GDPR (S01 E04): I diritti degli interessati
L'esercizio dei diritti dell'interessato è un momento centrale nell'economia del GDPR e uno strumento essenziale di protezione.
La centralità dei diritti dell'individuo
Spesso si dedica poca attenzione, quando si analizza il GDPR, alla figura dell'interessato.
Penso che, per alcuni versi, sia normale: gran parte del testo è correlato ad adempimenti e obblighi che riguardano il Titolare o il Responsabile, però non bisogna mai dimenticare che il Regolamento europeo è stato costruito attorno all'individuo e, quindi, all'interessato.
Questo è il motivo per cui il tema dell'esercizio dei diritti da parte dell'interessato va sempre tenuto in mente anche quando si procede a una verifica degli adempimenti muovendo dalla posizione, e dall'ottica, del Titolare.
Un interessato "scontento", che non veda i suoi diritti rispettati, è molto propenso, di solito, a rivolgersi al Garante (o alla stampa) per manifestare il suo disappunto, e ciò può portare a ispezioni e controlli inattesi.
In un'ottica di analisi del rischio, il soddisfare al più presto, e nel miglior modo possibile, le richieste degli interessati è un'ottima strategia per non "destare attenzione" nei confronti della realtà che tratta i dati.
Il tema dei diritti degli interessati è centrale ma è, sovente, sottovalutato e poco analizzato nonostante la sua importanza pratica.
Il GDPR, per quanto concerne il tema dei diritti degli interessati al trattamento, presenta diversi elementi di continuità rispetto alla normativa precedente (D.Lgs. 196/2003 e Direttiva 95/46/CE), anche se sono state apportate alcune modifiche soprattutto in un'ottica di modernità.
A ben vedere, però, il Legislatore europeo ha introdotto, nella lunga elencazione (che va dall’art. 15 all'art. 22 del GDPR), nuove prerogative riconosciute agli interessati dal trattamento, tenendo in considerazione l’attuale sviluppo delle nuove tecnologie che, potenzialmente, può determinare nuovi pericoli e rischi per i diritti e le libertà degli individui.
L'elenco dei diritti è molto simile a quello della normativa precedente con alcune integrazioni importanti più "adatte" alla società tecnologica.
Per "diritti degli interessati" si intendono quei diritti, appunto, che un soggetto può esercitare con riferimento ai propri dati.
In altre parole, il titolare che tratta il dato non ne diventa, in un certo senso, “proprietario”, ma dovrebbe sempre essere consapevole che l’interessato – ossia la persona fisica cui i dati si riferiscono – può, in ogni momento, esercitare una sorta di “potere di controllo” su qui dati, e tali poteri di controllo sono ben indicati nel testo di legge.
Ai sensi dell’Articolo 15 del GDPR, ad esempio, l’interessato ha il diritto di ottenere innanzitutto dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, ossia di conoscere se un determinato soggetto sia in possesso o meno di sue informazioni.
In tal caso, se il trattamento è in corso, la persona ha diritto di accedere ai dati e alle informazioni riguardanti le finalità del trattamento, le categorie di dati personali in questione, i destinatari o le categorie di destinatari a cui i dati personali sono, o saranno, comunicati, in particolare se destinatari di Paesi terzi o organizzazioni internazionali (compreso il diritto di essere informato circa l’esistenza di garanzie adeguate relative al trasferimento).
Questo primo diritto, che di solito viene definito (ovviamente) "di accesso", è propedeutico all'esercizio di altri diritti. Da un punto di vista teorico, quindi, ogni individuo potrebbe domandare a tutti coloro che, nella società moderna, trattano dati, informazioni circa la presenza o meno di informazioni che lo riguardano presso i loro archivi o le loro banche dati.
Il primo diritto dell'interessato è quello di sapere se un soggetto tratti o meno i suoi dati e di accedere, se del caso, a quelle informazioni.
Quando possibile, l’interessato ha anche il diritto di conoscere il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare questo periodo, di chiedere la rettifica, la cancellazione o la limitazione del trattamento dei dati personali che lo riguardano e di proporre reclamo a un’Autorità di controllo.
Sono, questi, tre diritti ben distinti ma altrettanto interessanti. Il conoscere il "periodo di vita" dei dati che ci riguardano serve a far sì che i dati non rimangano conservati in eterno. La possibilità di domandare rettifica o cancellazione è indispensabile per mantenere il controllo sui proprio dati affinchè riflettano esattamente la personalità dell'individuo. La possibilità di inoltrare un reclamo al Garante, infine, consente all'interessato di avere sempre una "spalla" di tutela nell'autorità di controllo soprattutto nel caso in cui l'esercizio dei diritti nei confronti del Titolare non sia preso in considerazione o non si risolva nelle modalità aspettate.
La conoscenza del periodo di conservazione, le possibilità di rettifica e cancellazione e la "minaccia" di rivolgersi al Garante in caso di insoddisfazione sono altri tre pilastri dell'esercizio dei diritti.
Qualora i dati non siano raccolti presso l’interessato, il soggetto ha diritto di ricevere tutte le informazioni disponibili sulla loro origine e sull’esistenza di un processo decisionale automatizzato, compresa l’eventuale attività di profilazione nei confronti dell’interessato al trattamento.
In base a tali disposizioni, quindi, un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che lo riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità.
Ove possibile, il titolare del trattamento dovrebbe fornire l’accesso remoto a un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati personali (ad esempio un pannello o un’area riservata su un sito web che faciliti una simile operazione da remoto). Tale diritto non dovrebbe ledere i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale, anche se tali considerazioni non dovrebbero condurre a un diniego a fornire all’interessato tutte le informazioni.
Nel caso in cui un titolare del trattamento tratti una notevole quantità di informazioni riguardanti l’interessato, dovrebbe poter richiedere che quest’ultimo precisi l’informazione o le attività a cui la sua richiesta si riferisce.
Egli, inoltre, dovrebbe adottare tutte le misure ragionevoli per verificare l’identità dell’interessato che domanda l’accesso, in particolare nel contesto di servizi e identificativi online.
L’Articolo 16 del GDPR stabilisce come l’interessato abbia il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano, senza ingiustificato ritardo, nonché l’integrazione dei dati personali incompleti.
L’Articolo 17, poi, prevede il c.d. “diritto all'oblio” nel caso in cui la conservazione dei dati violi lo stesso GDPR o il diritto dell’Unione o degli Stati membri cui è soggetto il titolare del trattamento.
In particolare, l’interessato dovrebbe avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali erano stati raccolti o altrimenti trattati, quando abbia ritirato il proprio consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento.
Il diritto all'oblio, o alla cancellazione, sta diventando un elemento centrale nella moderna società dell'informazione, soprattutto con riferimento ai dati trattati dalle piattaforme e dai motori di ricerca.
Tale diritto è particolarmente importante se l’interessato ha prestato il proprio consenso quando era minorenne, quindi non pienamente consapevole dei rischi derivanti dal trattamento, e decida, successivamente, di eliminare questo tipo di dati personali (in particolare da Internet). L’interessato dovrebbe poter esercitare tale diritto indipendentemente dal fatto che non sia più un minore.
Tuttavia, dovrebbe essere lecita l’ulteriore conservazione dei dati personali qualora sia necessaria per esercitare il diritto alla libertà di espressione e di informazione, per adempiere un obbligo legale, per eseguire un compito di interesse pubblico, per motivi inerenti al settore della sanità pubblica, per fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, ovvero per accertare, esercitare o difendere un diritto in sede giudiziaria.
Per rafforzare il diritto all’oblio nell’ambiente online, è opportuno che il diritto di cancellazione sia esteso in modo tale da obbligare il titolare del trattamento che ha pubblicato dati personali a informare i titolari del trattamento che trattano tali dati di cancellare qualsiasi link, copia o riproduzione degli stessi. Nel fare ciò, è opportuno che il titolare del trattamento adotti misure ragionevoli tenendo conto della tecnologia e dei mezzi a disponibili.
Questo obbligo di informare tutti i "contatti" della cancellazione è molto interessante da un punto di vista tecnico/organizzativo, perchè non è detto che sia semplice da attuare e può, in pratica, creare non pochi problemi.
Un’altra novità che merita un approfondimento specifico è il diritto di limitazione introdotto dall’Articolo 18 del GDPR.
Il diritto alla limitazione è una sorta di sospensione temporanea (ma che può, in determinate condizioni, diventare anche permanente) del trattamento in corso – con l’unica eccezione consentita alla sola conservazione – che deve essere adottata dal Titolare previa valutazione di una serie di circostanze.
Il diritto alla limitazione, o al "congelamento", è una sorta di misura cautelare temporanea sul dato.
L’effetto principale della limitazione, dunque, consiste nel non sottoporre i dati a ulteriori trattamenti (salvo, appunto, la sola conservazione): la limitazione, infatti, può essere chiesta al posto della cancellazione (e ciò avviene, ad esempio, in attesa di definire l’esattezza o l’obsolescenza di un dato o per continuare a utilizzare il dato per specifiche finalità) e in sostituzione del blocco del trattamento.
In particolare, l’interessato ha il diritto di ottenere la limitazione del trattamento dei dati personali quando:
- contesta l’esattezza dei dati, per il periodo necessario al titolare del trattamento per effettuare le opportune verifiche;
- il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati (chiedendo, al suo posto, che ne sia limitato l’utilizzo);
- benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, oppure,
- l’interessato si è opposto al trattamento, in attesa della verifica se i motivi legittimi del titolare del trattamento prevalgano su quelli dell’interessato.
Come suggerito dallo stesso Legislatore europeo nei Considerando al Regolamento, dal punto di vista pratico le modalità per limitare il trattamento dei dati personali potrebbero consistere, tra l’altro, nel trasferire temporaneamente i dati selezionati verso un altro sistema di trattamento, nel rendere i dati personali selezionati inaccessibili agli utenti o nel rimuovere temporaneamente i dati pubblicati da un sito web.
La limitazione avviene quasi sempre con espedienti tecnici che variano a seconda dei database, delle piattaforme e dei siti web / sistemi di archiviazione utilizzati.
Negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe, in linea di massima, essere assicurata mediante dispositivi tecnici, in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato.
Infine, all’Articolo 19 si trova riconosciuto il diritto alla portabilità, che consiste nella facoltà per l’interessato di ricevere – in un formato strutturato, di uso comune e leggibile da dispositivo automatico – i dati personali che lo riguardano forniti a un titolare del trattamento e di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare originario.
Anche il diritto alla portabilità ha un aspetto tecnico molto marcato: occorre infatti far sì che tutti i dati presenti in un archivio siano, per così dire, "impacchettati" e scaricabili dall'utente, sia che voglia custodirli (quindi la portabilità è intesa come possibilità per l'utente di archiviare in proprio i dati), sia che voglia che siano trasmessi a un altro gestore di dati.
Il senso della portabilità dei dati è quello di permettere di "spostare" i dati da una realtà all'altra e continuare a trattarli senza essere vincolati a uno standard o a una piattaforma.
Il quadro dei diritti dell’interessato appare, in conclusione, estremamente potenziato, soprattutto con riferimento alla possibilità di cancellare informazioni, “congelare” archivi contenenti dati e rendere i dati portabili da un sistema informatico all’altro.
Il quadro probabilmente si potenzierà ancora quando inizieranno a operare associazioni ed enti che tuteleranno specificamente gli interessati e intraprenderanno azioni legali e class action per garantire una applicazione reale di questi diritti che, come si diceva, sono esattamente al centro del sistema del GDPR.