GDPR PRIVACY: Il diritto alla portabilità, il diritto all’oblio e altri diritti

Regolamento europeo privacy 2018 diritto all'oblio e diritto alla portabilità

Il diritto alla portabilità dei propri dati e il diritto all’oblio sono tra i nuovi diritti Regolamento UE 2016/679 o GDPR (General Data Protection Regulation), in vigore in tutti i paese della CE dal 25 maggio, che, oltre a confermare i diritti dell’interessato già previsti dalla normativa precedente, ne ha introdotti altri, rendendo la tutela dei diritti e della libertà degli interessati ancora più centrale e protetta.

Per poter arrivare preparati all’appuntamento, in questo articolo cercheremo di approfondire i seguenti argomenti:

Il diritto alla portabilità

Il diritto alla portabilità è disciplinato dall’articolo 20 del Regolamento Europeo: “L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti“.

Tale diritto consente all’interessato di “trasferire”, quindi, i propri dati personali forniti da un titolare del trattamento ad un altro (ad esempio da un’azienda all’altra). In tal modo si assicura ai soggetti un più ampio controllo dei propri dati e una maggiore concorrenza tra aziende.

Ovviamente il titolare del trattamento deve informare di questo diritto l’interessato, illustrandone quali sono i dati soggetti alla portabilità. Quest’ultimi sono i dati personali, compresi i dati pseudoanonimi (essendo legati ai dati personali), ma non sono compresi i dati anonimi. Secondo l’interpretazione del Gruppo Articolo 29, l’espressione “forniti” sta ad indicare non solo i dati espressamente forniti dal soggetto al titolare del trattamento, ma devono essere compresi anche tutti quei dati dedotti dalle attività dell’interessato stesso (si pensi ad esempio ai dati di localizzazione, la cronologia delle ricerche e dei dati di navigazione, eccetera). Non dovrebbero, invece, essere inclusi i dati che il titolare ha generato effettuando delle proprie analisi di dati raccolti e/o forniti, né i dati che ha ottenuto da terze parti.

La portabilità dei dati è garantita solo se presente il consenso oppure in base ad uno specifico contratto. In ogni caso è possibile soltanto se il trattamento è stato effettuato su base elettronica e non cartacea.

Questo nuovo diritto impegnerà non poco le aziende che dovranno quindi elaborare sistemi di gestione dei dati personali estremamente flessibili e interoperabili in grado di favorire una semplice, veloce e snella trasmissione dei dati da un fornitore all’altro.

Il diritto alla cancellazione o all’oblio

Il diritto alla cancellazione o all’oblio viene sancito nel Regolamento dall’articolo 17 e riguarda in pratica il diritto di ciascuno a richiedere la totale cancellazione dei propri dati personali presso un determinato titolare del trattamento. Tale diritto era già previsto dall’esistente normativa e quindi anche nel nostro Codice della Privacy, ma in questa sede ne viene rafforzato il valore.

Tra l’altro il legislatore sancisce anche la tempestività della cancellazione visto che parla di “diritto alla cancellazione senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali“.

Occorre pero’ distinguere tra due casi:

  • se l’interessato ha fornito esplicito consenso al titolare del trattamento, la revoca dello stesso è condizione necessaria e sufficiente per la cancellazione dei suoi dati personali
  • se per i dati personali dell’interessato non è stato dato esplicito consenso, ma sono stati raccolti:
    • nell’esercizio del diritto alla libertà di espressione e di informazione
    • per l’adempimento di un obbligo legale
    • per motivi di interesse pubblico nel settore della sanità pubblica
    • a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici,
    • per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria,

    la cancellazione potrà avvenire solo se i dati personali non siano più necessari rispetto alle finalità per le quali sono stati raccolti o trattati.

Tale diritto assume una connotazione di novità rispetto a quello esistente, perché il titolare del trattamento, quando riceve una richiesta di cancellazione dei dati e ci siano i requisiti per procedere, non ha solo l’obbligo di cancellare gli stessi dai sui database, ma, se li ha resi pubblici, deve provvedere alla cancellazione anche presso “i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato” qualora questi abbia richiesto di “cancellare qualsiasi link, copia o riproduzione dei suoi dati personali“.

E’ bene aggiungere che i motori di ricerca svolgono spesso attività di trattamento dei dati personali e come tali sono tenuti alla cancellazione degli stessi, qualora l’interessato ne faccia richiesta. Tale diritto si concretizza in questo caso in un diritto alla de-indicizzazione.

Un cenno agli altri diritti del Regolamento Europeo

Diritto di accesso

Il diritto all’accesso (articolo 15) sancisce il diritto dell’interessato a ottenere, dal titolare del trattamento, la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano. Se è in corso un trattamento dei suoi dati, l’interessato deve avere l’accesso alle seguenti informazioni:

  • le finalità del trattamento
  • le categorie di dati personali in questione
  • i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali
  • quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare questo periodo
  • l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento
  • il diritto di proporre reclamo ad un’autorità di controllo
  • qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato

Il titolare del trattamento deve senza ingiustificato ritardo e al più tardi entro un mese dalla richiesta di accesso dell’interessato, fornire i dati richiesti. Il termine può essere prorogato per un massimo di altri due mesi, se necessario, tenuto conto della complessità della richiesta e del numero di richieste.

Nel caso in cui si applichi la proroga, l’interessato deve essere informato dei motivi del ritardo entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta in formato elettronico, le informazioni sono fornite, ove possibile, in formato elettronico, salvo indicazione diversa dell’interessato.

Diritto di rettifica

Il diritto di rettifica, disciplinato dall’articolo 16 del Regolamento Europeo, permette all’interessato di richiedere, in qualsiasi momento, la rettifica dei propri dati personali qualora questi risultino inesatti e il titolare deve procedere senza ingiustificato ritardo.

L’interessato ha, quindi, il diritto di richiedere al titolare che i suoi dati siano modificati, corretti o aggiornati, nonché che siano integrati, tramite una dichiarazione integrativa, i dati personali incompleti. Tale diritto permette all’interessato di mantenere un controllo costante e attivo sui propri dati e sull’utilizzo che ne viene fatto.

Diritto di limitazione del trattamento

E’ l’articolo 18 del Regolamento Europeo a sancire il diritto alla limitazione del trattamento.
Ma in cosa consiste precisamente?

Il diritto alla limitazione del trattamento è il diritto che ha l’interessato, nei confronti del titolare del trattamento, a chiedere che la sospensione temporanea della gestione dei suoi dati personali.
In pratica questo diritto permette all’interessato di ottenere un blocco del trattamento nei seguenti casi:

  • nel caso in cui egli contesti al titolare l’esattezza dei suoi dati personali
  • nel caso in cui venga violato il principio di liceità
  • quando egli chieda la rettifica dei dati, attesa che questa venga effettuata
  • nel caso in cui egli abbia fatto opposizione al trattamento, in attesa della decisione del titolare

Nel caso in cui l’interessato eserciti questo diritto i dati devono essere contrassegnati come in attesa di valutazione e ne è consentita solo la conservazione degli stessi, a meno che ci sia il consenso dell’interessato al trattamento per fini diversi, o esso sia necessario per l’esercizio o la difesa di un diritto in sede giudiziaria, per la tutela dei diritti di un’altra persona fisica o giuridica o per motivi di interesse.

L’interessato che ha ottenuto la limitazione del trattamento deve essere preventivamente informato dal titolare del trattamento prima che detta limitazione sia revocata.

Diritto di opposizione

Un ulteriore diritto in capo all’interessato è relativo al diritto di opposizione (articolo 21) ossia al diritto di opporsi in qualsiasi momento, e per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano. Qualora venga esercitato questo diritto, il titolare deve astenersi dal trattare i dati dell’interessato, a meno che non dimostri di doverlo fare per “l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

L’interessato può esercitare il suo diritto di opposizione anche nel caso in cui i suoi dati siano trattati per finalità di marketing diretto, anche nel caso in cui ci sia attività di profilazione. Questa precisazione da parte del legislatore europeo è particolarmente innovativa e di grande tutela per l’interessato, il quale deve essere messo al corrente in modo chiaro, esplicito e separatamente rispetto alle altre informazioni: non potrà, ad esempio, ritenersi corretto un generico riferimento nell’informativa ai diritti riconosciuti dal GDPR, ma sarà necessario evidenziare in modo facilmente intellegibile per l’interessato l’esistenza e la portata del diritto di opposizione.



 

Vuoi saperne di più?

Vuoi ricevere maggiori informazioni?
Contattaci subito: siamo a tua completa disposizione!