato sul consenso o sulla eventuale revoca del consenso e non sussistono ulteriori basi giuridiche per leggittimarlo; l’interessato esercita il diritto di opposizione; il trattamento è illecito; la cancellazione è necessaria per adempiere ad obblighi legali previsti dal diritto dell’Unione Europea o dalle leggi dei singoli stati. Se la richiesta dell’interessato rientra in una di queste ipotesi e i dati sono stati previamente resi pubblici dal Titolare del trattamento, questi dovrà informare gli altri Titolari che stanno trattando quei medesimi dati della richiesta dell’interessato.
Il diritto all’oblio, tuttavia, non è un diritto assoluto. Infatti, la richiesta dell’interessato potrà dover subir un bilanciamento nei casi posti dal comma 3. Difatti, nel caso in cui venga esercitato il diritto alla libertà di espressione e di informazione, se il trattamento è necessario per l’adempimento di un obbligo legale cui il Titolare è soggetto, o per motivi inerenti la sanità pubblica, o nei casi di compiti svolti nell’interesse pubblico o per fini di archiviazione di pubblico interesse o di ricerca storica o scientifica, o, infine, per esigenze connesse alla attività giudiziaria, la richiesta di cancellazione dei dati potrà essere legittimamente negata.
- Art. 18. Il diritto di limitazione del trattamento prevede il temporaneo “congelamento” del trattamento dei dati personali dell’interessato che lo esercita. Infatti, l’interessato potrebbe contestare l’esattezza dei dati trattati o la liceità del trattamento e chiedere che i dati non siano più trattati finchè non ne venga verificata la correttezza o ne sia limitato l’utilizzo. Ulteriormente, il trattamento deve essere limitato ogni qual volta l’interessato eserciti il diritto di opposizione o quando i dati, non più necessari per il trattamento, servano per l’esercizio dei diritti in sede giudiziaria. Una volta che il trattamento sia stato limitato qualunque altro utilizzo dei dati potrà avvenire solo previo consenso dell’interessato stesso.
- L’art. 19 prevede che, qualora il Titolare abbia comunicato i dati personali che tratta a terze parti (eventualmente anche nominata Responsabile del trattamento), e l’interessato abbia esercitato il diritto di rettifica, il diritto di cancellazione o il diritto di limitazione del trattamento, il Titolare deve comunicare a tali terze parte l’esercizio dei diritti indicati. Il Titolare sarà esentato solo laddove lo sforzo di comunicazione sia sproporzionato.
- Art. 20. Quando il trattamento abbia come basi giuridiche il consenso o l’esecuzione di un contratto e sia stato effettuato con mezzi automatizzati, l’interessato ha il diritto di ricevere dal Titolare i dati forniti “in un formato strutturato, di uso comune, e leggibile da dispositivo automatico”, eservitando il diritto alla portabilità dei dati. I dati oggetto della richiesta di portabilità potranno essere trasferiti ad un altro Titolare del trattamento o dall’interessato o direttamente dal Titolare soggetto alla richiesta.
- Art. 21. Se il trattamento è effettuato in forza di un legittimo interesse o di un interesse pubblico, l’interessato può opporsi al trattamento e determinare, così, la cessazione del trattamento stesso. Il titolare può rifiutare l’opposizione al trattamento se dimostri l’esistenza di motivi cogenti che lo legittimano.
Il diritto di opposizione può essere esercitato, invece, senza possibilità per il Titolare di opporsi, in tutti i casi in cui i dati siano usati per effettuare marketing diretto, compresa la profilazione. In questo caso, all’esercizio del diritto deve necessariamente corrispondere la cessazione del trattamento che altrimenti si configurerebbe come trattamento illecito.
- Art. 22. L’interessato ha il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, a meno che la decisione automatizzata sia necessaria per la conclusione del contratto tra l’interessato e il Titolare del trattamento, sia autorizzata dalla normativa nazionale o europea o l’interessato vi abbia esplicitamente consentito. Qualora ricorra una di queste ipotesi, l’interessato ha, comunque, il diritto di richiedere l’intervento umano.
Cosa fare per rispettare i diritti degli interessati
L’elencazione da parte del Regolamento Europeo di disposizioni a tutela dei diritti degli interessati se da un lato assicura all’interessato una notevole protezione dei suoi dati personali, dall’altro richiede ai Titolari dei trattamenti impegno sia in termini di adozione di misure di sicurezza per garantire il corretto trattamento dei dati sia di misure organizzative e gestionali per far fronte tempestivamente alle richieste degli interessati.
Il GDPR impone, infatti, sui Titolari del trattamento un generale obbligo di agevolare l’esercizio di tali diritti. In conformità a quanto previsto dall’art. 12 il Titolare che riceva una richiesta dell’interessato deve fornire informazioni senza ingiustificato ritardo e comunque non più tardi di un mese dal ricevimento della richiesta stessa. Tale arco temporale può essere prorogato fino a due mesi se necessario e di tale proroga ne deve essere data comunicazione all’interessato entro il primo mese. Qualora il Titolare non possa ottemperare alla richiesta dell’interessato deve dargliene comunicazione senza ritardo e comunque non oltre il primo mese dalla ricezione della richiesta, spiegando i motivi della impossibilità di dar seguito alla richiesta e informando l’interessato della possibilità di proporre un reclamo all’autorità di controllo. Tutte le richieste di esercizio dei diritti di cui al Capo III sono gratuite. Il Titolare potrà chiedere un contributo spese amministrative se la richiesta è eccessiva o ripetitiva e potrà legittimamente rifiutarsi di soddisfare la richiesta solo se sia infondata. Qualora, però, il Titolare senza giustificato motivo non dia seguito all’esercizio del diritto dell’interessato effettuerà una violazione che comporterà sanzioni fino a 20 milioni di euro o fino al 4% del fatturato mondiale totale annuo, così come previsto all’art. 83.