Il 25 maggio 2018 diverrà applicabile il Regolamento UE n. 2016/679 (GDPR, acronimo dall’ inglese “General Data Protection Regulation”) in tutti gli Stati membri. Con l’obiettivo di creare una guida completa sul ‘GDPR per la startup‘, abbiamo già affrontato in precedenti articoli le principali novità introdotte e il Registro dei trattamenti. Qui di seguito affronteremo invece il tema dei ‘diritti dell’interessato’.
Il GDPR infatti, oltre ad introdurre e modificare numerosi aspetti della disciplina della privacy, cambia radicalmente l’approccio che un’azienda deve avere nei confronti del trattamento di dati personali.
Si passa infatti da un approccio di carattere prescrittivo, in base al quale il dettato normativo fissa ciò che deve (o non deve) essere fatto per risultare compliant, all’individuazione di determinati obiettivi da raggiungere.
La domanda sorge spontanea, “Come faccio quindi a dimostrare di essere in regola?”.
Viene introdotto il concetto di accountability del titolare del trattamento, una responsabilizzazione dello stesso che deve essere in grado di comprovare il rispetto dei principi fissati dall’articolo 5 del GDPR (liceità, correttezza e trasparenza nel trattamento dei dati; limitazione delle finalità di trattamento; minimizzazione ed esattezza dei dati trattati; integrità e riservatezza nonché limitazione della conservazione dei dati trattati) che permeano tutti i relativi adempimenti e obblighi.
In linea con questo approccio, è stato introdotto il concetto di “Privacy by Design”, ai sensi dell’art. 25 del GDPR, ovvero il rispetto e la considerazione di possibili future implicazioni (lato privacy) durante la progettazione di un nuovo bene/servizio che verrà offerto in futuro sul mercato. Potrebbe, in tal caso, risultare necessaria l’implementazione di tutte le misure tecniche ed organizzative adeguate (quali, ad esempio, la pseudonimizzazione).
Indice degli argomenti
Quali sono i ‘diritti dell’interessato’
La tematica viene affrontata dal Capo III del GDPR; questa serie di articoli disciplina, appunto, quelli che sono i c.d. diritti dell’interessato, ovvero una serie di diritti che spettano al soggetto cui appartengono i dati oggetto del trattamento e che devono essere garantiti dal titolare del trattamento.
L’articolo 12 raccoglie quelle che sono le informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato.
L’articolo 13 del GDPR riflette la pretesa riconosciuta alla persona di comprendere e prevedere l’ambito di circolazione dei propri dati, le finalità, il soggetto o i soggetti che trattano i suoi dati, i loro dati di contatto, nonché eventuali trasferimenti dei dati extra UE e di procedere su tale base ad un consapevole esercizio dei poteri di controllo. Si tratta del diritto, per l’interessato, di essere informato.
Il titolare fornisce, inoltre, all’interessato le informazioni relative all’azione intrapresa riguardo ad una richiesta da parte di quest’ultimo, senza ingiustificato ritardo (al più tardo entro un mese dal ricevimento della richiesta stessa). Nel caso in cui il titolare non fosse in grado di ottemperare, entro le tempistiche di cui sopra, dovrà informare l’interessato (nuovamente senza ritardo) dei motivi di tale inottemperanza e della possibilità per quest’ultimo di proporre reclamo all’autorità di controllo, nonché di proporre ricorso giurisdizionale.
Come questo diritto, ve ne sono altri che rimangono invariati rispetto all’attuale codice privacy, in particolare si fa riferimento al diritto di accesso alle informazioni sopra elencate (previsto dall’articolo 15) ed a quello che permette la rettifica di tali dati da parte dell’interessato (articolo 16). Il primo viene fissato al fine di poter verificare la liceità del trattamento dei loro dati: l’interessato è abilitato a ricevere una copia dei suoi dati personali oggetto di trattamento (in caso di ulteriori copie richieste dall’interessato, il titolare può fissare un contributo spese ragionevole basato sui costi amministrativi). Mentre il secondo permette all’interessato di ottenere la modifica dei dati personali inesatti o l’integrazione di quelli incompleti (anche a mezzo di dichiarazione integrativa) in possesso del titolare, senza ingiustificato ritardo (massimo un mese).
L’interessato ha inoltre il diritto ad ottenere (dal titolare) la limitazione del trattamento dei suoi dati (diritto di limitazione del trattamento, articolo 18 del GDPR). Ovviamente vengono fissate alcune casistiche per l’esercizio di tale diritto: quando l’interessato si oppone al trattamento o contesta l’esattezza dei dati personali trattati, quando il trattamento risulta illecito e l’interessato si oppone alla cancellazione dei suoi dati, quando i dati sono utili all’interessato per l’accertamento, l’esercizio o la difesa di un suo diritto in sede giudiziaria (anche se al titolare non ne abbia più bisogno).
L’articolo 21 parla infatti del diritto di opposizione dell’interessato. Costui può infatti opporsi in qualsiasi momento, per motivi connessi esclusivamente alla sua situazione, al trattamento dei dati personali che lo riguardano. Esistono dei casi particolari in cui l’interessato può espressamente opporsi al trattamento dei suoi dati personali per finalità di marketing diretto, profilazione, basata sul legittimo interesse del titolare o per fronteggiare un interesse pubblico o l’esercizio di pubblici poteri, nonché il trattamento diretto allo studio statistico o alla ricerca. Solo per il trattamento volto al marketing diretto esiste il diritto assoluto di opposizione: in tal caso l’interessato non è tenuto a dimostrare la motivazione della sua opposizione e non sono possibili delle eccezioni che permettano al titolare di proseguire con il trattamento dei dati dell’interessato per tale finalità.
Diritto all’oblio
Il diritto alla cancellazione (articolo 17 del GDPR) non è un concetto del tutto nuovo, ma viene fissato all’interno del testo del Regolamento. Tale diritto è anche noto come “diritto all’oblio“, anche se non si tratta dell’accezione assoluta del termine.
Il principio generale su cui si fonda tale diritto è quello di consentire a una persona di chiedere la cancellazione dei dati personali, indipendentemente dal fatto che non sussistano motivi impellenti per continuare a trattarli.
Le persone fisiche hanno il diritto di far cancellare i loro dati personali ed evitarne il relativo trattamento in alcune specifiche circostanze: qualora i dati personali non siano più necessari in relazione allo scopo per il quale erano stati originariamente forniti, raccolti, trattati; quando l’interessato ritira il proprio consenso; quando l’interessato si oppone al trattamento e non sussiste un interesse legittimo prevalente per continuarne lo stesso; qualora i dati personali sono stati trattati illegalmente (vale a dire in violazione del GDPR); quando i dati personali devono essere cancellati per adempiere ad un obbligo legale; ancora quando i dati personali sono trattati in relazione all’ offerta di servizi della società dell’informazione ad un minore.
In quanto titolari del trattamento, potrete rifiutarvi di dare seguito ad una richiesta di cancellazione qualora i dati personali vengano trattati per i seguenti motivi: esercitare il diritto alla libertà di espressione e di informazione; adempimento di un obbligo legale; per motivi di sanità pubblica (interesse pubblico); finalità di archiviazione per l’interesse pubblico, la ricerca scientifica, la ricerca storica o statistica; l’esercizio o la difesa di pretese legali.
Uno dei casi principali in merito è sicuramente rappresentato dalla sentenza della Corte di Giustizia Europea (C. Giust. UE, causa C-131/12, pubblicata il 13.05.2014, dalla Grande sezione) in cui viene stabilito che, in seguito alla richiesta di cancellazione di un contenuto dal web non fosse responsabile esclusivamente il titolare del particolare sito web ma anche un motore di ricerca, essendo titolare di tutti i dati personali indicizzati sulle proprie pagine. Pertanto, ogni cittadino europeo che voglia chiedere la cancellazione delle proprie informazioni dal web (rimuovendo il collegamento tra il proprio nome e un sito internet) deve fare un’unica domanda al motore di ricerca stesso (ad esempio Google). Questo anche in caso di corretta e legittima pubblicazione della notizia stessa.
Portabilità dei dati
La portabilità dei dati si applica solo: ai dati personali che una persona fisica ha fornito ad un titolare del trattamento; qualora il trattamento si basi sul consenso dell’interessato o per l’esecuzione di un contratto; in caso di trattamento automatizzato.
L’interpretazione dell’espressione “che l’interessato ha fornito” è estensiva, non si limita pertanto ai soli dati contenuti nei moduli compilati dall’interessato, ma a tutte le informazioni raccolte dal titolare nel corso dei suoi rapporti intrapresi con il soggetto interessato.
In definitiva, lo scenario è decisamente ampio ed a tratti complesso. I diritti da garantire sono molti, ma con la dovuta considerazione e sensibilizzazione sul tema nulla apparirà come un problema insormontabile.
Se prima molte società mettevano in conto (preventivamente) la possibilità di subire sanzioni per non essere compliant al dettato normativo, con il GDPR ed il relativo inasprimento delle sanzioni amministrative (si parla di massimali che ammontano a: 10 milioni di dollari o 2% del fatturato annuo mondiale di gruppo per le violazioni “minori”, e 20 milioni di dollari o 4% del fatturato annuo mondiale di gruppo per le violazioni più gravi) questo approccio non sarà più possibile.
Ecco perché conviene sin da subito valutare i propri trattamenti di dati personali e rispettare quanto previsto dal nuovo Regolamento.
Non è mai troppo tardi per essere compliant e la scadenza è fissata per il 25 maggio 2018.
Contributor: Gabriele Tori – Legal consultant P4I
