Guida agli aspetti principali del Grdp: ambito di applicazione; legittimità del consenso; diritto di accesso, alla rettifica e all’oblio; diritto alla portabilità dei dati.
Secondo molti, il 25 maggio 2018 è una di quelle date che ha segnato una svolta all’interno della società moderna, un po’ come la scoperta delle Americhe e la presa della Bastiglia. Il 25 maggio 2018, infatti, è entrato definitivamente in vigore il nuovo regolamento europeo in materia di protezione dei dati personali. In buona sostanza, si tratta della nuova normativa sulla privacy. Il Gdpr(acronimo che sta per General data protection regulation e che indica, appunto, il nuovo regolamento europeo sulla privacy) è destinato a cambiare le regole della riservatezza e del trattamento dei dati personali, superando anche il testo legislativo italiano che, fino ad ora, ha rappresentato il codice della privacy italiano. Ma si tratta davvero di una rivoluzione epocale? Per scoprirlo non possiamo fare altro che approfondire la nuova normativa sulla privacy e analizzarne gli aspetti più importanti: in particolare, ci soffermeremo sulle disposizioni principali della nuova regolamentazione, lasciando ai posteri l’ardua sentenza circa la loro effettiva incidenza. Per questo, se ritieni che questo argomento ti interessi, prosegui nella lettura: vedremo quali sono i principi fondamentali del Gdpr.
Indice
- 1 Gdpr: qual è l’ambito di applicazione?
- 2 Gdpr: a chi si rivolge?
- 3 Gdpr: a chi non si applica?
- 4 Regolamento europeo privacy: quali sono i principi?
- 5 Nuovo regolamento europeo sulla privacy: cosa sono i dati personali?
- 6 Gdpr: cos’è il trattamento dei dati personali?
- 7 Chi sono il titolare e il responsabile del trattamento?
- 8 Regolamento europeo privacy: cos’è il consenso al trattamento?
- 9 Regolamento europeo privacy: quando il consenso è legittimo?
- 10 Regolamento gdpr: dati sensibili
- 11 Gdpr: quali sono gli obblighi del titolare del trattamento?
- 12 Regolamento gdpr: qual è l’informativa da dare all’interessato?
- 12.1 Dati personali raccolti presso l’interessato
- 12.2 Dati personali non raccolti presso l’interessato
- 13 Diritto d’accesso: cos’è?
- 14 Diritto di rettifica e diritto di cancellazione: cosa sono?
- 15 Diritto di cancellazione o diritto all’oblio: cos’è?
- 16 Diritto di limitazione: cos’è?
- 17 Diritto alla portabilità dei dati: cosa significa?
Gdpr: qual è l’ambito di applicazione?
Cominciamo innanzitutto col dire che il nuovo regolamento europeo sulla privacy [1] introduce una disciplina unica della tutela della riservatezza degli individui su tutto il territorio europeo. Ed infatti, trattandosi di un regolamento, esso è direttamente applicabile in tutti i Paesi membri dell’Unione Europea senza necessità di un provvedimento di recepimento. Ciò garantirà un’applicazione uniforme delle medesime regole in tutta l’Unione, così da evitare ingiuste disparità.
Allo stesso tempo, il nuovo regolamento europeo sulla privacy si applicherà non soltanto ai cittadini e alle istituzioni europee, ma anche a quanti (privati, società, imprese, istituzioni estere) operino sul territorio europeo. Tutto il continente, praticamente, sarà coperto da questo grande ombrellone rappresentato dal Gdpr, con obbligo di adeguare le normative nazionali (da noi, il codice della privacy del 2003 [2]).
Gdpr: a chi si rivolge?
Detto del raggio di azione del nuovo regolamento europeo Gdpr, vediamo qual è l’oggetto della sua tutela. Il Gdpr è diretto alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla tutela della libera circolazione di tali dati [3]. Cosa significa? Che il Gdpr protegge i dati personali solo delle persone fisiche, cioè degli individui, non delle imprese, delle società e di qualsiasi altra persona giuridica. È chiaro, quindi, l’intento del legislatore europeo di tutelare i più deboli, cioè i consumatori e tutti coloro che agiscono in veste non professionale.
Gdpr: a chi non si applica?
Detto del suo raggio di azione, vediamo ora, in negativo, cosa non copre il Gdpr, cioè a cosa e a chi non si applica. Il regolamento europeo sulla privacy non si applica ai trattamenti di dati personali:
- effettuati per attività che non rientrano nell’ambito di applicazione del diritto dell’Unione;
- effettuati dagli Stati membri nell’esercizio di attività che rientrano nell’ambito di applicazione della politica estera e la sicurezza comune;
- effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico;
- effettuati dalle autorità competenti a fini di prevenzione, indagine, accertamento o perseguimento di reati o esecuzione di sanzioni penali, incluse la salvaguardia contro minacce alla sicurezza pubblica e la prevenzione delle stesse [4]
Regolamento europeo privacy: quali sono i principi?
Secondo il nuovo regolamento europeo sulla privacy, i dati personali devono essere protetti e tutelati sulla base dei seguenti principi:
- liceità, nel senso che i dati devono essere trattati in modo lecito, corretto e trasparente;
- limitazione della finalità: i dati devono essere raccolti per finalità legittime ed individuate fin dall’inizio, e successivamente trattati in modo che non sia incompatibile con tali finalità. Unica eccezione a questo principio è l’ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
- minimizzazione dei dati: i dati trattati devono essere solamente quelli indispensabili, quindi pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati;
- esattezza, nel senso che devono essere corretti e, se necessario, aggiornati, con conseguente obbligo di cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati;
- limitazione della conservazione: i dati devono essere conservati in una forma che consenta l’identificazione degli interessati per il tempo strettamente necessario al conseguimento delle finalità per le quali sono trattati. È ammessa una conservazione più lunga a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
- integrità e riservatezza: i dati sono trattati in maniera da garantire un’adeguata sicurezza, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali.
Nuovo regolamento europeo sulla privacy: cosa sono i dati personali?
Finora abbiamo detto che il nuovo regolamento europeo Gdpr si applica a tutti gli Stati membri dell’Unione Europea, nonché a tutti coloro che operano nell’ambito di essi anche se non vi hanno la sede legale. Questo vuol dire che anche facebook, pur avendo sede negli Stati Uniti, dovrà adeguarsi alle nuove regole sulla privacy quando avrà a che fare con utenti europei.
Il Gdpr tutela i dati personali delle persone fisiche, il loro trattamento e la loro circolazione. Ma cos’è un dato personale? È importante saperlo, visto che si tratta dell’oggetto principale della tutela offerta dal nuovo regolamento sulla privacy. Secondo il testo di legge, per dato personale deve intendersi «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» [5].Dato personale, quindi, è qualsiasi elemento idoneo a identificare una persona fisica: si pensi ad una foto, al codice fiscale, all’indirizzo di residenza, all’indirizzo email, ecc. Il soggetto cui si riferiscono i dati è definito “interessato”.
Gdpr: cos’è il trattamento dei dati personali?
Il Gdpr, più che tutelare i dati personali in sé per sé, disciplina il trattamento dei dati personali. Per trattamento deve intendersi ogni operazione, compiuta con o senza metodi automatizzati, che riguarda i dati personali.
In buona sostanza, qualsiasi intervento su un dato personale (dalla raccolta alla registrazione, dalla conservazione alla modifica, passando per l’estrazione, la consultazione, l’uso, la diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione) è idoneo a rientrare nella nozione di trattamento. Volutamente il Gdpr fornisce una definizione omnicomprensiva di trattamento, non limitandosi alle operazioni automatizzate (cioè, quelle fatte a mezzo software) ma includendo anche quelle di tipo manuale.
Chi sono il titolare e il responsabile del trattamento?
Strettamente connesso al concetto di trattamento dei dati personali sono il titolare e il responsabile del trattamento che, a ben vedere, sono poi i reali soggetti cui il regolamento europeo sulla privacy si rivolge.
Secondo la nuova normativa, il titolare del trattamento è la persona fisica o giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che determina le finalità e i mezzi del trattamento di dati personali. In altre parole, il titolare del trattamento è colui che gestisce i dati personali dell’interessato; egli può scegliere con quale metodologia (automatizzata o no, collettiva o singola) effettuare operazioni sui dati, a meno che la legge non gli imponga i mezzi.
Il titolare, in parole ancora più semplici, è colui a cui l’interessato dà la disponibilità dei propri dati. Ad esempio, se decidi di farti fare un ritratto da un fotografo professionista, acconsenti a che il fotografo tratti i tuoi dati personali, dati personali che sono, in questo caso, le immagini, cioè il ritratto stesso (nello specifico, una fotografia è un dato biometrico, cioè un particolare dato personale che consente l’identificazione dell’interessato mediante la sua immagine o, comunque, le sue caratteristiche fisiche).
Il responsabile del trattamento, invece, è colui che gestisce i dati personali dell’interessato per conto del titolare. Nel caso di una grande mole di dati personali da gestire, infatti, è possibile che il titolare del trattamento incarichi altre persone (appunto, i responsabili) alla gestione degli stessi.
Sia il titolare che il responsabile del trattamento possono essere sia persone fisiche (un professionista come un avvocato, ad esempio) che persone giuridiche (società, imprese, enti pubblici), a differenza dell’interessato, che può essere solamente una persona fisica.
Abbiamo, quindi, questa scala:
- interessato: persona fisica alla quale i dati personali si riferiscono;
- titolare del trattamento: persona fisica o giuridica che gestisce e compie operazioni sui dati dell’interessato;
- responsabile del trattamento: persona fisica o giuridica che si occupa dei dati personali per conto del titolare.
Regolamento europeo privacy: cos’è il consenso al trattamento?
Il rapporto tra titolare del trattamento e interessato si instaura validamente nel momento in cui l’interessato (cioè, ribadiamolo, colui al quale i dati si riferiscono) presta il proprio consenso. Secondo il nuovo regolamento europeo sulla privacy, il consenso al trattamento deve essere una manifestazione di volontà libera, specifica, informata e inequivocabile, con la quale l’interessato esprime il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
Se il consenso al trattamento dei dati è prestato nell’ambito di una dichiarazione scritta che riguarda anche altre questioni, esso deve essere chiaramente distinguibile dalle altre materie, in forma comprensibile e utilizzando un linguaggio semplice e chiaro. Si prenda il caso del mandato difensivo conferito all’avvocato: in questa circostanza, se all’interno del mandato v’è anche l’adesione al trattamento dei dati, questa parte deve risultare distinguibile da tutto il resto del documento. L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento; la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca.
Per quanto riguarda il trattamento dei dati personali di persona minorenne, è lecito ove il minore abbia almeno sedici anni; in caso contrario, il trattamento è lecito soltanto se prestato o autorizzato dal titolare della responsabilità genitoriale.
Regolamento europeo privacy: quando il consenso è legittimo?
Il Gdpr ha cura di specificare quando il consenso al trattamento prestato dall’interessato sia legittimo, cioè quando consente al titolare di svolgere i suoi compiti. Il trattamento è lecito solo se e nella misura in cui ricorre almeno una delle seguenti condizioni:
- l’interessato ha espresso il consenso al trattamento dei propri dati personali per una o più specifiche finalità;
- il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso;
- il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento;
- il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
- il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore [6].
Regolamento gdpr: dati sensibili
Il nuovo regolamento europeo sulla privacy impone un generale divieto di trattamento di quella particolare categoria di dati personali (quelli comunemente definiti dati sensibili) che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona [7].
Fermo restando la possibilità per gli Stati membri di mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute, il divieto al trattamento dei dati sensibili soffre numerose eccezioni, tra cui:
- quando l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche;
- il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell’interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale;
- il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso;
- il trattamento è effettuato, nell’ambito delle sue legittime attività e con adeguate garanzie, da una persona giuridica (fondazione, associazione o altro organismo senza scopo di lucro che persegua finalità politiche, filosofiche, religiose o sindacali), a condizione che il trattamento riguardi unicamente i membri, gli ex membri o le persone che hanno regolari contatti con la fondazione, l’associazione o l’organismo a motivo delle sue finalità e che i dati personali non siano comunicati all’esterno senza il consenso dell’interessato;
- il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;
- il trattamento è necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni;
- il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita;
- il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, ovvero è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero;
- il trattamento è necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, sempre se proporzionato alla finalità perseguita.È evidente che ci troviamo davanti a una delle (numerose) contraddizioni del gdpr, atteso che, da un lato, impone come principio generale il divieto del trattamento dei dati personali sensibili mentre, dall’altro, offre un elenco di eccezioni talmente cospicuo da mettere in discussione il principio stesso.Per quanto riguarda i dati personali relativi alle condanne penali, il regolamento europeo dice che il loro trattamento può avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica.
Gdpr: quali sono gli obblighi del titolare del trattamento?
Il regolamento europeo sulla privacy pone al centro della sua tutela la protezione dei dati personali dell’interessato: per fare ciò, la nuova normativa ha dovuto imporre specifici obblighi in capo al titolare del trattamento. Innanzitutto, questi è tenuto ad informare l’interessato in forma concisa, trasparente e comprensibile. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.
Nel caso in cui l’interessato intenda esercitare il suo diritto di accesso [8], cioè il diritto di ottenere dal titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, quindi, di ottenere l’accesso ai propri dati personali, il titolare del trattamento è tenuto a fornire all’interessato tutte le informazioni richieste senza ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste.
Se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.
Se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta, oppure perfino rifiutare di soddisfare la richiesta. Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta [9].
In caso di richiesta di accesso, il titolare del trattamento fornisce una copia dei dati personalioggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.
Regolamento gdpr: qual è l’informativa da dare all’interessato?
Il nuovo regolamento europeo sulla privacy distingue a seconda che la raccolta dei dati personali sia avvenuta o meno presso l’interessato. Ciò che cambia sono le informazioni che il titolare del trattamento deve fornire. Analizziamo entrambe le ipotesi.
Dati personali raccolti presso l’interessato
Secondo il regolamento gdpr, in caso di raccolta presso l’interessato dei dati che lo riguardano, il titolare del trattamento è tenuto a fornirgli, nel momento in cui i dati personali sono ottenuti, e sempre che l’interessato non ne disponga già, le seguenti informazioni:
- l’identità e i dati di contatto del titolare del trattamento;
- i dati di contatto del responsabile della protezione dei dati;
- le finalità del trattamento cui sono destinati i dati personali;
- i legittimi interessi perseguiti dal titolare del trattamento o da terzi;
- gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
- il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
- il diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
- il diritto di proporre reclamo a un’autorità di controllo;
- se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;Qualora il titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all’interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente. Per un approfondimento sull’informativa che gli avvocati sono tenuti a dare ai propri clienti, si rinvia alla lettura di questo articolo.
Dati personali non raccolti presso l’interessato
Nel caso in cui i dati personali non siano ottenuti direttamente presso l’interessato, il titolare del trattamento fornisce al predetto le stesse informazioni sopra viste; la differenza sta soltanto nel lasso di tempo concesso al titolare per comunicare queste notizie.
Secondo il regolamento europeo sulla privacy, infatti, il titolare del trattamento fornisce le informazioni:
- entro un termine ragionevole dall’ottenimento dei dati personali, ma al più tardi entro un mese, in considerazione delle specifiche circostanze in cui i dati personali sono trattati;
- nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, non più tardi della prima comunicazione all’interessato;
- nel caso sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali.
- l’esistenza di un processo decisionale automatizzato [10].Come nel caso dei dati raccolti presso l’interessato, le disposizioni sugli obblighi informativi in capo al titolare non si applicano se l’interessato dispone già delle informazioni e, in aggiunta:
- se comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato, oppure rischierebbe di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità di tale trattamento;
- se i dati personali debbano rimanere riservati conformemente a un obbligo di segreto professionale disciplinato dal diritto dell’Unione o degli Stati membri, compreso un obbligo di segretezza previsto per legge [11].
Diritto d’accesso: cos’è?
Come anticipato, a fronte dell’obbligo per il titolare di comunicare tutte le informazioni utili inerenti al trattamento, corrisponde il diritto dell’interessato non soltanto a riceverle, ma anche ad ottenere l’accesso ai predetti dati. Il diritto di accesso, in particolare, consente all’interessato di ottenere importanti informazioni, quali:
- le finalità del trattamento;
- le categorie di dati personali in questione;
- i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
- quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
- il diritto di proporre reclamo a un’autorità di controllo;
- qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
-
Diritto di rettifica e diritto di cancellazione: cosa sono?
Il nuovo regolamento europeo gdpr tutela la persona fisica i cui dati personali sono oggetto di trattamento non soltanto garantendogli precisi diritti di informazione, ma anche vere e proprie azioni che può intraprendere a tutela della propria privacy. Tra questi, oltre al diritto di accesso, ci sono quelli alla rettifica, alla cancellazione e alla limitazione.
Prima di analizzarli, va premesso che il titolare del trattamento è tenuto a comunicare a tutti i destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche, cancellazioni e limitazioni del trattamento, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Cosa significa? Vuol dire che, a fronte di una richiesta di cancellazione dei propri dati personali (stesso discorso vale per la rettifica e la limitazione), il titolare non solo deve provvedere ad eliminare quelli che conserva presso di sé, ma anche a comunicare tale determinazione a tutti coloro che hanno ricevuto suddetti dati, affinché facciano lo stesso.
Quindi, ad esempio, se si presta il consenso alla trasmissione dei propri dati personali a terzi soggetti diversi dal titolare del trattamento, davanti ad una richiesta di cancellazione il titolare dovrà, a cascata, informare anche tutti coloro a cui tali dati sono giunti. Operazione per nulla facile.
Diritto di rettifica: cos’è?
L’interessato ha il diritto di ottenere senza ritardo dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano. L’interessato ha inoltre il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa [12].
Diritto di cancellazione o diritto all’oblio: cos’è?
L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano e il titolare del trattamento ha l’obbligo di cancellare senza ritardo i dati personali, in presenza di uno dei seguenti motivi:
- i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- l’interessato revoca il consenso su cui si basa il trattamento;
- l’interessato si oppone al trattamento (vedi paragrafi successivi);
- i dati personali sono stati trattati illecitamente;
- i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento.l’esistenza di un processo decisionale automatizzato.
Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato a cancellarli a seguito di esplicita richiesta dell’interessato, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei predetti dati.
Ci sono dei casi, però, in cui il diritto alla cancellazione non può essere esercitato; ciò avviene quando il trattamento sia necessario:
- per l’esercizio del diritto alla libertà di espressione e di informazione;
- per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
- per motivi di interesse pubblico nel settore della sanità pubblica;
- a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
- per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria [13].
Diritto di limitazione: cos’è?
L’interessato ha il diritto di ottenere dal titolare la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
- l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
- il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
- benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
- l’interessato si è opposto al trattamento, in attesa della verifica [14].
Diritto alla portabilità dei dati: cosa significa?
Tra le tante garanzie che il gdpr prevede per salvaguardare la privacy dei cittadini v’è anche il diritto alla portabilità dei dati. Cosa significa? Secondo il nuovo regolamento europeo, 1’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile su dispositivo automatico, i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti.
Nell’esercitare i propri diritti relativamente alla portabilità dei dati, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile. L’esercizio del diritto alla portabilità lascia impregiudicato quello alla cancellazione degli stessi [15].