di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy
Il Regolamento Europeo in materia di trattamento dati personali, si basa sul principio della ACCOUNTABILITY, termine tipicamente anglosassone impropriamente da noi tradotto in “responsabilizzazione” o “rendicontazione”, termini che non rendono assolutamente l’idea del suo significato e della portata. L’accountability coinvolge tutti gli aspetti di affidabilità, competenza e gestione dei dati personali e diventa il paradigma o comunque il parametro di raffronto nel trattamento di tutti i dati personali al fine di garantire, tra l’altro, i diritti dell’interessato.
Ed invero, accanto a questo
pilastro su cui ruota l’intero sistema, il GDPR pone alla propria base la
figura dell’Interessato, cioè il titolare dei dati: il soggetto che autorizzerà
il trattamento cui vengono riconosciuti veri e propri diritti espressi più
compiutamente rispetto alla precedente normativa nazionale.
L’articolo
15 prevede infatti espressamente il diritto di accesso da parte
dell’interessato. La persona fisica o giuridica che ha fornito i propri dati
sensibili ha il diritto di ottenere dal Titolare del trattamento la conferma
che sia o meno in corso un determinato trattamento dei dati personali che lo
riguardano e, laddove in corso, l’accesso ai dati e alle seguenti informazioni:- le finalità del trattamento;
- le categorie di dati personali in questione;
- i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
- quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare questo periodo;
Il titolare
deve inoltre garantire all’Interessato la rettifica o la cancellazione dei dati
personali, oltre la limitazione del trattamento ovvero opporsi al loro
trattamento. È del resto espressamente prevista la possibilità per
l’interessato di proporre reclamo ad un’autorità di controllo.
È quindi
immediatamente intuibile quali debbano essere le accortezze che dovranno porre
in essere i Titolari, con l’indispensabile assistenza dei DPO nominati, in
quanto ogni singolo utente deve poter accedere, in qualsiasi momento, ai propri
dati per conoscerne lo stato ed i trattamenti in corso. Si prospettano per le
aziende concreti rischi di essere sotto costante controllo di utenti
particolarmente ansiosi o insoddisfatti, con le intuibili ripercussioni anche sui
processi aziendali e sulla produttività. È pur vero che all’articolo 25 del
Regolamento si parla di stato dell’arte e
costi ma a fronte di possibili numerose richieste di accessi e date le
sanzioni previste, Titolari e DPO dovranno disporre di strumenti informatici epiattaforme assolutamente affidabili e che permettano all’Interessato
l’esercizio dei propri diritti.
Il titolare
del trattamento dovrà inoltre fornire all’interessato le informazioni relative
all’azione intrapresa riguardo alle richieste di accesso senza ingiustificato
ritardo e al più tardi entro un mese dal ricevimento della richiesta stessa.
Tale termine potrà essere prorogato per un massimo di altri due mesi, se
necessario, tenuto conto della complessità della richiesta e del numero di
richieste e l’interessato dovrà essere informato dei motivi del ritardo entro
un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta
in formato elettronico, le informazioni saranno fornite, ove possibile, nello
stesso modo, salvo indicazione diversa dell’interessato, cui è anche concesso,
in caso di mancata ottemperanza da parte del Titolare, la possibilità di proporre
reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.
Restano
ulteriori importanti diritti dell’interessato, già comunque pacifici nel nostro
ordinamento, quali il diritto di rettifica, quello di cancellazione e il
diritto di limitazione del trattamento. In particolare la limitazione del
trattamento è prevista nelle ipotesi in cui:
- l’interessato contesti l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
- il trattamento sia illecito e l’interessato chiede che ne sia limitato l’utilizzo ma non la cancellazione;
- il titolare del trattamento non ne abbia bisogno ai fini del trattamento ma i dati personali siano necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
- l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
Ovviamente l’Interessato
ha sempre il diritto di opporsi al trattamento per l’utilizzo dei propri dati a
fini di marketing.
Con il
riconoscimento del diritto alla cancellazione ed all’oblio, all’interessato
deve essere data la certezza che siano cancellati e non più sottoposti a
trattamento, i dati personali che non siano più necessari per le finalità per
le quali erano stati raccolti o trattati. Tuttavia sembrerebbe lecita
l’ulteriore conservazione dei dati qualora necessaria all’esercizio del diritto
alla libertà di espressione e di informazione, per adempiere un obbligo legale,
per eseguire un compito di interesse pubblico o nell’esercizio di pubblici
poteri di cui è investito il titolare del trattamento, per motivi di interesse
pubblico nel settore della sanità pubblica, per finalità di archiviazione nel
pubblico interesse, per finalità di ricerca scientifica e storica o finalità
statistiche o per accertare, esercitare o difendere un diritto in sede
giudiziaria.
Nessun commento:
Posta un commento