Nuova Privacy 2018

31 marzo 2018

GDPR: il diritto all’oblio, alla rettifica e le limitazioni del trattamento

privacy policy dati personali sicurezza
Il nuovo Regolamento UE 2016/679 che produrrà i propri effetti a partire dal 25 maggio, modifica la disciplina riguardante i diritti dell’interessato in materia di privacy e di utilizzo dei dati personali ponendo tali diritti al centro di ogni processo della nuova riforma, dal diritto all’accesso, alla cancellazione, alla rettifica e all’eventuale limitazione dell’utilizzo stesso dei dati che lo riguardano.

La violazione delle norme previste dal regolamento, infatti, anche e soprattutto in materia di diritto all’oblio, o alla cancellazione, comporta sanzioni amministrative fino a 100 milioni di euro o fino al 4% del fatturato mondiale annuo, che verranno inflitte al titolare del trattamento, il quale dovrà, in fase giudiziaria, dimostrare di aver adottato tutte le misure necessarie.

Entro la data suddetta dunque, tutti gli attori coinvolti, liberi professionisti, aziende, pubbliche amministrazioni, dovranno allinearsi ed adeguarsi alla nuova normativa.

Una importante riforma in riguardo alla tutela dei propri diritti in materia di privacy: ogni individuo potrà pretendere, infatti, che i propri dati personali siano trattati da terzi solo nel rispetto delle regole e dei principi stabiliti dalla legge e potrà esercitare inoltre i propri diritti in riguardo all’accesso, alla cancellazione e alla eventuale rettifica.

Il diritto alla cancellazione dei dati personali è tra le principali novità contenute nel nuovo Regolamento Europeo per la Protezione dei Dati Personali.

Il diritto all’oblio – Il diritto alla cancellazione dati lo si ritrova nell’articolo 17 della riforma europea in materia di tutela dei dati personali, sulla base del quale l'interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo in casi specificamente individuati.

Il titolare del trattamento nei casi indicati è obbligato a procedere alla cancellazione dei dati e ad informare altri titolari del trattamento di procedere alla cancellazione degli stessi dati.

L’interessato ha il diritto di ottenere la cancellazione se sussiste uno dei seguenti motivi:
  • i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
  • l’interessato revoca il consenso su cui si basa il trattamento e se non sussiste altro fondamento giuridico per il trattamento;
  • l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento;
  • i dati personali sono stati trattati illecitamente;
  • i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
  • i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.

Quando non si applica il diritto all’oblio - L'articolo 17 precisa, comunque, che il diritto all'oblio non è assoluto, ma offre delle specifiche limitazioni: in particolare, le restrizioni sopra descritte non si applicano qualora il trattamento sia necessario per l’esercizio della libertà di espressione e di informazione, per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse, ed anche interessi storici, statistici e di ricerca scientifica nonché per l’esercizio o la difesa di un diritto in sede giudiziaria.

In tali casistiche i titolari del trattamento possono consentire al mantenimento dei dati personali nonostante l'opposizione dell'interessato.

Diritto di limitazione del trattamento – Altro importante diritto che può esercitare l’interessato è contenuto nell’articolo 18 del nuovo Regolamento ovvero il diritto di limitazione del trattamento quando ricorre una delle seguenti ipotesi:
  • l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza degli stessi;
  • il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
  • benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  • l’interessato si è opposto a un trattamento (necessario per l’esecuzione di un compito di interesse pubblico o basato sul legittimo interesse del titolare, compresa la profilazione), in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

La limitazione del trattamento potrebbe concretamente essere attuata, ad esempio, attraverso il trasferimento temporaneo dei dati verso un altro sistema di trattamento, nel rendere i dati selezionati inaccessibili o nel rimuoverli temporaneamente. Le misure da adottare sono descritte nell’art. 67, nel quale viene inoltre evidenziato che, negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe, in linea di massima, essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato.

Diritto di rettifica – L’interessato ha inoltre il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali, secondo l’articolo 16 del Regolamento, e senza ingiustificato ritardo, tenuto conto delle finalità del trattamento, l’interessato ha inoltre il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

Obbligo di notifica all’interessato – Inoltre, quando l’interessato ha ottenuto la limitazione del trattamento, nel caso in cui la limitazione venga revocata, egli deve essere informato dal titolare del trattamento prima che la revoca abbia effetto.

Infine, nel caso in cui i dati personali oggetto di limitazione siano stati comunicati ad altri soggetti, è onere del titolare del trattamento (esattamente come avviene nel caso di diritto all’oblio o alla rettifica) darne comunicazione a ciascuno dei destinatari, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. In ogni caso, il titolare del trattamento è tenuto a comunicare tali destinatari all’interessato che ne faccia richiesta.

Si consiglia, per tutti i casi sopra esposti e per tenere traccia di tutte le modifiche e le eventuali richieste degli interessati, nonché di tutte le misure adottate a tal riguardo, di redigere e aggiornare costantemente il Registro delle attività dei trattamenti, uno degli adempimenti più importanti contenuti nel nuovo Regolamento (art. 30) che, anche se l’obbligatorietà è prevista solo nel caso in cui l’organizzazione abbia un numero di dipendenti superiore o pari a 250, potrebbe ad ogni modo, come il Garante stesso raccomanda, ritornare utile anche per un eventuale verifica da parte dell’autorità di controllo e per una verifica interna riguardo la conformità, i flussi di utilizzo dei dati e la pianificazione delle misure da adottare.
Autore: Redazione Fiscal Focus
 © Informati S.r.l. – Riproduzione Riservata
Categorie: Privacy > Disposizioni generali

Per inserire i vostri commenti dovete registrarvi.