PRIVACY PILLS : 4 - I DIRITTI DELL'INTERESSATO
Il 25 maggio 2018 sarà applicabile in tutti gli Stati Membri il nuovo regolamento europeo in materia di protezione dei dati personali, con il quale si darà inizio a una nuova era per la tutela del diritto alla privacy dei cittadini europei nei rapporti con le pubbliche amministrazioni e le imprese.
Tematiche già affrontate:
La pillola di oggi riguarda: I DIRITTI DELL'INTERESSATO
Il GDPR innova
parzialmente i diritti dell’Interessato rispettivamente al trattamento dei
propri dati personali.
Cosa cambia:
• Il termine per la risposta
all’interessato è, per tutti i diritti, 1 mese, estendibile fino a 3 mesi in
casi di particolare complessità; il titolare deve comunque dare un riscontro
all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.
• Spetta al titolare valutare la
complessità del riscontro all’interessato e stabilire l’ammontare
dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta
di richieste manifestamente infondate o eccessive (anche ripetitive) (art.12,
paragrafo 5), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi
7 e 8, del Codice, ovvero se sono chieste più “copie” dei dati personali nel
caso del diritto di accesso (art. 15, paragrafo 3); in quest’ultimo caso il
titolare deve tenere conto dei costi amministrativi sostenuti.
• Il riscontro all’interessato di
regola deve avvenire in forma scritta anche attraverso strumenti elettronici
che ne favoriscano l’accessibilità; può essere dato oralmente solo se così
richiede l’interessato stesso (art. 12, paragrafo 1; si veda anche art. 15,
paragrafo 3).
• La risposta fornita
all’interessato non deve essere solo “intelligibile”, ma anche concisa,
trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice
e chiaro.
Diritto di Accesso
• Il diritto di accesso prevede in
ogni caso il diritto di ricevere una copia dei dati personali oggetto di
trattamento.
• Fra le informazioni che il
titolare deve fornire non rientrano le “modalità” del trattamento, mentre
occorre indicare il periodo di conservazione previsto o, se non è possibile, i
criteri utilizzati per definire tale periodo, nonché le garanzie applicate in
caso di trasferimento dei dati verso Paesi terzi.
Diritto all’Oblio
• Il diritto cosiddetto “all’oblio”
si configura come un diritto alla cancellazione dei propri dati personali in
forma rafforzata. Si prevede, infatti, l’obbligo per i titolari (se hanno “reso
pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un
sito web) di informare della richiesta di cancellazione altri titolari che
trattano i dati personali cancellati, compresi “qualsiasi link, copia o
riproduzione” (si veda art. 17, paragrafo 2).
• Ha un campo di applicazione più
esteso di quello di cui all’art. 7, comma 3, lettera b), del Codice, poiché
l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per
esempio, anche dopo revoca del consenso al trattamento (si veda art. 17,
paragrafo 1).
Limitazione del Trattamento
• Si tratta di un diritto diverso e
più esteso rispetto al “blocco” del trattamento di cui all’art. 7, comma 3,
lettera a), del Codice: in particolare, è esercitabile non solo in caso di
violazione dei presupposti di liceità del trattamento (quale alternativa alla
cancellazione dei dati stessi), bensì anche se l’interessato chiede la
rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si
oppone al loro trattamento ai sensi dell’art. 21 del regolamento (in attesa
della valutazione da parte del titolare).
• Esclusa la conservazione, ogni
altro trattamento del dato di cui si chiede la limitazione è vietato a meno che
ricorrano determinate circostanze (consenso dell’interessato, accertamento
diritti in sede giudiziaria, tutela diritti di altra persona fisica o
giuridica, interesse pubblico rilevante).
Diritto alla Portabilità dei Dati
• Si tratta di uno dei nuovi diritti
previsti dal regolamento, anche se non è del tutto sconosciuto ai consumatori
(si pensi alla portabilità del numero telefonico).
• Non si applica ai trattamenti non
automatizzati (quindi non si applica agli archivi o registri cartacei) e sono
previste specifiche condizioni per il suo esercizio; in particolare, sono
portabili solo i dati trattati con il consenso dell’interessato o sulla base di
un contratto stipulato con l’interessato (quindi non si applica ai dati il cui
trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del
titolare, per esempio), e solo i dati che siano stati “forniti” dall’interessato
al titolare (si veda il considerando 68 per maggiori dettagli).
• Inoltre, il titolare deve essere
in grado di trasferire direttamente i dati portabili a un altro titolare
indicato dall’interessato, se tecnicamente possibile
Cosa Fare?
Il consiglio che proporremo in tutte
le pills sarà quello di rivolgersi ad
uno Studio Legale con esperti in materia di Privacy, inoltre, per scongiurare
situazioni di panico, proporremo alcune semplici idee per poter approcciare
alle novità del GDPR.
I diritti degli interessati al
trattamento e il loro eventuale esercizio pongono un compito gravoso sulle
spalle del Titolare del trattamento il quale, per potersi concentrare
esclusivamente sul suo business, dovrà necessariamente incaricare una o più
persone per ottemperare a tutti gli obblighi che gli sono imposti. La scelta sarà
obbligatoria ed alternativa.
-
Incaricare un soggetto interno alla propria società,
attribuendogli attraverso una lettera d’incarico specifica anche tutte le
mansioni per l’espletamento dei diritti summenzionati diritti. Questa soluzione
incontra notevoli controindicazioni poiché l’incaricato interno si troverà da
solo a relazionarsi con una materia totalmente nuova per lui e dovrà sottrarre
tempo ed energie alle sue mansioni ordinarie.
-
Assumere come dipendente uno o più nuovi soggetti (a
seconda delle dimensioni dell’impresa), esperti della materia, che trattino
esclusivamente il tema della privacy. Anche questa soluzione incontra un
ostacolo determinante ovvero il costo del lavoro; assumere uno o più dipendenti
per una mansione potrebbe generare dei costi tali da costringere l’imprenditore
ad assumersi il rischio di una multa molto salata.
-
La terza soluzione è quella che emerge da una giusta
compensazione di tutti gli interessi in gioco e prevede la conclusione di un
contratto che potrebbe conoscere tante sfumature quante sono le necessità
dell’imprenditore in tema di privacy. Per gli imprenditori meno soggetti agli
obblighi del GDPR sarebbe ipotizzabile un contratto base di consulenza per
l’espletamento dei diritti degli interessati al trattamento, incaricando così
una società di gestire tutte le richieste di esercizio dei singoli diritti. Per
tutti gli imprenditori avveduti, ovvero quelli che hanno capito quanto la
raccolta e l’elaborazione di dati personali sia una miniera d’oro e non l’ennesima
spesa da affrontare, è lo stesso GDPR a imporre l’adozione del Data Protection
Officer (DPO, per l’Italia Responsabile della Protezione dei Dati o RPD), il
quale, fra le sue mansioni, svolgerà anche quella di rendere effettivo e
accessibile l’esercizio dei diritti degli interessati.
A cura di:
Avv. Fabio Maggesi