I diritti dell'interessato secondo il GDPR

I diritti dell'interessato secondo il GDPR

Soggetto interessato: Chi è?

Forse lo siamo tutti. Anzi, rettifichiamo, eliminiamo il forse, abbattiamolo. Perché al momento ciascuno di noi (eremiti esclusi) ha almeno un trattamento che gli "pende" sulla testa. È una condizione imprescindibile dell’era dei Big Data, un fenomeno a cui è difficile sottrarsi.

I nostri dati sono in costante migrazione. Circolano, viaggiano da database a database, d’azienda in azienda. Una situazione complessa e delicata che rende necessario un atto di consapevolezza.

Individuare e sopratutto comprendere nel contenuto i diritti che Regolamento Europeo e normativa Italiana pongono a tutela dell’interessato che, ricordiamo, la normativa indica come ''la persona fisica a cui i dati personali trattati si riferiscono''.

I diritti dell'interessato: quali sono e quando vanno garantiti

Spesso ne viene dimenticata l'importanza e vengono indicati nelle informative in maniera generica e poco chiara ma il regolamento Europeo sulla protezione dei dati personali si pone in questo contesto con indicazioni ben precise.

Uno dei principali diritti che emerge in capo all'interessato, leggendo il regolamento, è quello di essere informato; tale diritto è di portata generale e riguarda principalmente le comunicazioni da parte del titolare in diverse occasioni, ad esempio:

  • All’interno dell’informativa privacy prima di procedere al trattamento. (art.13)
  • In casi specifici a seguito di una violazione di dati personali. (art.34)
  • Se viene esercitato il diritto di accesso previsto dall’art.15.
  • Nel caso sia presente una decisione automatizzata spiegandone logica e conseguenze. (art.22)

In tutte queste situazioni il titolare del trattamento ha l'obbligo di rendere noto agli interessati le informazioni sul trattamento dei loro dati ma non solo: le informazioni dovranno essere fornite in modo chiaro, sintetico e capibile anche da chi non mastica l’argomento privacy, come dice il regolamento, intelligibile.

Ma oltre a questo diritto, riconosciuto implicitamente da più norme, ce ne sono altri che contribuiscono a costruire la tutela nei confronti dell’interessato in materia di protezione dei dati personali.

Vediamoli ad uno ad uno nel loro prezioso contenuto:

Diritto di accesso, articolo 15

Andrebbe sempre garantito, un interessato può chiedere al titolare se è in corso un trattamento che lo riguarda e nel caso gli verranno fornite tutte le informazioni sul trattamento in corso e una copia di tutti i dati in possesso del titolare.

Proprio tutti? Si, ad eccezione dei dati che ledono diritti e libertà altrui (cons. 63)

Facciamo l'esempio di un candidato che esercita il diritto di accesso verso l’agenzia di selezione. Oltre alle informazioni sul trattamento gli dovranno essere consegnati anche tutti i dati in possesso dall’agenzia. Ma che succede se gli viene consegnato il suo cv commentato dal selezionatore? In questa situazione rientriamo nell'ipotesi in cui la consegna dei commenti del selezionatore è in contrasto con il suo diritto ad esprimere un’opinione. Ecco che in questo caso troviamo un limite al diritto di accesso. Per rispettarlo saranno consegnati al candidato tutti i dati in possesso ad eccezione dei commenti del selezionatore.

Diritto di rettifica, articolo 16

Consiste nel dare la possibilità all’interessato di modificare i propri dati nel caso siano inesatti, è fondamentale quindi prevedere metodi che facilitino l’esercizio di questo diritto ed è compito del titolare informare l’interessato dell’avvenuta integrazione facendo in modo che tali modifiche non valgano solo per quelli in suo possesso, ma anche per quei dati che nel frattempo sono stati comunicati a terzi.

Diritto di cancellazione, articolo 17

Possibilità da parte dell’interessato di cancellare i propri dati in possesso del titolare quando, ad esempio, viene revocato il consenso al trattamento oppure raggiunta la finalità perseguita o quando risulta illecito.

Ovviamente, non sempre sarà possibile adempiere alla richiesta di cancellazione. Questo accade ad esempio quando i dati servono per adempiere ad un obbligo legale o sono necessari per la difesa di un diritto in sede giudiziaria.

Diritto Opposizione, articolo 21

La possibilità di opporsi al trattamento, va garantito quando la base giuridica è il legittimo interesse o l’esecuzione di un compito di interesse pubblico.

Anche questo diritto ha i suo limiti in quanto ci potranno essere casi in cui prevale l’interesse legittimo del titolare rispetto a quello dell’interessato, fondamentale sarà effettuare il giusto bilanciamento indicandolo nell'informativa, oppure il trattamento è necessario per un compito di interesse pubblico o l’accertamento, la difesa o l’esercizio di un diritto di fronte ad un giudice. (cons. 69)

Diritto alla portabilità, articolo 20

Si tratta di una novità del GDPR. Prevede che nel caso un trattamento sia basato sul contratto o sul consenso, in caso di richiesta, vengano forniti all’interessato i suoi dati personali in un formato strutturato e leggibile da un dispositivo automatico (json, xml, csv), questo diritto si applica solamente ai dati forniti spontaneamente e non a quelli inferiti o derivati.

Dove tecnicamente fattibile, l'interessato dovrebbe avere inoltre il diritto di ottenere che i dati personali siano trasmessi direttamente da un titolare del trattamento a un altro. (cons. 68) Pensiamo al caso della portabilità del numero di telefono cellulare fra gli operatori telefonici.

Diritto di revoca, articolo 7

Riguarda i trattamenti basati sul consenso, una base giuridica da utilizzare solamente quando non possono essere utilizzate le altre.

L’interessato dovrà poter conoscere come revocarlo e, nel caso, andranno cancellati i dati legati al trattamento oggetto di revoca.

La revoca del consenso dovrà poter essere effettuata con la stessa facilità con cui è stato prestato ed è onere del titolare agevolare l'esercizio della revoca.

Cosa fare per rispettare i diritti dell'interessato

Un breve riepilogo sui comportamenti che deve tenere un titolare di un trattamento per gestire tali diritti e i conseguenti adempimenti:

  • Prima di procedere al trattamento effettuare un’attenta valutazione sui diritti ad esso collegati, quali devono essere garantiti e le relative procedure connesse.
  • Informare gli interessati in modo chiaro tramite l’informativa indicando chiaramente come è possibile esercitarli, non dovranno esserci rimandi ad articoli ma descritta la modalità con cui gli interessati possono farli valere.
  • Agevolare le richieste migliorando le procedure legate all’identificazione dell’interessato anche in presenza di un responsabile del trattamento o facendosi supportare dal dpo se presente.
  • Comunicare l’avvenuto esercizio rispettando la tempistica prevista di 30 giorni con la possibilità di prorogare per altri due mesi motivandone il ritardo.
  • Evadere le richieste solo nei casi in cui è possibile valutando i dati in suo possesso.
  • Attribuire spese solamente in caso di richieste ripetute o infondate e nel caso comportino un eccessivo costo da parte sua.

L'argomento dei diritti dell'interessato, come qualsiasi altra tematica legata al GDPR, non può essere esaurita in un semplice post. Quindi se senti la necessità di confrontarti o di approfondire aspetti specifici, non esitare a contattarci.

data-breach
 SCOPRI TUTTE LE NEWS SUL GDPR

Rimani aggiornato sul mondo GDPR e ricevi l'infografica sull'accountability documentale

Crea il tuo account personale in meno di un minuto e scopri tutte le potenzialità di UTOPIA. Tutto incluso e senza alcuna limitazione, gratuitamente, per 14 giorni.

infographic
Iscrizione effettuata con successo!
Abbiamo inviato una email all'indirizzo che hai scelto con il link per scaricare l'infografica sull'accountability documentale. Assicurati che non sia andata a finire nello SPAM.
Si è verificato un errore imprevisto durante l'iscrizione. Riprova...
ue-logoorlandi-logo