PRIVACY, N. 5 – DIRITTI DELL’INTERESSATO.
Quali diritti ha l’interessato del trattamento, come li può esercitare, come devono reagire le controparti.
|
– Diritti per l’uno, obblighi per l’altro –
Come abbiamo detto, l’essenza della normativa relativa all’interessato del trattamento consiste nella disciplina dei suoi diritti. Ad essi corrispondono ovviamente conseguenti doveri in capo ai soggetti che (a vario titolo) partecipano al trattamento volti a consentire all’interessato di esercitarli in modo pieno ed effettivo.
I diritti dell’interessato ruotano intorno al concetto di “controllo” da parte sua dei dati che lo riguardano e di ciò che ne viene fatto. Tale controllo si attua su più piani.
INFORMATIVA
– Inderogabilità ed ambito di applicazione –
Il diritto forse più noto (e che vediamo attuare continuamente nell’usufruire dei più svariati servizi) è quello a ricevere la ben nota “informativa” sulla privacy. Si tratta di un diritto assolutamente inderogabile (cioè le parti non possono pattuire di escluderlo). Inoltre è un diritto sempre vigente per le situazioni rientranti nell’ambito di applicazione della normativa, salvi pochi casi espressamente esclusi da norme italiane o dell’U.E.. Ad esempio: il giornalista può non rivelare la propria identità e la finalità delle domande che fa se ciò potrebbe metterlo in pericolo o rendere impossibile l’acquisizione della notizia rilevante per il pubblico; vi sono casi di segreto professionale o comunque imposto dalla legge; eccetera.
– Modalità di adempimento –
Il dovere di fornirla in maniera gratuita per l’interessato grava sul solo titolare; egli può delegare l’operazione, ma resta l’unico soggetto a cui si imputano eventuali responsabilità per la violazione. Egli è onerato altresì della prova di averla resa e di aver rispettato i contenuti prescritti dalla normativa. Perciò, benché non strettamente necessaria, per evitare rischi di contestazioni conviene renderla in forma scritta, datata e sottoscritta dall’interessato, oppure con strumenti informatici che sortiscano analoga efficacia probatoria. Il modo più certo è tramite PEC; altrimenti, ad esempio, potrebbe essere utilizzato un form su pagina web programmata in modo adeguato. Inoltre, si consiglia di consultare l’esperto per gli aspetti sia contenutistici, sia tecnici.
– Contenuti in generale –
Venendo ai contenuti, innanzitutto occorre notare che l’informativa deve essere trasparente, semplice, concisa e chiara per il destinatario (come già anticipato enunciando i principi in materia di trattamento). Ad esempio, se si tratta di minori va adeguata in modo da essere comprensibile anche a loro. Ancora, ad esempio, non è ammesso “spezzettarla” tra tanti documenti diversi e magari non facilmente reperibili dall’interessato; oppure, al contrario, ove sia necessario fornire parecchie informazioni è invece consigliato scinderla in due documenti: uno sintetico e un’altro più esteso. Quest’ultima è in particolare la modalità che si è imposta per le ben note informative relative ai cookies dei siti web. In particolare, si ammette (e talvolta si caldeggia) l’utilizzo di immagini e icone facilmente interpretabili e che tra l’altro vengono già da tempo standardizzate e suggerite dallo stesso Garante. Ad esempio, è ormai a tutti nota l’icona che segnala la presenza di videocamere a circuito chiuso in banche, enti pubblici, eccetera.
Insomma, è importante rimarcare che nel redigere l’informativa non è tanto questione di seguire pedissequamente una checklist (“se c’è il contenuto X allora ho rispettato la norma”). Piuttosto bisogna stare attenti ad adottare un approccio sostanziale, mettendosi nei panni dell’interessato e provando a rendergli il miglior servizio possibile. Questa è la migliore modalità per scongiurare il rischio di sanzioni.
– Contenuti in base al tipo di informativa –
In secondo luogo, i contenuti prescritti sono sempre finalizzati a far sì che l’interessato conosca bene finalità, modalità e titolarità del trattamento, ma nello specifico variano in base al tipo di informativa. Se ne distinguono infatti tre tipi:
– 1) DIRETTA – E’ quella da rendere quando il titolare (o chi per lui) raccolga direttamente i dati personali dall’interessato stesso. Deve sempre essere precedente alla raccolta, anche se non necessariamente contestuale. Infatti, ciò vale soprattutto ove il trattamento si basi sul consenso, poiché essa è proprio il requisito per renderlo “informato”.
I contenuti da includere sono in tal caso i meno ampi, pur spaziando tra: identità e contatti dei vari soggetti del trattamento (titolare, rappresentante, DPO); finalità; base giuridica (ad es.: consenso, esercizio di dovere legale, interesse pubblico) ed esistenza di eventuali doveri contrattuali/legali, nonché conseguenze dell’eventuale rifiuto a fornire i dati personali; circolazione (ad es., i possibili destinatari, se sono interni o esterni all’UE, eccetera); durata; eventuale presenza e caratteristiche di un processo automatizzato di decisione basato sui dati (ad es., logica seguita, conseguenze); diritti dell’interessato (quali sono, come esercitarli, ecc.). Comunque, non è necessario rendere nuovamente informazioni che l’interessato già possedeva.
– 2) SUCCESSIVA – Si ha quando il titolare (o chi per lui) raccoglie i dati personali indirettamente, cioè da una fonte a lui accessibile, benché tali dati fossero stati forniti direttamente dall’interessato solo ad altro titolare. Ad esempio, è così se raccolgo autonomamente nominativi e contatti di alcuni professionisti dal sito web su cui è pubblicato il relativo albo professionale.
Va resa entro un termine ragionevole, di massimo un mese e non oltre la prima comunicazione all’interessato o rivelazione a terzi. Nel caso in esame vanno forniti tutti i contenuti dell’informativa diretta di cui al punto precedente più due aggiuntivi: bisogna indicare l’origine dei dati (specificando se era fonte accessibile al pubblico) e le categorie di dati trattate (giudiziari, sensibili, eccetera).
– 3) ULTERIORE – E’ dovuta ove il titolare avesse già reso un’informativa idonea in precedenza, ma intenda mutare (magari integrandole) le finalità precedentemente rese note all’interessato. Ad esempio: i dati di contatto ed i recapiti del cliente erano stati registrati col solo espresso fine di spedire i prodotti acquistati, ma si intende utilizzarli ora anche per pubblicità mirata. E’ chiaro che il mutamento di finalità si potrà fare solo nei casi ammessi, già in precedenza citati nell’illustrare il principio di “rispetto delle finalità”.
Va sempre e comunque resa prima di iniziare ad utilizzare i dati per la nuova finalità. In tal caso, vanno rese nuovamente (con riferimento alla nuova finalità) alcune delle informazioni dell’informativa diretta (nuova finalità, durata, obblighi legali/contrattuali, processo decisionale automatizzato, diritto); inoltre, se i dati sono stati acquisiti indirettamente, occorre includere anche contenuti parzialmente analoghi a quelli della summenziuonata informativa supplementare (origine, come sopra; eventuale presenza di un interesse legittimo quale base del trattamento).
– Nel dubbio, meglio la maggior completezza –
Ad ogni modo, sia per stare sul sicuro in caso di contestazioni, sia per garantire la massima trasparenza, pare del tutto opportuno indicare nell’informativa altresì alcune informazioni ulteriori, benché non espressamente richieste dalla lettera della normativa. Ad esempio, il Legislatore Europeo si è dimenticato di includere l’obbligo di comunicare identità e contatti del responsabile del trattamento; ancora, ad esempio, potrebbe essere più corretto far sapere all’interessato quali misure di sicurezza sono state adottate; eccetera.
– Sanzioni –
L‘inadempimento dell’obbligo di informativa è pesantemente sanzionato dal punto di vista pecuniario, perciò è caldamente suggerito consultare l’esperto per accertarsi di averlo adeguatamente rispettato.
ACCESSO AI DATI
– Inderogabilità e ambito d’applicazione –
Speculare al diritto ad ottenere l’informativa è quello ad accedere ai propri dati personali trattati da parte di altri. Far fronte a tale diritto costituisce un obbligo del solo titolare (l’unico soggetto alle conseguenti responsabilità, salva possibilità di delegare le operazioni materiali) e sempre su di lui grava l’onere della prova di averlo rispettato (come già detto circa l’informativa). Tale diritto è a sua volta inderogabile (cioè si può escludere per accordo delle parti) e vale per ogni trattamento, eccezion fatta per le sole ipotesi escluse per legge ove permetterne l’esercizio ostacolerebbe il soddisfacimento di uno tra i vari interessi pubblici elencati dal GDPR.
Ad esempio, se si ritenesse possibile ottenere da un avvocato l’accesso ai propri dati comunicatigli dal proprio coniuge si finirebbe in sostanza per violare il segreto professionale: infatti basterebbe fare richieste “a tappeto” a tutti i legali divorzisti della città per desumere se il proprio coniuge sta preparando le pratiche per la separazione o il divorzio e come si sta muovendo in tal senso.
– Forma e modalità d’adempimento –
L’istanza di accesso e la risposta possono aversi in qualsiasi forma. Chiaro però che per essere certi di poterne provare l’effettuazione occorrono mezzi idonei, come ad esempio una raccomandata. Tuttavia ove il trattamento avvenga con mezzi elettronici va predisposto un sistema per l’invio della richiesta e la comunicazione del riscontro in forma elettronica. In tal caso, il diritto è parimenti rispettato se si permette all’interessato di accedere autonomamente (ovviamente garantendo la sicurezza mediante connessioni protette, password, eccetera) alle informazioni (ad es., permettendo all’interessato di effettuare il login sul portale web e visionare in apposita sezione riservata tutte i suoi dati personali raccolti). Valgono gli stessi principi in tema di chiarezza, semplicità, concisione ed intelleggibilità menzionati sopra per quanto concerne l’informativa.
L’esercizio del diritto d’accesso deve essere gratuito per quanto riguarda la prima richiesta di una sola copia dei dati (o un’eventuale nuova richiesta giunta dopo un certo lasso di tempo), mentre è possibile addebitare costi ragionevoli ove siano chieste più copie o vi siano ripetute richieste in un breve lasso di tempo. In tale ultimo caso, ove si concreti un abuso del diritto (ad esempio: se viene reiterata la richiesta immediatamente dopo la risposta a soli fini di disturbo) è legittimo il rifiuto.
– Termine per adempiere e legittimo rifiuto –
Il riscontro dell’istanza di accesso deve avvenire entro termine ragionevole, di massimo un mese, prorogabile a due mesi solo per giustificate ragioni (ad es., necessità di recuperare una grande mole di dati da archivi cartacei siti in posti diversi e trascriverli in modo da renderli facilmente intelleggibili e consultabili). Se vi è una grande quantità di dati diversi si può chiedere all’interessato di precisare e circostanziare la richiesta. E’ possibile il motivato rifiuto (ove non sussista il diritto all’accesso per i motivi detti) entro al massimo un mese, ma segnalando chiaramente la possibilità di proporre reclamo al Garante o di agire in giudizio.
– Contenuti della risposta –
I contenuti della risposta consistono, innanzitutto, nell’indicazione dell’esistenza del trattamento. Poi la normativa impone letteralmente di includere non tutte ma solo alcune delle informazioni da rendersi in sede di informativa. D’altro canto, sia per trasparenza, sia per evitare possibili contestazioni, pare più opportuno fornire comunque tutte le suddette informazioni.
Se poi i dati sono stati trasferiti ad un Paese terzo o ad un’organizzazione internazionale va comunicata l’esistenza di adeguate garanzie previste dalla normativa. Infine, vanno comunicati i dati personali posseduti, inclusi quelli “valutativi” (cioè non solo il dato di realtà in sè e per sè, come ad esempio il referto dell’esame specialistico, ma anche l’eventuale valutazione diagnostica dello specialista sulla base di tale referto).
– Sanzioni –
La violazione di tale diritto/obbligo comporta sanzioni amministrative pecuniarie analoghe a quelle sopra menzionate.
CADUCAZIONE O DELIMITAZIONE DEL TRATTAMENTO
L’interessato conserva la possibilità di controllare la sorte e la consistenza sia dei dati trattati da parte di altri, sia del consenso a suo tempo eventualmente prestato per iniziare il trattamento. Infatti, i principi già illustrati in materia di consenso continuano a valere (con le dovute precisazioni e con diverse declinazioni) anche dopo che il trattamento ha avuto inizio, oppure trovano in qualche modo applicazione in corso d’opera in trattamenti iniziati senza consenso.
– Per tutti, gratuità ed inderogabilità –
Tutti i diritti di cui si sta per dire devono essere garantiti (cioè resi esercitabili) in modo gratuito (salva la possibilità di addebitare un costo “ragionevole” per richieste eccessive, come detto sopra in materia di diritto di accesso).
Peraltro, come detto per l’accesso, se il consenso era stato prestato in forma elettronica bisogna permettere l’esercizio dei seguenti diritti sempre in forma elettronica. Inoltre, valgono analoghi principi in tema di chiarezza e adeguatezza sia delle modalità di esercizio messe a disposizione dell’interessato, sia del riscontro da parte del titolare (unico obbligato, benché possa delegare materialmente operazioni a propri collaboratori).
Ancora, analogamente ai casi già sopra esaminati, si tratta di diritti inderogabili (salva possibilità di rifiuto in caso di abuso del diritto).
– Sanzioni –
Di nuovo, occorre precisare che anche per quanto riguarda i diritti di cui si sta per dire il loro mancato rispetto comporta sanzioni pecuniarie di importo assai ingente. Perciò è davvero consigliabile la massima attenzione da parte di chi effettua il trattamento.
– Revoca del consenso –
Innanzitutto, l‘interessato deve poter sempre e liberamente (senza limiti o condizioni) revocare il proprio consenso al trattamento, in modo non più difficile di quello con cui l’aveva prestato. Ad esempio, sarebbe illegittimo un form online in cui per acconsentire bastasse un solo click, ma poi per revocare il consenso ne servissero tre.
Ovviamente tale diritto riguarda solo i casi in cui il trattamento sia fondato sul consenso (ad es., non posso revocare il mio consenso al fatto che il Comune presso il quale risiedo tratti i miei dati anagrafici, poiché aveva iniziato a farlo per legge e nell’interesse pubblico). Inoltre, la revoca varrà solo da quel momento in poi (restando lecito il trattamento pregresso).
– Limitazione del trattamento –
L’interessato può poi chiedere che i suoi dati restino temporaneamente soltanto conservati, ma non trattati (cioè utilizzati) in altro modo (ad es., bisognerà sospendere l’utilizzo per l’attività di newsletter per cui erano stati conferiti). Ciò è però possibile solo in quattro ipotesi:
1) c’è una contestazione circa l’esattezza dei dati -> in tal caso la sospensione perdurerà fino al termine della verifica e dell’eventuale correzione (è conseguenza del principio di necessaria esattezza dei dati trattati);
2) vi è illiceità del trattamento -> se il trattamento è iniziato (o proseguito) illecitamente allora l’interessato può opporsi e farlo venir meno (v. dopo). Però potrebbe anche essere contrario alla totale cancellazione dei dati e chiedere che restino comunque conservati (ad es., potrebbe risultargli comodo per esercitare il diritto alla portabilità di cui si dirà oltre);
3) c’è esaurimento della finalità, ma necessità di conservare i dati a fini giudiziari -> cioè ove i dati non siano più necessari per il trattamento originario, ma sia sorta la necessità di conservarli per una controversia, si può chiedere che vengano mantenuti seppur non più utilizzati;
4) c’è opposizione al trattamento -> ove l’interessato eserciti il diritto all’opposizione (di cui si dirà poco oltre) i dati devono restare “congelati” fino all’esito della procedura.
La limitazione può però essere superata per consenso difforme dell’interessato stesso (se cambia idea) o per motivi giudiziari e/o di tutela di diritti anche altrui, oppure per vari motivi di interesse pubblico (ad es., la richiesta di limitazione fatta dall’imprenditore a propri clienti/fornitori non può impedire all’Agenzia delle Entrate di fare i propri accertamenti tributari) e altre finalità previste dallo Stato.
Il titolare del trattamento deve riscontrare la richiesta in tempi brevi (di norma entro il mese, salvo eccezioni analoghe a quanto detto in tema di accesso) e render nota la limitazione a tutti i soggetti cui aveva comunicato quei dati (salvo oggettiva impossibilità/eccessiva onerosità).
Perciò è importante per chi deve adempiere a tali obblighi adottare ex ante sistemi ben congeniati (ad es., per i trattamenti con database informatico, un sistema in cui basti cliccare un tasto per “spostare” altrove in blocco quei dati, mantenendoli così conservati, ma rendendoli anche inaccessibili a terzi e/o propri collaboratori).
– Opposizione al trattamento –
Il diritto di opposizione ha propriamente senso in sè e per sè in quei casi in cui il trattamento sia iniziato senza il consenso espresso dell’interessato. Ossia tanto ove ciò sia lecito (ad es., come si è detto, se i dati – benché sensibili- erano di dominio pubblico), quanto ove ciò sia avvenuto illecitamente (ad es.: scopro che Tizio ha raccolto miei dati non di pubblico dominio a fini di marketing senza consenso). Infatti, altrimenti, basterebbe la revoca del consenso (vedi sopra). Comunque, in linea di principio, pare possibile esercitare tanto la revoca quanto l’opposizione nei casi in cui vi è sovrapposizione dei rispettivi ambiti di applicazione.
L’opposizione è possibile solo in alcune ipotesi tassative e dà luogo a procedure diverse:
1) contro trattamenti iniziati senza bisogno di consenso perché nell’interesse pubblico/esercizio di pubblici poteri -> In tali casi si apre una procedura di valutazione comparativa, cioè l’interessato dovrà indicare gli specifici motivi di opposizione (libertà/diritti che si ritengono violati, o anche meri interessi), mentre l’ente dovrà valutare se prevalgano altre finalità. In particolare, potrà essere respinta l’opposizione (e proseguito il trattamento) se l’ente riterrà prevalenti i propri “motivi legittimi cogenti” o se il trattamento è necessario per questioni giudiziarie;
2) contro trattamenti per finalità di marketing diretto (sia iniziati per consenso, sia iniziati senza consenso) -> In tali casi non servono motivazioni per l’opposizione e il trattamento dovrà sempre e comunque cessare;
3) contro trattamenti per finalità statistiche o di ricerca scientifica/storica -> di nuovo, non occorrono motivazioni per l’opposizione, ma il trattamento potrà essere proseguito laddove necessario per eseguire un compito di interesse pubblico.
All’interessato va dato riscontro tempestivo (di norma entro un mese, salvo eccezioni analoghe a quelle di cui si è parlato in tema di accesso). L’esercizio del diritto di opposizione con esito positivo comporta la totale cessazione del trattamento.
PORTABILITA’ DEI DATI
– La ragione di fondo –
Una delle grandi novità del GDPR è il diritto alla portabilità dei dati.
In sostanza, la ragione di fondo è questa: chi voglia dotarsi di sistemi automatizzati che agevolano (di parecchio) la raccolta e la gestione di una notevole mole di dati, spesso aventi un valore economico in sè e per sè (si pensi ai social network), deve rendere in cambio qualcosa all’interessato (oltre al servizio per cui i dati vengono raccolti). Cioè deve rendergli comodo il passaggio di quei dati a qualche altro titolare del trattamento, cosa utile soprattutto nei casi in cui lo stesso servizio possa essere reso con quei dati da parte di soggetti diversi in concorrenza tra loro (ad es.: i gestori di telefonia).
Questa impostazione è volta evidentemente a favorire lo sviluppo della società dell’informazione e la libera concorrenza, contrastando tendenze monopolistiche/oligopolistiche.
Tale diritto conferma altresì l’idea di fondo che, in tema di privacy, l’interessato sia l’unico vero proprietario dei propri dati, che in nessun modo diventano definitivamente di chi crea con essi il primo trattamento.
– Campo di applicazione –
Tale diritto vale solo per i trattamenti automatizzati (cioè senza bisogno di intervento umano volta per volta, come ad es. ogni volta che l’utente può registrarsi da solo online), di dati o “comuni” o sensibili, e che sia fondato sul consenso o su un contratto. Pare inoltre valere anche per trattamenti solo parzialmente automatizzati (ad es., se l’utente può registrarsi online da solo, ma il gestore del sito deve dare conferma dopo aver verificato i dati).
– Esclusioni –
Il diritto non può essere esercitato nei casi in cui il trattamento è reso necessario per eseguire compiti di interesse pubblico o connessi all’esercizio di pubblici poteri. La deroga, così ampia, pone qualche dubbio. Perché l’interessato non dovrebbe poter per propria comodità chiedere ed ottenere il report dei propri dati gestiti da qualche ente pubblico allo stesso modo di quanto può fare rispetto ad un privato? Personalmente ipotizzo che il fine non sia solo quello di evitare interferenze con il corretto esercizio di attività di rilievo pubblicistico. Forse è piuttosto un modo per esentare le Pubbliche Amministrazioni da un potenziale ulteriore carico di lavoro (che però viene posto senza remore a carico dei privati).
Inoltre, in ogni caso, l’esercizio del diritto non potrà mai spingersi fino a “ledere i diritti e le libertà altrui”. A tal proposito mi viene da pensare, ad esempio, a casi in cui un unico “supporto” contenga tanto i dati miei quanto quelli di un altra persona (come una foto su Facebook dove compaio assieme ad altri). In questo caso, potrebbe essere contraria al diritto altrui (a vedersi chiedere il consenso) la mia istanza di portabilità dei dati -così come sono- ad altro titolare (ad es.: trasferendo la foto pari pari nella galleria di altro social network).
– Esercizio ed effetti –
Il diritto viene esercitato nei confronti del titolare (unico obbligato, benché possa delegare operazioni materiali). Come al solito, l’esercizio deve essere garantito in modo gratuito (salvo ragionevole contributo per richieste eccessive) e si tratta di diritto inderogabile (salvo legittimo rifiuto in caso di abuso). Valgono i soliti principi di chiarezza, adeguatezza e facile accessibilità degli strumenti per esercitare il diritto e del riscontro. Analogamente a quanto detto per gli altri diritti, vige il breve termine per il riscontro (un mese, salvo casi di proroga), con obbligo di indicare la possibilità di reclamo al Garante o ricorso al Giudice in caso di risposta insoddisfacente.
L’esercizio del diritto comporta la creazione di una copia dei dati che, a scelta dell’interessato, gli verrà consegnata oppure verrà direttamente trasmessa ad altro titolare. Quest’ultima modalità è però consentita solo ove “tecnicamente fattibile” (cioè senza obbligare tutti i potenziali titolari a dotarsi di un unico standard tecnologico che altrimenti non avrebbero utilizzato).
Il tutto dovrà avvenire in formato “strutturato” (cioè, ad es., che conserva i collegamenti originari, come il “tag” su una foto di Facebook), “di uso comune” (cioè, ad es., non su file di formato particolare in concreto utilizzabili solo dal software dell’originario titolare) e “leggibile da dispositivo automatico”. Comunque la portabilità non implica di per sè anche la cancellazione dei dati presso il precedente titolare (perciò se si desidera che avvenga anch’essa va espressamente richiesta).
– Sanzioni –
La mancata ottemperanza da parte del titolare comporta l’irrogazione delle consuete assai cospicue sanzioni pecuniarie. Ciò genera qualche fondato timore anche in titolari del trattamento “onesti”: infatti non è chiarissimo fin dove sono obbligati a spingersi nel rendere “portable” i dati di cui dispongono, visto che ciò comporterà sicuramente tempi e costi aggiuntivi. Ad esempio: il gestore di un social network fin dove deve spingersi nello strutturare i dati con collegamenti e formati tali da renderli concretamente utilizzabili anche da un social network differente? E’ evidente che pretendere che con un solo click il mio account Facebook si trasponda in maniera immediatamente utile e “completa” in un similare account LinkedIn significherebbe richiedere troppo (in termini di oneri di programmazione e collaborazione tra imprese diverse). D’altro canto, se Facebook si limitasse a consegnarmi i miei dati in un “papiro” di caotici contenuti testuali (ad esempio con link e tag segnalati, ma non “funzionanti”), con allegate in calce tutte le immagini, su un enorme file PDF di centinaia di pagine, si tratterebbe di un adempimento solo apparente, perché tali dati risulterebbero in concreto inutilizzabili.
CORRETTEZZA E COMPLETEZZA
L’interessato ha poi il diritto a che il titolare rettifichi o integri senza ritardo i dati errati o incompleti.
Non credo ci sia molto altro da dire, visto che per le modalità di esercizio, i termini, l’inderogabilità-gratuità e le sanzioni valgono considerazioni essenzialmente analoghe a quanto si è illustrato sopra per gli altri diritti.
DIRITTO ALL’OBLIO E ALLA CANCELLAZIONE
– Un tema sempre caldo –
Uno dei grandi temi in materia di privacy è da sempre se esista e, nel caso, in che misura, un “diritto all’oblio” quale pretesa che va al di là della pura e semplice riservatezza. Ossia, in via di estrema approssimazione, il diritto da parte dell’interessato non solo a venir lasciato lontano dai riflettori, ma anche a venir dimenticato e a veder cancellate le proprie tracce (soprattutto sul web) ove qualcuno avesse iniziato in passato un trattamento con trascichi perduranti ancora oggi. In realtà già le normative pregresse se ne occupavano, ma senza la completezza e l’approfondimento teorico rinvenibile nelle pubblicazioni degli Autori in materia. Il GDPR a sua volta si dedica esplicitamente al tema con qualche precisazione in più, ma di nuovo senza recepire testualmente la grande elaborazione sul tema (che comunque va tenuta da conto) di dottrina e giurisprudenza.
– Sovrapposizione concettuale? –
In particolare, senza addentrarci troppo in questioni che richiederebbero spazi ben più lunghi, si può segnalare questo. Il GDPR sembra sovrapporre quali concetti fungibili “oblio” e “cancellazione” dei dati, ma di fatto si concentra propriamente solo su quest’ultima. Tuttavia, gli Autori che hanno studiato il tema ci tengono a tenere i concetti distinti, visto che un vero e proprio diritto all’oblio parrebbe dover avere contorni più ampi e non coincidenti con un mero diritto alla cancellazione dei dati. Tra l’altro, vi è chi ha ricostruito il diritto alla deindicizzazione dai motori di ricerca come figura sostanzialmente autonoma, alla luce delle pronuncie giudiziali in materia (a partire, in particolare, dalla sentenza “Google Spain” della Corte di Giustizia dell’Unione Europea).
– Campo di applicazione –
Tale diritto (più alla mera cancellazione che al vero oblio) vale solo per alcuni casi tassativi, cioè se:
1) si sono esaurite le fginalità per le quali era legittimamente iniziato il trattamento;
2) e’ stato revocato il consenso (vedi sopra) -> tuttavia, in tal caso il trattamento può proseguire se sussiste un’altra base giuridica che lo consenta;
3) è stata esperita con successo l’opposizione al trattamento (vedi sopra);
4) il trattamento era iniziato (o è proseguito) illegittimamente;
5) esiste qualche altro obbligo di legge alla cancellazione;
6) è un trattamento di dati di un minorenne iniziato per offrirgli direttamente “servizi della società dell’informazione” (cioè essenzialmente quelli di commercio elettronico o altri elettronici a pagamento).
– Esclusioni –
Il diritto non può essere esercitato se il trattamento è necessario:
1) per l’esercizio del diritto di cronaca e alla libertà d’espressione ->In tal caso, bisogna operare una valutazione comparativa secondo i canoni già individuati da dottrina, Garanti e giurisprudenza. Basti qui dire che di norma il diritto a fornire la notizia prevale sul diritto a non vedersi menzionare se la notizia rispetta, oltre a specifici divieti di legge e deontologici, i criteri della veridicità (almeno alla luce delle fonti credibili), rilevanza (ad es.: ai lettori interessa sapere se un sindaco si fa corrompere, non se uno sconosciuto qualunque ha particolari orientamenti sessuali) e continenza (cioè toni e modalità rispettosi);
2) per adempiere specifico obbligo di legge o compito nell’interesse pubblico o nell’esercizio di pubblici poteri (ad es.: la legge disciplina tempi e modi in cui i precedenti restano nel casellario giudiziale, cioè la c.d. fedina penale); ivi compresi espressamente motivi di sanità pubblica;
3) per fini di archiviazione nel pubblico interesse o statistici o di ricerca scientifica/storica;
4) per motivi giudiziari.
– Esercizio ed effetti –
Il diritto va esercitato nei confronti del titolare (unico tenuto, pur potendo delegare operazioni materiali). Come sempre, va garantita la gratuità (eccettuato il ragionevole contributo per richieste eccessive) e si tratta di diritto inderogabile (ma è legittimo il rifiuto in caso di abuso). Al solito vanno rispettati i canoni di chiarezza, adeguatezza e così via nella procedura di esercizio, consentendolo in formato elettronico se il trattamento è iniziato con strumenti elettronici. Vige il consueto breve termine per il riscontro (un mese, salvo casi di proroga), con obbligo di indicare la possibilità di reclamo al Garante o ricorso al Giudice in caso di risposta insoddisfacente.
E’ poi importante chiarire che se possibile il titolare dovrebbe verificare periodicamente se sussistono le condizioni per mantenere i dati e, in caso negativo, procedere automaticamente alla cancellazione. Tuttavia, per non frustrare il diritto alla portabilità, pare necessario informare previamente l’interessato.
L’esercizio del diritto comporta, se ha successo, l’immediata cancellazione dei dati. Inoltre implica l’obbligo per il titolare di comunicare la richiesta di cancellazione a tutti gli altri titolari a cui ha reso accessibili quei dati (ad es.: un intermediario commerciale a tutti i potenziali interessati all’affare cui erano stati comunicati i dati del potenziale acquirente). Tuttavia, tale obbligo vale solo entro i limiti di quanto tecnicamente fattibile, anche alla luce dei potenziali costi.
– Sanzioni –
Non rispettare tale diritto comporta l’irrogazione delle ormai note cospicue sanzioni pecuniarie, perciò occorre prestare attenzione.
DECISIONI BASATE SU TRATTAMENTO AUTOMATIZZATO
– La paura della società delle macchine? –
Vi è infine un ulteriore diritto dell’interessato, illustrabile per quel che qui rileva senza spendere troppe parole. In sostanza il GDPR prescrive il suo diritto a non venir sottoposto a “decisioni” produttive di effetti giuridici che lo riguardino o comunque che incidano “in modo analogo significativamente sulla sua persona” prese unicamente sulla base di un trattamento automatizzato (in primis, ma non solo, la profilazione).
Tale diritto pare incarnare una sorta di timore che venga ad esistenza una società governata dalle macchine e dagli algoritmi, tale da spersonalizzare gli individui trattandoli come numeri. Se non spendo molte parole non è perché il tema non è di interesse, ma perché sarebbe troppo vasto da approfondire. Si pensi a quanti potenziali casi possono venire in rilievo (ad es.: a eventuali software con cui le banche incrociano i dati disponibili su un determinato cliente per trarne un “punteggio” o “indice” di solvibilità, utilizzato quale unico parametro per concedere o non concedere un mutuo). Per questo motivo saranno necessari minuziosi approfondimenti da parte del Legislatore, della giurisprudenza e della dottrina.
– Modalità d’esercizio e caratteristiche –
Le modalità d’esercizio positivo (oltre alle sanzioni in caso di violazione) sono simili a quelle già illustrate con riferimento agli altri diritti (gratuità, termini, procedure chiare, ecc.), ma prima ancora che un diritto si tratta di un divieto. Cioè prima che l’interessato debba chiedere di non essere sottoposto a tali trattamenti esclusivamente automatizzati (magari includendo anche una componente umana nella decisione) è il titolare stesso a non doverli effettuare.
E’ poi l’unico diritto al quale si può derogare consensualmente; inoltre non vale se tali procedure automatizzate sono necessarie per concludere/eseguire un contratto di cui è parte l’interessato o in specifici casi autorizzati dalla legge.
Comunque sia, devono sempre sussistere adeguate tutele per libertà, diritti ed interessi legittimi, anche sotto il profilo procedurale; poi restrizioni particolari riguardano l’ipotesi in cui entrino in gioco dati sensibili. Non sono poi mai possibili tali decisioni automatizzate nei confronti di minori o sulla base dei tipici indici di trattamento discriminatorio (razza, origine etnica, appartenenza sindacale, opinioni politiche, ecc.). Peraltro, quando si proceda alla profilazione è obbligatorio farlo con modelli statistici/matematici “appropriati” e che consentano pronte rettifiche.
– TORNA ALL’INDICE DELLA GUIDA
-> PRECEDENTE CAPITOLO: “PRIVACY N. 4 – Soggetti del trattamento”
-> PROSSIMO CAPITOLO: “PRIVACY N. 6 – (…in arrivo…)
Lascia un commento