Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

la guida

GDPR, i dodici nuovi diritti che i cittadini devono conoscere

In vista della piena efficacia del nuovo Regolamento europeo per la protezione dei dati personali, una guida per informare al meglio i cittadini sui diritti e gli strumenti che possono essere adoperati per tutelare i propri dati e sui reali cambiamenti che saranno innescati dal GDPR

16 Mag 2018

Catia Maietta

avvocato


Il prossimo 25 maggio entrerà in vigore il GDPR, una vera e propria rivoluzione nell’ambito della gestione del trattamento dei dati personali. Nonostante la nuova disciplina sia stata ispirata dall’esigenza di introdurre una regolamentazione più rigida, rispetto al passato, quanto all’utilizzo dei dati personali, puntando su di una maggiore tutela, responsabilizzazione e consapevolezza delle grandi risorse che si celano dietro l’uso degli stessi, vi è da registrare, nel flusso di informazioni che si stanno susseguendo a ridosso dell’entrata in vigore del Regolamento, una sorta di cosiddetto “vuoto informativo” nei confronti della categoria che, invece, è certamente quella maggiormente e direttamente interessata da questo grande cambiamento: i cittadini europei, in qualità di titolari dei dati tutelati dal regolamento.

Privacy, l’importanza della consapevolezza dei cittadini

Sebbene si sia spesso messa in rilievo l’assenza di una reale consapevolezza, da parte dei cittadini, dell’importanza di proteggere tutte le informazioni che comunicano a terzi, non vi è stata, ad oggi, nei confronti degli utenti, una compiuta informazione degli strumenti che possono essere adoperati per tutelare i propri dati e dei reali cambiamenti rispetto alla disciplina pregressa.

Troppo spesso, ed in maniera alquanto superficiale, trasferiamo informazioni rilevanti relative alle nostre abitudini, rapporti, relazioni, status, identità senza nemmeno renderci conto del fatto che stiamo trasferendo i menzionati dati ad un soggetto terzo in grado di elaborarli, svilupparli, adoperarli per fini strumentali alla propria attività. Non abbiamo ancora una reale contezza del valore che hanno le informazioni che cediamo ai terzi.

GDPR, lo squilibrio informativo tra cittadini e aziende

Quantunque la funzione del GDPR, tra l’altro esplicitata nel primo articolo dei considerando del regolamento del 27 aprile 2016, sia quella di elevare “la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale” a diritto fondamentale[1], si registra uno squilibrio tra le informazioni trasmesse al cittadino, al fine di renderlo pienamente edotto del proprio ruolo, rispetto al sovraccarico di informazioni che vengono veicolate verso le aziende per l’adeguamento alla nuova disciplina.

A ciò si aggiunga che, se da un lato manca una espressa consapevolezza del ruolo attivo che ognuno di noi può esercitare (probabilmente perché in pochi – e il riferimento è agli organi istituzionali a ciò deputati – ce lo stanno dicendo), dall’altro siamo il bersaglio doveroso di una serie di messaggi, finalizzati alla messa in regola dell’operato delle aziende che trattano i nostri dati.

Si tratta di messaggi estremamente tecnici, lunghi, vaghi, che ci vengono proposti al momento dell’accesso alle app che adoperiamo abitualmente, sia sotto forma di pop-up, che di promemoria, e che impediscono di proseguire nell’uso dei consueti servizi della nostra applicazione o pagina facebook o instagram, se prima non forniamo un nuovo consenso sulle condizioni e la normativa sui dati. E d’altro canto, come recitano le stesse condizioni, se si vuol continuare ad adoperare il servizio, non resta che cliccare, acconsentire ed andare avanti.

Eppure, nonostante ciò, vi è un importante cambio di prospettiva nel GDPR anche per il cittadino, identificato negli articoli del Regolamento con la locuzione (soggetto) “interessato”. Costui, infatti, da mero spettatore, che ha assistito, soprattutto in passato,  all’uso ed anche a volte all’abuso più vario dei propri dati, perdendone il controllo una volta comunicati per il trattamento, assume sempre più il ruolo di parte attiva del rapporto, vedendosi riconoscere nuovi e più pregnanti diritti.

Il Capo III del GDPR è dedicato proprio ai “diritti dell’interessato” e si prefigge lo scopo di delineare rapporti, poteri, diritti spettanti al soggetto che autorizza il trattamento dei propri dati affinché la comunicazione degli stessi non si esaurisca al solo momento del consenso bensì perduri nel tempo al fine di garantire una adeguata protezione.

E’, pertanto, opportuno porsi dal punto di vista del cittadino e vedere cosa garantisce il nuovo regolamento.

Per prima cosa un cittadino deve sapere che la trasmissione dei propri dati personali[2], nel quotidiano, avviene di continuo e non solo per chi accede a canali ove i dati vengono direttamente immessi in rete, ma anche nelle relazioni ed attività quotidiane che possono riguardare la prenotazione di una visita medica oppure la richiesta di un certificato presso gli uffici comunali, l’iscrizione dei propri figli alla scuola dell’obbligo o l’acquisto di un qualsiasi bene o servizio.

Primo diritto: la richiesta del consenso

La richiesta del consenso cammina ormai di pari passo ad ogni singola attività: ciò a dimostrazione del fatto che i nostri dati sono continuamente oggetto di uso e raccolta. Se forniamo il consenso dobbiamo essere informati su chi utilizzerà i nostri dati e le finalità che saranno perseguite.

Le modalità con le quali potrà essere richiesto il consenso variano in base al tipo di servizio o all’utilizzo o meno di mezzi elettronici ma, comunque, le informazioni dovranno essere fornite adoperando un linguaggio semplice e chiaro.

Comunque sia formulata, la richiesta di consenso deve rappresentare all’utente, nel momento in cui i dati personali sono ottenuti, le informazioni circa il titolare del trattamento, gli eventuali destinatari nonché le finalità dell’utilizzo dei dati (espresso sia in termini di natura che di durata). In aggiunta alle predette informazioni, il titolare del trattamento, al fine di garantire un uso dei dati corretto e trasparente, fornirà all’interessato informazioni circa i suoi diritti di intervenire sull’utilizzo nonché sul periodo di conservazione dei dati.

Secondo diritto: tutele sulla prestazione del consenso

La prestazione del consenso è il primo atto di partecipazione attiva dell’utente e rappresenta l’accettazione, non obbligatoria, al trasferimento e trattamento dei dati. Il consenso deve essere espresso mediante un atto positivo inequivocabile, libero e specifico[3]. Non è vincolante il mezzo, potendo comunicarlo in forma scritta, mediante mezzi elettronici o oralmente.

Ai fini di una valutazione della libertà del consenso particolare attenzione dovrà essere posta ai dati personali che vengono richiesti ed alla correlazione rispetto alla prestazione. Può capitare, infatti, che la richiesta di consenso per l’esecuzione di un contratto sia condizionata dall’autorizzazione al trattamento di dati non necessari.  In casi come questi viene pregiudicata proprio la libertà del consenso manifestato dal cittadino nonché la violazione del principio di minimizzazione dei dati ossia il criterio secondo cui i dati richiesti devono essere adeguati, pertinenti e limitati rispetto alla finalità per la quale sono richiesti.

Ciò che è anche importante sottolineare è che il consenso non si esaurisce nel momento in cui viene prestato, non è una compravendita con la quale si trasferisce ad altri un bene, bensì si autorizza semplicemente la società che raccoglie i dati al trattamento degli stessi. Tenuto conto, tuttavia, che quei dati rappresentano il cittadino e continuano a rappresentarlo anche durante e dopo il trattamento, occorre che, già all’atto della prestazione del consenso, questi sia debitamente informato delle garanzie che saranno adoperate per tutelare i dati nonché dei diritti che ha di accedere, di intervenire per controllare il trattamento (ad esempio presentando un eventuale reclamo), o di rettificare o anche ritirare il consenso.

Terzo diritto: divieto di trattare alcune categorie di dati personali

Il divieto di trattare alcune categorie di dati personali nasce dalla semplice  considerazione che i dati non sono tutti uguali. Le informazioni che riguardano la persona non hanno tutte lo stesso peso e lo stesso valore.

Ci sono, effettivamente, dati strumentali alla richiesta di attivazione di determinati servizi o contratti per i quali all’utente sarà sottoposto un modulo per fornire il consenso, e dati che non hanno, per loro stessa natura, alcun ruolo nella stipula di nuovi contratti. Per il primo tipo di dati indicati, il controllo che potrà essere fatto sull’operato del titolare del trattamento, nel momento in cui viene richiesto il consenso, sarà di tipo funzionale ed orientato a rispetto del principio della minimizzazione dei dati raccolti.

Accanto a queste informazioni, vi sono poi categorie di dati, relative alla persona, per le quali vige il divieto di trattamento, superabile solo nel caso in cui vi sia un consenso esplicito prestato per assolvere a diritti e/o obblighi specifici, per tutelare interessi vitali o anche, tra l’altro, nel caso in cui sia l’interessato a renderli di dominio pubblico.

Questi dati, che godono di particolare tutela, sono quelli inerenti l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, i dati genetici, biometrici, relativi alla salute o alla vita sessuale o all’orientamento sessuale. Per il trattamento di dati relativi a condanne penali occorre il controllo della pubblica autorità.

Quarto: il diritto di accesso dell’interessato

Il diritto di accesso dell’interessato è strettamente connesso alla durata del trattamento dei dati scaturente dal consenso prestato. Essa rimarca il rapporto indissolubile tra utente e dati personali per cui la persona interessata ha sempre il diritto di ottenere dal titolare del trattamento la conferma che vi sia in corso un trattamento dei propri dati e, in caso positivo, accedere alle informazioni inerenti lo specifico trattamento, ossia sapere per quali fini sono stati adoperati i dati, quali dati sono stati adoperati, a chi sono stati comunicati, il periodo di tempo entro cui i dati saranno conservati o una previsione della durata, la possibilità di esercitare i diritti di rettifica, cancellazione o di limitazione all’uso dei dati, o anche il rifiuto del trattamento, così come il diritto di proporre reclamo presso l’autorità di controllo.

Il diritto di accesso rappresenta, proprio per il potere che conferisce all’utente, una porta aperta sull’operato del titolare del trattamento riconoscendo il grande potere, ad ogni persona fisica, di controllare nel tempo le tracce lasciate dai propri dati e di intervenire, eventualmente, per cambiare le cose.

In sintesi è come se  venisse riconosciuto il potere di controllare le conseguenze del consenso prestato e di correggerlo o di cancellarlo, come pure solo di monitorarlo ottenendo le informazioni richieste, ricordando che quei dati sono e restano dell’interessato.

E’ il diritto alla trasparenza, all’uso responsabile dei dati, è, come detto, quella porta attraverso la quale affacciarsi per vedere e sapere, e che consente, di conseguenza, l’esercizio consapevole degli ulteriori diritti. Ovviamente, per accedere a queste informazioni, occorre che il titolare del trattamento riscontri la richiesta. In capo allo stesso si configura, pertanto, il dovere di fornire le informazioni.

Quinto: il dovere di fornire le informazioni richieste

Il dovere di fornire le informazioni richieste è strettamente collegato alla richiesta del cittadino formulata nell’esercizio del diritto di accesso e rappresenta il riscontro che il titolare del trattamento ha il dovere di fornire all’interessato senza alcun aggravio economico, salvo il caso in cui risultino manifestamente infondate o eccessive.

Quanto alla tempistica è stato fissato un termine massimo di un mese, prorogabile nei casi di complessità o di elevato numero di richieste. Se non dovesse rispettarla, vengono ad attivarsi ulteriori diritti di azione riconosciuti all’interessato.

Sesto: la possibilità di proporre reclamo/ricorso

La possibilità di proporre reclamo/ricorso è riconosciuta al cittadino nel caso in cui il titolare del trattamento non riesca a fornire le informazioni richieste dall’interessato.

Infatti, decorso il tempo di un mese o più, in caso di proroga, il titolare del trattamento dovrà comunque informare delle sue difficoltà a fornire tempestivo riscontro, nonché della possibilità per il cittadino di adire, con reclamo, l’autorità di controllo oppure, con ricorso, l’autorità giurisdizionale.

Settimo: il diritto di rettifica

Il diritto di rettifica potrà essere esercitato ogni qualvolta l’interessato (la persona cui appartengono i dati) riscontri l’utilizzo di dati personali inesatti.

L’inesattezza dei dati posseduti dal titolare del trattamento è un’ipotesi che può verificarsi molto più frequentemente di quanto non si pensi e che può avere anche conseguenze rilevanti per il cittadino. Da qui la necessità di fornire gli utenti del diritto ad ottenere la rettifica dei dati, al fine di evitare che l’errore possa danneggiarli o, comunque, avere conseguenze negative.

Di casi, al riguardo, ce ne sono tanti: si pensi alla registrazione di dati errati quanto alle proprie abitudini di vita (esempio essere o meno identificato come fumatore nella prenotazione di una camera d’albergo o nella stipula di una polizza vita) o anche quanto ad errori circa una erronea segnalazione quale cattivo pagatore.

Dall’errore scaturiscono una serie di segnalazioni e/o conseguenze a catena che sarebbe oltremodo iniquo far gravare sull’utente, per cui un simile diritto, a fronte di siffatte situazioni, non può che essere considerato pienamente appropriato.

Ovviamente se viene riconosciuto il diritto di chiedere la rettifica, al fine di rendere efficace la richiesta, occorre che alla stessa il titolare del trattamento dia seguito senza ingiustificato ritardo. Qualora la richiesta avesse ad oggetto l’integrazione di dati incompleti, potrà essere fornita una dichiarazione integrativa.

Ottavo: la revoca del consenso

La revoca del consenso non è sottoposta ad alcun vincolo o condizione né di carattere temporale né di natura strutturale. Così come viene garantita la possibilità di esprimere un consenso “libero”, il regolamento garantisce il diritto di revocare il consenso con la stessa “libertà”.

Il diritto di revocare il consenso è, pertanto, esercitabile in qualsiasi momento. Ovviamente il trattamento dei dati avvenuto nell’arco di tempo coperto dal consenso espresso, resta lecito. Inoltre, occorre che non siano stabilite modalità di revoca del consenso più articolate (finalizzate a disincentivare la revoca) rispetto a quelle di prestazione dello stesso.

Di ciò, ossia del diritto di revocare il consenso, il cittadino deve avere notizia già nel momento stesso in cui presta il consenso.

Nono: il diritto all’oblio

Il diritto alla cancellazione dei dati, cosiddetto “diritto all’oblio”  è probabilmente uno dei diritti espressi con maggiore forza dal GDPR e che è altro rispetto al già esaminato diritto a revocare il consenso. Anzi, la revoca del consenso rappresenta uno dei possibili presupposti per ottenere la cancellazione dei dati personali.

E’ un diritto fondamentale alla cui richiesta il titolare del trattamento deve adempiere, senza ingiustificato ritardo, cancellando i dati.

La finalità principale di questo diritto riconosciuto all’utente è stretta conseguenza dell’uso di tecnologie sempre più avanzate che potrebbero compromettere l’immagine dell’utente continuando, ad esempio, a diffondere dati in violazione del consenso, in quanto revocato, oppure perché il trattamento dei dati è avvenuto illecitamente.

Dietro questo tipo di tutela, possono esservi, pertanto, ragioni molto delicate che inducono l’interessato a chiedere l’oblio dei dati, ma anche il fatto che i dati trasmessi non siano più necessari alle finalità a suo tempo indicate può rappresentare un valido motivo per ottenerne la cancellazione. E’, pertanto, un diritto molto esteso che può essere limitato solo nella misura in cui se ne giustifichi la necessità al cospetto di più alto valore (es. diritto di libertà, espressione, informazione, obbligo legale).

Decimo: il diritto di limitazione del trattamento

Il diritto di limitazione del trattamento rappresenta una ulteriore forte garanzia a tutela del cittadino attivabile ogni qualvolta vi sia una situazione da verificare o un conflitto tra interessato e titolare del trattamento.

Al fine di evitare che questo tempo di sospensione necessario per dirimere l’eventuale controversia possa, pur esso, rappresentare un ulteriore aggravio per il cittadino, si è ritenuto opportuno creare una sorta di “sospensione” per mezzo della quale si opera una limitazione temporale del trattamento in attesa di conoscere la sorte dei dati.

L’interessato può chiedere al titolare del trattamento, ed ha il diritto di ottenerla, una limitazione di uso dei dati. La sua portata è più estesa rispetto al semplice “blocco” del trattamento potendo, la richiesta, essere motivata facendo riferimento ad una contestazione sull’esattezza dei dati, su un ipotizzato trattamento illecito o anche perché ci si è opposti al trattamento.

Undicesimo: il diritto alla portabilità dei dati

Il diritto alla portabilità dei dati è predisposto, funzionalmente, sul riconoscimento del diritto del cittadino di trasmettere i propri dati, forniti ad un titolare del trattamento, ad altro titolare.

E’ un diritto assoluto, cui il primo soggetto che ha ricevuto i dati non può opporsi né tantomeno creare impedimenti. Anzi, nel caso in cui fosse tecnicamente fattibile, l’interessato potrà ottenere la trasmissione diretta dei dati dall’uno all’altro.

Dodicesimo: il diritto di opporsi al trattamento dei dati personali

Il diritto di opporsi al trattamento dei dati personali può essere esercitato dal cittadino in qualsiasi momento.

Non vi sono motivi particolari che devono essere addotti alla base della richiesta, ricevuta la quale, al titolare del trattamento non resterà altro da fare che astenersi dal trattare ulteriormente i dati, a meno che non dimostri l’esistenza di motivi legittimi cogenti che prevalgono su quelli dell’interessato.

Anche questo diritto dell’interessato deve essere comunicato in sede di richiesta iniziale del consenso, rappresentando il potere di modificare nel tempo l’autorizzazione concessa col consenso e, pertanto, dando immediatamente contezza, all’utente, della possibilità non solo di rivedere il consenso ma anche di opporsi al trattamento dei dati per motivi semplicemente connessi alla sua situazione particolare.

[1] in linea con quanto sancito dall’art. 8, paragrafo 1, della Carta dei diritti fondamentali dell’Unione europea e dall’art. 16, paragrafo 1, del trattato sul funzionamento dell’Unione europea.

[2] I dati personali sono tutte le informazioni relative ad una persona e che possono riguardare i dati identificativi (il nome o il codice fiscale come anche gli estremi del documento d’identità) ed anche la razza, le opinioni politiche, la religione, l’appartenenza sindacale, i dati genetici, i dati biometrici o anche i dati inerenti la salute e l’orientamento sessuale.

[3] Non si configura consenso nel caso di silenzio, inattività o preselezione di caselle.

Articolo 1 di 3