I diritti degli interessati previsti dal GDPR
Il GDPR indica quali sono i diritti degli interessati rispetto al trattamento dei loro dati personali ed impone una serie di obblighi in capo al Titolare. Scopriamo insieme quali sono.
Il Regolamento europeo 679/16 (GDPR) prevede che, in base alla finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento, le informazioni richieste dalle norme (art. 12 GDPR).
A tal fine, l’art. 13 del GDPR impone, a carico delle aziende, l’obbligo di predisporre un’informativa e cioè una comunicazione rivolta all’interessato che ha lo scopo di informare il cittadino, anche prima che diventi interessato (cioè prima che inizi il trattamento), sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento.
È dovere del titolare del trattamento, infatti, di assicurare la trasparenza e la correttezza dei trattamenti fin dalla fase di progettazione dei trattamenti stessi e di essere in grado di dimostrarlo in qualunque momento (principio di accountability).
Inoltre, solo una corretta informativa consente all’interessato di prestare un consenso al trattamento stesso che possa essere considerato valido.
Modalità dell’informativa
L’informativa deve avere forma concisa, deve essere chiara, facilmente accessibile ed intelligibile per l’interessato (Considerando 39 e art 12 GDPR) e deve essere resa per iscritto o con altri mezzi (come, ad esempio, la posta elettronica) ed è preferibile fornirla in forma tale da provarne l’esistenza e per consentire all’Autorità di vigilanza di verificarne la completezza e correttezza.
Il contenuto dell’Informativa
Prima di esaminare nel dettaglio quali sono i diritti degli interessati del trattamento secondo il GDPR, è necessario far luce su quelli che sono le informazioni che necessariamente devono essere fornite al cittadino ai sensi del Regolamento europeo.
Gli articoli 13 (nel caso in cui i dati vengano raccolti presso l’interessato direttamente da parte del Titolare del Trattamento) e 14 (nel caso in cui il Titolare non abbia ottenuto i dati direttamente dall’interessato) del GDPR disciplinano il contenuto minimo dell’informativa, che deve prendere in considerazione:
- i dati identificativi del titolare del trattamento e del responsabile per la protezione dei dati (DPO), se nominato, ed un recapito al quale gli interessati potranno rivolgersi per l’esercizio dei propri diritti;
- le categorie di dati trattati e le finalità del trattamento, e cioè quali dati vengono trattati, e a quale fine/ scopo.
- la base giuridica del trattamento e quindi ad esempio se si tratta di un trattamento basato sul consenso, sulla legge o su legittimi interessi del Titolare del Trattamento. In quest’ultimo caso il Titolare dovrà altresì riportare e specificare i legittimi interessi perseguiti;
- i soggetti destinatari ai quali i dati possono essere comunicati;
- la natura obbligatoria o facoltativa del conferimento dei dati e le eventuali conseguenze del rifiuto;
- se il titolare del trattamento ha intenzione di trasferire i dati in un paese extra-UE e, in questo caso, se esiste o meno una decisione di adeguatezza della Commissione UE con la quale si attesta che nel paese destinatario dei dati viene garantito un livello di protezione adeguato;
- il periodo di conservazione dei dati raccolti (per quanto tempo saranno trattati i dati raccolti dal Titolare del Trattamento);
- se il trattamento prevede processi decisionali automatizzati, ad esempio la profilazione. In tal caso deve anche essere specificata la logica dei processi utilizzati e le conseguenze per l’interessato;
- i diritti dell’interessato;
- Il diritto dell’interessato di proporre reclamo all’autorità di controllo;
- Nei trattamenti che prevedono il consenso (come base giuridica) dell’interessato, la possibilità da parte di quest’ultimo di revocarlo in qualsiasi momento.
Per il sito Web sarebbe opportuno indicare, altresì:
- i cookie veicolati dal sito, le modalità di disabilitazione dei cookie (ad esempio tramite opzioni del browser) e, nel caso di cookie di terze parti, il link alle pagine delle privacy policy dei servizi delle terze parti.
I diritti degli interessati dal trattamento secondo il GDPR
Come anticipato, un’informativa che possa considerarsi completa, oltre ai dati di contatto del Titolare o del DPO eventualmente nominato cui far pervenire le proprie richieste, deve necessariamente indicare quali sono i diritti degli interessati dal trattamento esercitabili nei confronti del titolare del trattamento.
La normativa GDPR prevede, infatti, una serie di diritti azionabili:
- il diritto di accesso (articolo 15): gli interessati hanno il diritto di accedere ai propri dati personali e alle informazioni relative al modo in cui vengono trattati. L’azienda ha l’obbligo di fornire la lista delle categorie di dati trattati, una copia degli effettivi dati raccolti, la descrizione delle modalità del trattamento, le finalità del trattamento, il modo in cui i dati sono stati raccolti, il periodo di conservazione degli stessi ed i soggetti terzi con cui i dati sono stati eventualmente condivisi. L’azienda avrà il dovere di informare l’interessato della possibilità di poter esercitare, rispetto al trattamento effettuato, i diritti di rettifica o cancellazione o la limitazione oppure l’opposizione al trattamento dei dati personali, della possibilità di poter proporre reclamo all’autorità di controllo e se i dati personali sono stati oggetto di un processo decisionale automatizzato
- il diritto di rettifica (articolo 16): gli interessati possono chiedere la rettifica dei loro dati personali nel caso in cui siano errati o incompleti. L’azienda ha il dovere di aggiornare tutte le terze parti ai quali ha comunicato i dati dell’interessato che devono essere rettificati;
- il diritto alla cancellazione (articolo 17): quando i dati non risultano più utili per le finalità per le quali sono stati raccolti, in caso di revoca del consenso da parte dell’utente, quando sono stati trattati in modo illecito o quando è imposta per obbligo di legge la cancellazione a carico del Titolare del Trattamento o quando sono stati raccolti dati personali di minori per inoltrare a quest’ultimi un’offerta di servizi da parte di una società d’informazioni, l’utente ha il diritto di chiederne la cancellazione. Il diritto alla cancellazione dei dati personali può essere negato quando:
- sono trattati per un interesse pubblico;
- sono necessari per la difesa in giudizio o per adempiere a un obbligo di legge;
- sono necessari per l’esecuzione di un compito di interesse pubblico;
- sono necessari per l’esercizio di pubblici poteri di cui il titolare del trattamento è investito;
- sono necessari per esercitare il diritto alla libertà di espressione;
- sono trattati a fini sanitari e di interesse pubblico.
- Sono necessari ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
- il diritto di limitazione del trattamento (articolo 18): l’interessato ha il diritto di richiedere la limitazione del trattamento dei suoi dati personali se:
- ne contesta l’esattezza;
- il trattamento è illecito, ma l’interessato richiede una limitazione anziché la cancellazione.
- si è opposto al trattamento e l’azienda sta valutando se esiste un motivo legittimo per impedirlo;
- i dati non sono più necessari, ma l’interessato ne ha bisogno per l’esercizio o la difesa di un proprio diritto in sede giudiziaria.
Anche in questo caso la limitazione deve essere comunicata a tutte le terze parti alle quali sono stati comunicati i dati personali dell’interessato;
- il diritto di portabilità (articolo 20): l’interessato ha il diritto di richiedere ed ottenere in un formato elettronico leggibile i dati personali raccolti dall’azienda sia in maniera diretta (forniti dall’interessato stesso), indiretta (acquisiti da terzi) e i dati osservati, allo scopo di trasferirli ad altro titolare, senza che l’attuale titolare crei alcun ostacolo, solo nei casi in cui il trattamento abbia come base giuridica il consenso dell’interessato o sia necessario per l’esecuzione del contratto;
- il diritto di opposizione (articolo 21): l’interessato ha il diritto di opporsi a determinati trattamenti effettuati dall’azienda quando questi si basano sul consenso, sull’interesse legittimo del titolare, sull’esecuzione di un compito di interesse pubblico o di esercizio di pubblici poteri o a fini di ricerca e statistica, scientifica o storica;
- il diritto di revoca del consenso già prestato;
- il diritto di proporre reclamo all’Autorità di controllo o di ricorso giurisdizionale.
Modalità di esercizio dei diritti
Il Titolare che riceve la richiesta di attivazione di uno dei diritti sopra elencati da parte dell’interessato ha il diritto di chiedere informazioni necessarie a identificare l’interessato e quest’ultimo ha il dovere di fornirle secondo modalità idonee (si vedano, in particolare, articolo 11, paragrafo 2 e articolo 12, paragrafo 6).
Una volta identificato l’interessato richiedente, il Titolare ha l’obbligo di fornire una risposta, anche in caso di diniego, che deve essere concisa, trasparente ed espressa in un linguaggio semplice e chiaro.
Il riscontro all’interessato, di regola, deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (articolo 12, paragrafo 1; si veda anche articolo 15, paragrafo 3).
Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibile fino a 3 mesi in casi di particolare complessità. Il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.
La valutazione della complessità del riscontro all’interessato spetta al titolare così come stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (articolo 12 paragrafo 5) ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (articolo 15, paragrafo 3). Infatti, l’esercizio dei diritti è, in linea di principio, gratuito per l’interessato.
Il termine concesso dalla normativa al titolare per dare riscontro alla richiesta dell’interessato, a ben vedere, appare un termine congruo, ma, tuttavia, diventa assai stringente se il titolare non è preparato a gestire la richiesta.
È pur vero che il titolare ha la possibilità di estendere il termine fino a 3 mesi nei casi più complessi (decisione che in ogni caso deve essere comunicata all’istante nel termine breve di 1 mese, come si è detto), ma questa deroga potrebbe rappresentare una scappatoia se il titolare intendesse far passare per particolare complessità ciò che non è altro se non un effetto della propria disorganizzazione.
Altitolare del trattamento spetta il compito di agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura tecnica e organizzativa necessaria.
Qualora dovesse essere accertata, la disorganizzazione può costare molto cara all’azienda, dal momento che gli ostacoli frapposti all’esercizio dei diritti degli interessati da parte del titolare del trattamento, sono oggetto delle sanzioni più gravi comminate dal GDPR, che possono arrivare sino a 20 milioni di euro o al 4% del fatturato globale annuo dell’esercizio precedente, se superiore.
Per questa ragione, è di particolare importanza per i titolari del trattamento (anche nel rispetto di quanto previsto dall’articolo 24 del Regolamento, che impone l’adozione di misure tecniche ed organizzative adeguate ad assicurare l’osservanza dello stesso) dotarsi di procedure organizzative predeterminate che consentano all’azienda di fornire agli interessati compiuto e tempestivo riscontro alle richieste di esercizio dei propri diritti e per far sì che quanto declamato nell’informativa non rimanga una semplice ed astratta dichiarazione di principio.
Le figure aziendali coinvolte nella procedura
Senza dubbio, la prima misura di organizzazione da adottare è la definizione di un organigramma privacy nel quale venga individuata una figura dirigenziale (o un dipartimento aziendale) che avrà il compito di presiedere alle politiche in materia di protezione dei dati e gestione delle richieste degli interessati.
Solo successivamente potranno essere individuate le procedure operative da adottare o implementare, di cui l’organigramma è presupposto logico e necessario.
Qualora sia stato nominato un Data Protection Officer (per obbligo derivante dal GDPR o per scelta del titolare del trattamento), sarà quest’ultimo a rivestire il ruolo di referente per gli interessati, ricevendo le loro richieste, coordinandosi con le funzioni operative aziendali il cui trattamento è demandato, istruendole e fornendo i necessari riscontri agli interessati.
La definizione di un organigramma privacy, l’istituzione di protocolli operativi adeguati e la formalizzazione di un’informativa che rispetti i requisiti stabiliti dalla normativa è un’operazione che richiede particolari competenze tecniche ed organizzative ed è indispensabile l’aiuto da parte di un professionista.
Vuoi verificare se la tua azienda è in regola? Hai bisogno di un aiuto per mettere in campo le misure necessarie ad evitare il rischio di controversie? Contattaci per un primo colloquio nel quale potrai esporci le tue necessità.