L’esercizio dei diritti degli interessati rappresenta un elemento cruciale per garantire la tutela della privacy e il rispetto dei dati personali. Le organizzazioni devono essere pronte a rispondere alle richieste degli interessati in modo tempestivo e conforme alle normative, promuovendo trasparenza e costruendo con loro una relazione di fiducia.

La gestione efficace delle richieste non solo assicura la conformità al GDPR, ma rappresenta anche un impegno concreto verso la protezione dei diritti e della privacy degli individui. È essenziale che le organizzazioni informino chiaramente gli interessati sui loro diritti e su come possono esercitarli.

Le informazioni devono essere fornite in modo chiaro, comprensibile e accessibile, come stabilito dall’Articolo 12 del GDPR. Questo principio di trasparenza non solo facilita l’esercizio dei diritti da parte degli interessati, ma rafforza anche la fiducia nelle pratiche di gestione dei dati dell’organizzazione.

Le organizzazioni devono rispondere alle richieste degli interessati senza ingiustificato ritardo e comunque entro un mese dal ricevimento della richiesta. Questo termine può essere prorogato di ulteriori due mesi in caso di richieste particolarmente complesse, ma l’interessato deve essere informato entro il primo mese. È fondamentale che le risposte fornite siano complete e accurate, includendo tutte le informazioni richieste. La risposta deve comprendere i dati personali trattati e le informazioni pertinenti sul trattamento, come le finalità, le categorie di dati trattati, i destinatari e il periodo di conservazione previsto.

Mantenere un registro dettagliato delle richieste e delle risposte non solo facilita la gestione interna, ma è anche una buona pratica per dimostrare la conformità alle normative. Questo registro dovrebbe includere la data di ricezione della richiesta, l’identità dell’interessato, la descrizione della richiesta, le azioni intraprese e la data e modalità della risposta.

Il Regolamento Generale sulla Protezione dei Dati o GDPR

Il Regolamento Generale sulla Protezione dei Dati (GDPR) costituisce una svolta significativa nel rendere sempre più strategica la tutela dei dati personali dei cittadini dell’Unione Europea

Il principale obiettivo del GDPR è assicurare che le persone mantengano il controllo sui propri dati personali, salvaguardando così la loro privacy e i diritti fondamentali. Questo regolamento stabilisce una serie di diritti per gli interessati, ovvero le persone fisiche cui i dati personali si riferiscono, per garantire un trattamento equo e trasparente dei dati personali. Questi diritti includono:

  1. Diritto di accesso (Art. 15 GDPR): questo diritto consente agli individui di ottenere conferma dell’esistenza di un trattamento che li riguarda e, in tal caso, di accedere a tali dati e ricevere informazioni dettagliate sul trattamento. Gli individui hanno il diritto di sapere se i loro dati personali sono trattati e, in caso affermativo, di ricevere una copia di questi dati. Questo diritto include anche informazioni sulle finalità del trattamento, le categorie di dati personali trattati, i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, il periodo di conservazione previsto o i criteri utilizzati per determinarlo, l’esistenza del diritto di richiedere la rettifica o la cancellazione dei dati personali, la limitazione del trattamento dei dati personali o di opporsi a tale trattamento, il diritto di presentare reclamo a un’autorità di controllo, l’origine dei dati personali e l’esistenza di un processo decisionale automatizzato, inclusa la profilazione, con informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
  • Diritto di rettifica (Art. 16 GDPR): consente agli interessati di richiedere la correzione di dati personali inesatti o di completarli se sono incompleti. Questo diritto garantisce che le informazioni conservate siano accurate e aggiornate. Ad esempio, se un individuo rileva che il suo indirizzo o numero di telefono è errato o incompleto, può richiedere al titolare del trattamento di rettificare tali dati. Inoltre, il titolare del trattamento deve informare l’interessato senza ingiustificato ritardo dell’avvenuta rettifica
  • Diritto alla cancellazione (Art. 17 GDPR): conosciuto anche come “diritto all’oblio” permette agli individui di ottenere la cancellazione dei propri dati personali in determinate circostanze. Questo diritto può essere esercitato quando i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati, se l’interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per il trattamento, se l’interessato si oppone al trattamento e non sussistono motivi legittimi prevalenti per procedere al trattamento, se i dati personali sono stati trattati illecitamente, se i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento oppure se i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione a minori
  • Diritto alla limitazione del trattamento (Art. 18 GDPR): consente agli interessati di limitare il trattamento dei loro dati personali in determinati casi. Questo diritto può essere esercitato quando l’interessato contesta l’accuratezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’accuratezza di tali dati; se il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’uso; se il titolare del trattamento non ha più bisogno dei dati personali ai fini del trattamento, ma essi sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria; o se l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato
  • Diritto alla portabilità dei dati (Art. 20 GDPR): permette agli individui di ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento senza impedimenti. Questo diritto si applica solo ai dati personali che l’interessato ha fornito a un titolare del trattamento, quando il trattamento si basa sul consenso o su un contratto e viene effettuato con mezzi automatizzati. L’esercizio di questo diritto non deve pregiudicare i diritti e le libertà altrui
  • Diritto di opposizione (Art. 21 GDPR): consente agli interessati di opporsi al trattamento dei propri dati personali in qualsiasi momento, per motivi legati alla loro situazione particolare, quando il trattamento si basa sull’articolo 6, paragrafo 1, lettere “e)” (trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri) o “f)” (trattamento necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi). Se i dati personali sono trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento e senza dover fornire motivazioni. Inoltre, l’interessato può opporsi al trattamento basato su interessi legittimi del titolare, compresa la profilazione, salvo che il titolare dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, i diritti e le libertà dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Modalità di esercizio dei diritti ai sensi del GDPR

L’esercizio dei diritti degli interessati – come delineato dal Regolamento Generale sulla Protezione dei Dati (GDPR) – richiede una procedura specifica e formalizzata, riassumibile in una serie di passaggi chiave:

  1. Identificazione dell’interessato

Il primo passo per l’esercizio dei diritti da parte degli interessati consiste nella loro identificazione. È fondamentale che gli individui forniscano informazioni sufficienti, che possono includere:

  • Nome e cognome;
  • Indirizzo;
  • Dettagli di contatto quali numero di telefono o indirizzo e-mail;
  • Eventuali altre informazioni rilevanti richieste dal titolare del trattamento per confermare l’identità, nel rispetto del principio di minimizzazione dei dati.
  • Presentazione della richiesta

L’interessato deve presentare una richiesta scritta al titolare del trattamento, specificando chiaramente il diritto che intende esercitare. Tale richiesta dovrebbe:

  • Essere chiara e contenere tutti i dettagli necessari per facilitare il processo, sebbene non vi siano requisiti formali rigidi per la presentazione della richiesta stessa;
  • Utilizzare i canali di comunicazione forniti dal titolare del trattamento, quali moduli online, indirizzi e-mail specifici o portali self-service, se disponibili;
  • In assenza di specifiche indicazioni, qualsiasi forma di comunicazione che permetta di documentare la richiesta può essere accettata, come e-mail o posta tradizionale.
  • Risposta del titolare del trattamento

Il titolare del trattamento è obbligato a rispondere alla richiesta entro 30 giorni dal suo ricevimento. Tuttavia, questo termine può essere prorogato di ulteriori 60 giorni in situazioni di particolare complessità o in caso di numerose richieste da gestire. In tali circostanze, il titolare deve informare l’interessato della proroga e dei motivi del ritardo entro un mese dal ricevimento della richiesta. La risposta deve essere fornita in maniera concisa, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice. Se la richiesta è presentata tramite mezzi elettronici, le informazioni devono essere fornite in un formato elettronico di uso comune. Nel caso in cui il titolare del trattamento non intenda soddisfare la richiesta, è tenuto a fornire una giustificazione dettagliata e a informare l’interessato del diritto di proporre reclamo a un’autorità di controllo e di ricorrere a mezzi giurisdizionali.

Gli Obblighi del titolare del trattamento ai sensi del GDPR

Il GDPR impone una serie di obblighi ai titolari del trattamento dei dati personali per garantire la tutela dei diritti degli interessati. Questi obblighi sono fondamentali per assicurare trasparenza, correttezza e legittimità nel trattamento dei dati personali. Il principio di trasparenza richiede che le informazioni fornite agli interessati siano facilmente accessibili e comprensibili. L’articolo 12 del GDPR stabilisce che le informazioni debbano essere comunicate con un linguaggio chiaro e semplice, in modo da facilitare la comprensione da parte di tutti gli interessati, indipendentemente dal loro livello di conoscenza tecnica. Le informazioni devono includere dettagli sui diritti degli interessati, le modalità per esercitarli, e informazioni sul trattamento dei dati personali. Quando un interessato eserciti il diritto di accesso ai sensi dell’articolo 15 o il diritto di rettifica ai sensi dell’articolo 16, il titolare del trattamento deve essere pronto a fornire una copia dei dati personali e ad apportare le correzioni necessarie. Questo implica che il titolare debba mantenere i dati aggiornati e corretti, garantendo che le informazioni possano essere prontamente rettificate su richiesta. Ai sensi degli articoli 17 e 18 del GDPR, il titolare del trattamento deve rispettare le richieste di cancellazione o di limitazione del trattamento dei dati personali, salvo che vi siano basi legali legittime per continuare il trattamento. Questo include la cancellazione dei dati non più necessari rispetto alle finalità per le quali sono stati raccolti e la limitazione del trattamento in caso di contestazione sull’accuratezza dei dati. Il diritto alla portabilità dei dati, sancito dall’articolo 20, consente agli interessati di ricevere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico, e di trasmetterli a un altro titolare del trattamento senza impedimenti. Il titolare del trattamento deve facilitare questo processo garantendo che i dati siano forniti nel formato richiesto.

Il registro delle richieste degli interessati ai sensi del GDPR

La gestione efficiente delle richieste degli interessati rappresenta un elemento cruciale per garantire la conformità alle disposizioni del GDPR. A tal fine, è consigliabile per i titolari del trattamento mantenere un registro dettagliato delle richieste e delle relative risposte.

Il registro deve avere i seguenti contenuti:

  1. Data di Ricezione della Richiesta: Registrare la data in cui la richiesta è stata ricevuta è essenziale per rispettare i termini di risposta previsti dal GDPR. Secondo l’articolo 12, paragrafo 3 del GDPR, il titolare del trattamento deve fornire informazioni sull’azione intrapresa riguardo alla richiesta senza ingiustificato ritardo e, in ogni caso, entro un mese al ricevimento della richiesta
  2. Identità dell’Interessato: È fondamentale annotare accuratamente l’identità dell’individuo che ha presentato la richiesta per verificarne l’autenticità. Questo passaggio è cruciale per prevenire accessi non autorizzati ai dati personali e garantire la sicurezza dei dati
  3. Descrizione della Richiesta: Fornire una descrizione completa della richiesta è necessario per adottare le azioni appropriate. Questa descrizione dovrebbe includere il tipo di diritto che l’interessato intende esercitare (ad esempio, diritto di accesso, rettifica, cancellazione, limitazione, portabilità o opposizione)
  4. Azioni Intraprese: È essenziale documentare le azioni specifiche intraprese per rispondere alla richiesta, come la fornitura di dati, l’apporto di modifiche o altre misure adottate. Questo garantisce la tracciabilità e la trasparenza del processo di gestione delle richieste
  5. Data e Modalità della Risposta: Registrare la data e il metodo di comunicazione utilizzato per rispondere all’interessato è fondamentale per dimostrare la conformità ai requisiti temporali del GDPR. La risposta deve essere fornita in forma concisa, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

Quanto sei in regola con la normativa sulla privacy?

Compila il test

Taggato come: