FTCC | Studio Legale Associato

FTCC

News

immagine articolo Santi settembre 2018

Sono trascorsi quasi quattro mesi dall’entrata in vigore del GDPR e ci sembra utile fare il punto su un argomento – quello dei diritti degli interessati – che a nostro parere è stato un po’ trascurato nei convegni, corsi, seminari e dibattiti che si sono susseguiti negli ultimi tempi, spesso ripetendo gli stessi temi in modo sfiancante.

L’argomento in questione è stato poco considerato anche dagli operatori destinatari delle nuove disposizioni. Per timore di incorrere in multe salate, le imprese, sempre più sotto stress, si sono infatti concentrate sulla necessità o meno di tenere un registro dei trattamenti, di nominare un DPO o di effettuare una DPIA, e hanno inondato le nostre caselle di posta elettronica di messaggi, invitandoci a prendere visione di informative rimodernate, e a rilasciare nuovamente i consensi (anche quando non serviva affatto).

In questo scenario compulsivo, ci sembra utile porre l’attenzione sui diritti degli interessati riconosciuti dal GDPR perché la normativa privacy ha come ratio elettiva, attraverso la protezione dei dati delle persone fisiche, la salvaguardia dei loro diritti. La normativa non è stata pensata o voluta per produrre meri adempimenti formali, ma piuttosto per mettere al centro della compliance gli interessati, e dunque le persone e i loro diritti.

In tale contesto è indispensabile mettere a punto policy aziendali adeguate per garantire l’esercizio dei diritti in questione da parte degli interessati.

Per predisporre buone policy (e va da sé, buone informative), occorre innanzitutto conoscere i diritti di cui stiamo parlando. Essi sono disciplinati dal Capo III del GDPR (artt. 12-23) e sono i seguenti: diritto di informativa, diritto di accesso, diritto di rettifica, diritto di cancellazione (c.d. oblio), diritto di limitazione di trattamento, diritto alla portabilità dei dati, diritto di opposizione, diritto di non essere sottoposto ad un processo decisionale automatizzato (compresa la profilazione).

La nuova normativa privacy amplia la gamma dei diritti spettanti agli interessati rispetto al passato; in particolare:

i)                    riconosce legislativamente un diritto di creazione giurisprudenziale, ossia il diritto all’oblio, prevedendo per i titolari del trattamento l’obbligo di informare gli altri titolari che trattano i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali (cfr. art. 17 GDPR);

ii)                   introduce il diritto alla portabilità dei dati, imponendo ai titolari di trasmettere i dati all’interessato richiedente, o a un altro titolare individuato da quest’ultimo, in un “formato strutturato, di uso comune e leggibile da dispositivo automatico” (cfr. art. 20 GDPR);

iii)                 amplia il diritto di “blocco” del trattamento, rinominandolo diritto di limitazione, esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento, ma anche quando l’interessato rettifica i dati o si oppone al loro trattamento (cfr. art. 18 GDPR).

In questo quadro, è quanto mai opportuno che i titolari del trattamento adottino misure tecniche ed organizzative per riscontrare (in forma scritta, anche elettronica) nel tempo previsto dal GDPR (1 mese, salvo proroghe motivate) le richieste degli interessati (che possono presentarle utilizzando il modulo predisposto dal Garante privacy.

Bisogna quindi disciplinare le modalità di esercizio dei diritti, individuando un indirizzo (preferibilmente una email) per la ricezione delle richieste degli interessati e identificando, all’interno della propria compagine aziendale, i soggetti autorizzati ad esaminare le richieste e ad adottare le misure necessarie per ottemperare ad esse, auspicabilmente sotto la sorveglianza del DPO se è stato nominato.

La predisposizione di policy adeguate e idonee a facilitare l’esercizio dei diritti da parte degli interessati conviene sempre: se gli interessati ritengono che il trattamento dei dati che li riguardano non sia legittimo, o la risposta ad un’istanza per l’esercizio dei diritti previsti dal GDPR sia non tempestiva o soddisfacente, potranno rivolgersi al giudice ordinario, o al Garante privacy, per la tutela delle proprie pretese.

Conviene per evitare le tanto temute sanzioni; conviene per scongiurare richieste (e condanne) risarcitorie ancora più temibili, soprattutto sul fronte del danno all’immagine dell’azienda titolare del trattamento.

Conviene allora ribaltare le priorità nell’adeguamento al GDPR, partendo dai diritti e quindi ancora una volta dalle persone.

Avv. Santina Parrello


categoria:NewsPrivacy e diritti della personalità