L’emanazione del Regolamento GDPR ha rappresentato una vera e propria innovazione in tema di concezione della Data Protection e anche nella gestione pratica dei dati delle persone fisiche da parte di aziende ed enti pubblici.
Vediamo quali sono effettivamente i diritti dell’interessato tutelati dal GDPR.
Vediamo quali sono effettivamente i diritti dell’interessato tutelati dal GDPR.
Il GDPR
Con il GDPR il trattamento dei dati personali diventa non soltanto un adempimento ma un vero e proprio processo che va a riguardare l’intera organizzazione aziendale e che richiede l’adozione di protocolli e procedure che regolino il modo in cui i dati vengono acquisiti, trattati, conservati e di conseguenza si richiede ai Titolari del trattamento una vera e propria responsabilizzazione.
Il GDPR impone, infatti, l’obbligo generale ai Titolari del trattamento di agevolare l’esercizio dei diritti dell’individuo previsti e questo proprio in conformità a quanto previsto dall’art. 12 dove viene ben chiarito, inoltre, che, il Titolare che riceva una richiesta da parte dell’interessato, deve fornire le dovute informazioni senza ingiustificato ritardo e comunque non più tardi di un mese dal ricevimento della richiesta stessa.
COSA SONO I DIRITTI DELL’INTERESSATO E QUALI SONO IN BREVE
Abbiamo già visto e chiarito più volte come il Regolamento sulla protezione dei dati personali rappresenti la prima fonte normativa europea in grado di affidare alla persona fisica il controllo dei propri dati, riconoscendogli di conseguenza la possibilità di esercitare una serie di diritti per proteggerli.
A ciò è dedicato, infatti, il Capo III del GDPR.
Nello specifico essi sono:
- Diritto alla ricezione di informazioni e comunicazioni trasparenti.
- Diritto di accesso
- Diritto di rettifica
- Diritto all’oblio
- Diritto di limitazione del trattamento
- Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
- Diritto alla portabilità dei dati
- Diritto di opposizione trattati “pubblicamente”.
- Diritto di non essere sottoposto ad un processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
Vediamo di seguito nello specifico i tre diritti, non definiti più importanti, in quanto tutti i diritti lo sono, ma principali.
IL DIRITTO ALL’ACCESSO
Ai sensi dell’art. 15 del GDPR, il Diritto di accesso ricopre un ruolo centrale data la possibilità che conferisce all’interessato di “ottenere dal Titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano”.
Da ciò viene agevolato, poi, l’esercizio di ulteriori diritti, quali quello di rettifica e quello di cancellazione dei dati personali.
Infatti, in caso di conferma da parte del Titolare del trattamento, l’interessato ha il diritto di ricevere le informazioni relative al fine del trattamento, alle categorie di dati trattati, ai destinatari cui i dati sono eventualmente stati comunicati, al periodo di conservazione dei dati, alla loro origine, all’esistenza di un processo automatizzato, e alla possibilità di proporre reclamo ad una autorità di controllo.
L’interessato ha quindi il diritto di chiedere al titolare del trattamento, che può essere un soggetto pubblico, impresa, associazione, partito, persona fisica, ecc., se è in corso o meno un trattamento di dati personali che lo riguardano presentando un’istanza al Titolare, senza particolari formalità a cui, il titolare, deve fornire idoneo riscontro entro un mese.
Qualora dovessero esserci degli impedimenti deve essere comunicato un giustificato motivo senza ritardi da parte dello stesso.
IL DIRITTO ALLA CANCELLAZIONE
All’art. 17 del GDPR è sancito il diritto alla cancellazione dei propri dati personali, noto anche con il nome di diritto all’oblio, e prevede la possibilità per l’interessato di ottenere la cancellazione dei propri dati se si verificano le condizioni di cui al primo comma dell’art. 17, ovvero quando:
- i dati trattati non sono più necessari per la finalità per cui originalmente erano stati raccolti
- il trattamento era basato sul consenso o sulla eventuale revoca del consenso e non sussistono ulteriori basi giuridiche per legittimare tale trattamento
- l’interessato esercita il diritto di opposizione
- il trattamento è illecito
La cancellazione è necessaria per adempiere ad obblighi legali previsti dal diritto dell’Unione Europea o dalle leggi dei singoli stati.
Se la richiesta dell’interessato rientra in una di queste ipotesi e i dati sono stati previamente resi pubblici dal Titolare del trattamento, questi dovrà informare gli altri Titolari che stanno trattando quei medesimi dati della richiesta dell’interessato.
L’interessato può richiedere a chi sta trattando i suoi dati personali che questi siano rettificati (perché inesatti o non aggiornati) o cancellati.
Il diritto all’oblio, tuttavia, non è un diritto assoluto.
Infatti, la richiesta dell’interessato spesso potrebbe dover subire un bilanciamento.
È il caso in cui venga esercitato il diritto alla libertà di espressione e di informazione, se il trattamento è necessario per l’adempimento di un obbligo legale cui il Titolare è soggetto, o per motivi inerenti la sanità pubblica, o nei casi di compiti svolti nell’interesse pubblico o per fini di archiviazione di pubblico interesse o di ricerca storica o scientifica, o, infine, per esigenze connesse alla attività giudiziaria.
La richiesta di cancellazione dei dati potrà essere in questi casi legittimamente negata.
IL DIRITTO ALLA PORTABILITÀ DEI DATI
L’art. 20 del GDPR ci parla invece di quando l’interessato può richiedere la portabilità dei propri dati personali trattati; quando il trattamento ha come basi giuridiche il consenso o l’esecuzione di un contratto e sia stato effettuato con mezzi automatizzati, l’interessato ha il diritto di ricevere dal Titolare i dati forniti “in un formato strutturato, di uso comune, e leggibile da dispositivo automatico”, in tal modo esercita il diritto alla portabilità dei dati.
I dati oggetto della richiesta di portabilità potranno quindi essere trasferiti ad un altro Titolare del trattamento o dall’interessato o direttamente dal Titolare soggetto alla richiesta.
Ciò permette di:
- facilitare il passaggio da un fornitore di servizi all’altro
- consentire la creazione di nuovi servizi nel quadro della strategia dell’Ue per il mercato unico digitale
- offrire la possibilità di riequilibrare il rapporto fra interessati e titolari del trattamento tramite l’affermazione dei diritti e del controllo spettanti agli interessati in rapporto ai dati personali che li riguardano
Va detto però che i dati per essere portabili devono essere:
-
- dati personali chiaramente riferibili all’interessato, saranno di conseguenza esclusi i dati anonimi; trattati sulla base del consenso preventivo dell’interessato o di un contratto di cui è parte l’interessato
- trattati attraverso strumenti automatizzati, e quindi esclusi gli archivi e registri cartacei
- consapevolmente e in modo attivo dall’interessato
Il diritto alla portabilità non si applica invece ai cosiddetti dati inferenziali né ai dati derivati.
L’esercizio del diritto alla portabilità dei dati non pregiudica nessuno degli altri diritti dell’interessato, che può, per esempio continuare a fruire del servizio offerto dal titolare anche dopo un’operazione di portabilità ed esercitare il diritto di cancellazione.
In conclusione, attraverso tali diritti, gli interessati possono presentare una richiesta specifica e assicurarsi che i propri dati personali non vengano utilizzati in modo improprio e per finalità diverse dallo scopo legittimo per il quale sono stati effettivamente forniti.
I diritti degli interessati rappresentano il nucleo del GDPR ed è quindi necessario e doveroso per l’azienda implementare questi diritti nel contesto dei suoi singoli clienti, dipendenti e personale di altri fornitori.
Se anche tu, per la tua attività, hai necessità di conformarti a quanto prescritto dal GDPR ed evitare possibili sanzioni, contattaci subito.
Scrivici all’indirizzo di posta elettronica info@abinnovationconsulting.com, oppure compila il modulo seguente.
