I nostri Corsi
Executive Master Junior Master Mini Master e Corsi

Prova Corsi GRATIS
Perché CyberAcademy
Docenti Metodi di Pagamento FAQ Chi Siamo Contatti
Albo dei CyberLegali Webinar Blog LOGIN
☎ PARLA CON NOI

Procedura per l'esercizio dei diritti dell'interessato

data protection Jan 18, 2023
Esercizio dei diritti dell'interessato

Ai sensi dell'art. 8 della Carta dei diritti fondamentali dell'Unione europea e dell'art. 16 del Trattato sul funzionamento dell'Unione europea, il diritto alla protezione dei dati personali delle persone fisiche è un diritto fondamentale dell'individuo.

Ogni persona ha diritto alla protezione de dati di carattere personale che lo riguardano. Ovviamente non è una prerogativa assoluta ma va contemperato con gli altri diritti fondamentali, in ossequio al principio di proporzionalità.

Questo diritto, oggi, è tutelato dal Regolamento (UE) 2016/679 (gdpr) relativo alla protezione e alla libera circolazione dei dati personali delle persone fisiche che persegue la finalità di garantire in modo sostanziale, la tutela dei dati delle persone fisiche.

Il Regolamento non si applica ai dati anonimi o a quelli relativi alle persone giuridiche né ai trattamenti di dati personali effettuati da una persona fisica per attività di carattere esclusivamente personale o domestico.

Si applica solo al trattamento dei dati delle persone fisiche che si trovino nell'UE, a prescindere dalla nazionalità o dal luogo di residenza. La persona fisica alla quale si riferiscono i dati che vengono trattati dal titolare del trattamento, si chiama interessato.

Ma quali sono i principali adempimenti che il gdpr prevede a carico dei titolari del trattamento. Vediamoli.

 

Diritti dell'interessato e i principali adempimenti del titolare del trattamento

 

Fra i principali adempimenti che il gdpr prevede a carico dei titolari del trattamento (cioè la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento) c'è quello di comunicare all'interessato, tutte le informazioni riguardanti il trattamento dei dati personali, prima che questo cominci.

Quest'obbligo si traduce nel dovere di fornire un'informativa all'interessato, cioè un documento mediante il quale il titolare del trattamento delimita e definisce la legittimità dei propri trattamenti. L'informativa deve:

 

  • Essere concisa, facilmente accessibile, comprensibile (quindi scritta in un linguaggio semplice e chiaro);
  • Essere resa per iscritto, mediante mezzi elettronici oppure oralmente;
  • Essere fornita ogni qualvolta si svolge un trattamento dei dati, indipendentemente dal fatto che occorra il consenso dell'interessato;
  • Indicare:

1. Chi è il titolare del trattamento e in quale modo lo si può contattare;

2. Se è stato nominato un DPO e se è stato nominato, il suo contatto;

3. La finalità e la base giuridica in base alla quale il titolare del trattamento tratta i dati;

4. A chi vengono trasmessi i dati personali;

5. Se i dati personali vengono trasferiti in paesi extra UE;

6. Il tempo di conservazione dei dati;

7. L'informazione circa i diritti che l'interessato può esercitare.

 

Diritti dell'interessato che possono essere esercitati

 

Con riguardo a questo ultimo punto, il gdpr assegna all'interessato tutta una serie di diritti che garantiscono il controllo sui propri dati personali:

 

  • Il diritto di essere informato (di cui le informative ex art. 12, 13 e 14 cui si è accennato sopra);
  • Il diritto di accesso (art. 15) cioè il diritto di accedere ai dati personali che lo riguardano e ottenerne copia.

In particolare, in caso di conferma dell'esistenza di un trattamento di dati che lo riguardano l'interessato ha diritto di sapere:

1. Le finalità del trattamento;

2. Le categorie di dati di cui si parla;

3. I destinatari a cui i dati sono stati o saranno comunicati;

4. Il periodo di conservazione previsto o i criteri utilizzati per determinarlo;

5. L'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica/cancellazione/limitazione dei dati personali che lo riguardano o di opporsi al loro trattamento;

6. Il diritto di proporre reclamo all'autorità di controllo;

7. L'origine dei dati, se questi non sono stati raccolti direttamente presso l'interessato;

8. L'esistenza di un processo decisionale automatizzato.

  • Il diritto di rettifica (art. 16) cioè il diritto di ottenere dal titolare del trattamento, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che lo riguardano. I dati possono essere aggiornati, e corretti, quelli incompleti possono essere integrati mediante una dichiarazione integrativa purché questa non sia superflua rispetto alle finalità trattamento, questo per non rischiare di violare il principio di minimizzazione dei dati. A seguito dell'esercizio del diritto di rettifica, il titolare del trattamento deve adoperarsi per comunicare le variazioni a ciascuno dei destinatari cui sono stati trasmessi i dati, salvo che questo non comporti uno sforzo sproporzionato o risulti impossibile;
  • Il diritto di cancellazione (art. 17) o diritto all'oblio ovvero il diritto di ottenere dal titolare del trattamento, senza ingiustificato ritardo, la cancellazione dei dati personali che lo riguardano nel caso in cui sussista una di queste motivazioni:

1. I dati sono stati trattati illecitamente o non sono più necessari rispetto alle finalità per le quali sono stati raccolti;

2. Il trattamento dei dati era basato solo sul consenso dell'interessato che chiede la cancellazione oppure questo si oppone al trattamento in assenza di altre basi giuridiche che consentano di procedere al trattamento;

3. Adempimento di un obbligo giuridico previsto dal diritto dell'UE o dello Stato membro cui è soggetto il titolare del trattamento.

Sul titolare del trattamento grava quest'obbligo di cancellazione a meno che non sussistano interessi prevalenti che giustifichino il mantenimento dei dati ovvero quando il trattamento è necessario:

1. Per l'esercizio del diritto alla libertà di espressione e di informazione;

2. Per l'adempimento di un obbligo giuridico che richieda il trattamento previsto dal diritto dell'UE o dello Stato membro cui è soggetto il titolare del trattamento;

3. Per l'esecuzione di un compito svolto nel pubblico interesse o per l'esercizio di pubblici poteri di cui il titolare del trattamento è investito;

4. A fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all'articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento;

5. Per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria.

 

  • Il diritto di limitazione del trattamento (art. 18) ovvero il diritto di ottenere una restrizione del trattamento dei dati quando ricorre una delle seguenti ipotesi:

1. L'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l'esattezza di tali dati personali;

2. Il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo;

3. Benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;

4. L'interessato si è opposto al trattamento, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.

Se il trattamento è limitato, i dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell'interessato o per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un'altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell'Unione o di uno Stato membro. L'interessato che ha ottenuto la limitazione del trattamento è informato dal titolare del trattamento prima che detta limitazione sia revocata.

 

  • Il diritto alla portabilità (art. 20) ovvero il diritto per l'interessato di ottenere e riutilizzare i propri dati per scopi diversi, trasmettendoli ad un altro titolare del trattamento. L'interessato quindi, ha il diritto che il titolare del trattamento gli fornisca i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Una volta ottenuti, potrà chiedere che vengano trasferiti direttamente ad un altro titolare del trattamento. Il diritto alla portabilità si può richiedere quando i dati sono trattati sulla base del consenso dell'interessato o per l'esecuzione di un contratto di cui l'interessato è parte. Inoltre il trattamento deve essere effettuato con mezzi automatizzati. Tale diritto non si applica al trattamento necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, e non deve ledere i diritti e le libertà altrui.
  • Il diritto di opposizione (art. 21) ovvero il diritto che ha l'effetto di far cessare, in via permanente, il trattamento dei dati da parte del titolare del trattamento, fatte salve le operazioni svolte prima dell'opposizione e salvo che egli dimostri l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. La norma prevede, in particolare, tre tipologie di diritti di opposizione:

1. Nei confronti dei trattamenti di marketing diretto e profilazione: L'interessato, in questo caso, ha il diritto di opporsi, in qualsiasi momento, in modo tale che i dati non siano più oggetto di trattamento per queste finalità;

2. Nei confronti dei trattamenti effettuati per scopi di pubblico interesse o legittimo interesse. La possibilità di esercitare il diritto di opposizione in questi due primi casi deve essere esplicitamente portata all'attenzione dell'interessato e deve essere presentata chiaramente e separatamente da qualsiasi altra informazione, al più tardi al momento della prima comunicazione con l'interessato;

3. Nei confronti dei trattamenti svolti per finalità di ricerca scientifica o storica o a fini statistici. In questo caso l'interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguardano, salvo se il trattamento sia necessario per l'esecuzione di un compito di interesse pubblico.

 

Diritti dell'interessato: come esercitarli?

 

Qualsiasi interessato può chiedere di esercitare questi diritti, presentando un'istanza al titolare del trattamento, senza particolari formalità. Se l'interessato presenta la richiesta tramite mezzi elettronici, il titolare del trattamento deve fornire un riscontro, ove possibile, con gli stessi mezzi, salva diversa indicazione dell'interessato.

L'istanza può essere riferita, a seconda delle esigenze dell'interessato, a specifici dati personali, a categorie di dati o ad un particolare trattamento, oppure a tutti i dati personali che lo riguardano, comunque trattati. Il titolare deve riscontrare l'istanza dell'interessato, senza ingiustificato ritardo, al più tardi entro un mese dal suo ricevimento. Tale termine può essere prorogato di ulteriori due mesi, qualora questo si renda necessario tenuto conto della complessità e del numero di richieste.

Ma in questo caso, il titolare deve comunque dare comunicazione all'interessato, dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Prima di riscontrare la richiesta dell'interessato il titolare del trattamento ha l'obbligo di verificarne l'identità.

Qualora nutrisse dei dubbi può chiedere ulteriori informazioni necessarie per identificare l'identità della persona fisica. Qualora il titolare del trattamento riuscisse a dimostrare di non essere in grado di identificare l'interessato, può rifiutare di soddisfare la richiesta di esercizio dei diritti.

Il riscontro si intende fornito a titolo gratuito.

Solo se le richieste dell'interessato sono manifestamente infondate o ingiustificatamente ripetitive il titolare del trattamento potrà:

 

  • Addebitare un contributo ragionevole all'interessato, tenendo conto dei costi sostenuti per fornire le informazioni o per intraprendere l'azione da lui richiesta;
  • Rifiutare di soddisfare la richiesta. Ma grava sul titolare del trattamento l'onere di dimostrarne il carattere eccessivo.

Nel caso in cui il titolare del trattamento non riuscisse ad adempiere la richiesta deve enunciarne i motivi e deve comunicare al richiedente la possibilità di proporre, avverso il rifiuto, reclamo al Garante o ricorso giurisdizionale. Il termine di un mese per il riscontro potrebbe apparire congruo, in realtà se il titolare del trattamento non è preparato a gestirla potrebbe incorrere in ritardi che potrebbero indispettire l'interessato che sarà portato a sporgere reclamo.

Diventa, quindi, importante per il titolare del trattamento dotarsi di una policy interna per illustrare i diritti esistenti in capo agli interessati, le modalità di esercizio degli stessi e per fornire un riscontro a queste richieste, in conformità al dettato dell’art. 24 del Regolamento, che impone l’adozione di misure tecniche ed organizzative adeguate ad assicurare l’osservanza del Regolamento stesso.

 

Diritti dell'interessato: la procedura

 

La procedura vera e propria prende avvio con la richiesta dell'interessato che chiede di esercitare un proprio diritto e che può arrivare al titolare del trattamento attraverso differenti canali.

La richiesta può pervenire ai dati di contatto presenti nell'informativa, o può essere inserita in un reclamo, o in qualsiasi altra comunicazione, a mezzo e-mail, pec o posta ordinaria.

Il Garante per la protezione dei dati personali, sul proprio sito, mette a disposizione un modello da fornire agli interessati affinché possano formulare le loro richieste in modo corretto.

La procedura consta delle seguenti fasi:

  • Ogni istanza pervenuta, con qualsiasi mezzo, deve essere inoltrata al DPO (se nominato) e protocollata.

Il titolare del trattamento deve poi procedere a un'analisi preliminare della richiesta e della verifica dell'identità dell'interessato. A questo scopo occorre verificare se i dati relativi alla posizione dell'interessato siano effettivamente presenti nei sistemi informativi dell'organizzazione.

Se non lo sono, il DPO informerà l'interessato della non sussistenza dei dati, attraverso lo stesso canale utilizzato per la richiesta. Qualora invece venissero individuati, il DPO avvierà le fasi successive della procedura e provvederà a informare il richiedente dell'avvenuta presa in carico della sua richiesta (magari comunicandogli il numero di protocollo).

 

  • Con l'aiuto del DPO (se nominato) deve poi evadere la richiesta e predisporre una risposta. Per farlo, deve verificare le condizioni di liceità del trattamento, l'eventuale prestazione dei consensi relativi alle finalità della raccolta dei dati o l’esistenza di un'altra base giuridica; deve verificare che i periodi di conservazione dei dati siano rispettati.
  • Deve riscontrare l'interessato, senza ingiustificato ritardo e comunque entro un mese dalla richiesta (salvo proroga) con l'invio in un formato di uso comune (o del formato scelto dall'interessato), dei dati richiesti, attraverso i canali dai quali l’istanza è pervenuta o quelli scelti dall'interessato.
  • L'ultima fase consiste nell'archiviazione della documentazione e di ogni comunicazione intercorsa con l'interessato e nell'annotazione del protocollo sull'apposito registro che raccoglie le richieste di esercizio dei diritti ricevute, anche al fine di monitorare eventuali richieste reiterate o eccedenti.

Presupposto logico per l’implementazione di questa procedura è l’individuazione a monte di una figura o di un team o di un responsabile esterno che dovrà gestire le richieste degli interessati coordinandosi con il data protection officer dell'ente (se nominato). L'eventuale responsabile esterno designato dovrà fornire al Titolare supporto e assistenza con misure tecniche e organizzative adeguate, al fine di soddisfare le richieste per l’esercizio dei diritti dell’interessato. Quest'obbligo deve essere previsto nel contratto di designazione. In ogni caso, tutto il personale coinvolto nel trattamento dei dati personali deve essere adeguatamente formato per essere in grado di supportare il DPO o il Privacy Officer designato nella gestione e nell’evasione delle richieste degli interessati.

– Marina Mirabella, Avvocato e collaboratrice di CyberAcademy

 

Condividi su:

 

La prima Academy per diventare Cyber Legali

I Corsi e Master di CyberAcademy affrontano tutti i temi legati all'era digitale e alla sicurezza aziendale con i maggiori esperti del settore.

SCOPRI DI PIÙ

Iscriviti alla newsletter dei Cyber Legali

Riceverai la nostra newsletter settimanale con tutti i nostri nuovi articoli e webinar gratuiti.

Categorie

Scopri anche i nostri Webinar gratuiti.

VAI AI WEBINAR

Iscriviti alla Newsletter.

ISCRIVITI

CyberAcademy nasce da un’idea di Luisa Di Giacomo, Cyber avvocato, ed Enrico Amistadi, ingegnere informatico, per sviluppare competenze “orizzontali” e creare nuovi progetti per il vostro futuro lavorativo. Siamo Cyber Professionisti che credono nella collaborazione tra diverse professionalità e background.

© 2024 CyberAcademy Srl. Tutti i diritti riservati
P.IVA12739100019

PRIVACY POLICY

COOKIE POLICY

TERMINI E CONDIZIONI

FAQ