giovedì 21 giugno 2018

Il GDPR e i diritti dell'interessato


di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy

Il Regolamento Europeo in materia di trattamento dati personali, si basa sul principio della ACCOUNTABILITY, termine tipicamente anglosassone impropriamente da noi tradotto in “responsabilizzazione” o “rendicontazione”, termini che non rendono assolutamente l’idea del suo significato e della portata. L’accountability coinvolge tutti gli aspetti di affidabilità, competenza e gestione dei dati personali e diventa il paradigma o comunque il parametro di raffronto nel trattamento di tutti i dati personali al fine di garantire, tra l’altro, i diritti dell’interessato.
Ed invero, accanto a questo pilastro su cui ruota l’intero sistema, il GDPR pone alla propria base la figura dell’Interessato, cioè il titolare dei dati: il soggetto che autorizzerà il trattamento cui vengono riconosciuti veri e propri diritti espressi più compiutamente rispetto alla precedente normativa nazionale.
L’articolo 15 prevede infatti espressamente il diritto di accesso da parte dell’interessato. La persona fisica o giuridica che ha fornito i propri dati sensibili ha il diritto di ottenere dal Titolare del trattamento la conferma che sia o meno in corso un determinato trattamento dei dati personali che lo riguardano e, laddove in corso, l’accesso ai dati e alle seguenti informazioni:
  1. le finalità del trattamento;
  2. le categorie di dati personali in questione;
  3. i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
  4. quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare questo periodo;

Il titolare deve inoltre garantire all’Interessato la rettifica o la cancellazione dei dati personali, oltre la limitazione del trattamento ovvero opporsi al loro trattamento. È del resto espressamente prevista la possibilità per l’interessato di proporre reclamo ad un’autorità di controllo.
È quindi immediatamente intuibile quali debbano essere le accortezze che dovranno porre in essere i Titolari, con l’indispensabile assistenza dei DPO nominati, in quanto ogni singolo utente deve poter accedere, in qualsiasi momento, ai propri dati per conoscerne lo stato ed i trattamenti in corso. Si prospettano per le aziende concreti rischi di essere sotto costante controllo di utenti particolarmente ansiosi o insoddisfatti,  con le intuibili ripercussioni anche sui processi aziendali e sulla produttività. È pur vero che all’articolo 25 del Regolamento si parla di stato dell’arte e costi ma a fronte di possibili numerose richieste di accessi e date le sanzioni previste, Titolari e DPO dovranno disporre di strumenti informatici epiattaforme assolutamente affidabili e che permettano all’Interessato l’esercizio dei propri diritti.
Il titolare del trattamento dovrà inoltre fornire all’interessato le informazioni relative all’azione intrapresa riguardo alle richieste di accesso senza ingiustificato ritardo e al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine potrà essere prorogato per un massimo di altri due mesi, se necessario, tenuto conto della complessità della richiesta e del numero di richieste e l’interessato dovrà essere informato dei motivi del ritardo entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta in formato elettronico, le informazioni saranno fornite, ove possibile, nello stesso modo, salvo indicazione diversa dell’interessato, cui è anche concesso, in caso di mancata ottemperanza da parte del Titolare, la possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.
Restano ulteriori importanti diritti dell’interessato, già comunque pacifici nel nostro ordinamento, quali il diritto di rettifica, quello di cancellazione e il diritto di limitazione del trattamento. In particolare la limitazione del trattamento è prevista nelle ipotesi in cui:
  • l’interessato contesti l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
  • il trattamento sia illecito e l’interessato chiede che ne sia limitato l’utilizzo ma non la cancellazione;
  • il titolare del trattamento non ne abbia bisogno ai fini del trattamento ma i dati personali siano necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  • l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

Ovviamente l’Interessato ha sempre il diritto di opporsi al trattamento per l’utilizzo dei propri dati a fini di marketing.
Con il riconoscimento del diritto alla cancellazione ed all’oblio, all’interessato deve essere data la certezza che siano cancellati e non più sottoposti a trattamento, i dati personali che non siano più necessari per le finalità per le quali erano stati raccolti o trattati. Tuttavia sembrerebbe lecita l’ulteriore conservazione dei dati qualora necessaria all’esercizio del diritto alla libertà di espressione e di informazione, per adempiere un obbligo legale, per eseguire un compito di interesse pubblico o nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, per motivi di interesse pubblico nel settore della sanità pubblica, per finalità di archiviazione nel pubblico interesse, per finalità di ricerca scientifica e storica o finalità statistiche o per accertare, esercitare o difendere un diritto in sede giudiziaria.

Nessun commento:

Posta un commento