Il titolare del trattamento adotta misure appropriate per fornire all’interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori. Le informazioni sono fornite per iscritto o con altri mezzi, anche, se del caso, con mezzi elettronici. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato.
Oggi ti mostrerò come adempiere all’esercizio dei diritti in materia di protezione dei dati personali (artt. 15-22 del Regolamento (UE) 2016/679). Iniziamo col capire quali sono i diritti degli interessati e quali gli obblighi cui il Titolare del Trattamento deve adempiere.
Il titolare del trattamento deve agevolare l´esercizio dei diritti da parte dell´interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti (artt. 15-22), il responsabile è tenuto a collaborare con il titolare ai fini dell´esercizio dei diritti degli interessati (art. 28, paragrafo 3, lettera e) ).
L´esercizio dei diritti è, in linea di principio, gratuito per l´interessato, ma possono esservi eccezioni (si veda il paragrafo “Cosa cambia”). Il titolare ha il diritto di chiedere informazioni necessarie a identificare l´interessato, e quest´ultimo ha il dovere di fornirle, secondo modalità idonee (si vedano, in particolare, art. 11, paragrafo 2 e art. 12, paragrafo 6).
Sono ammesse deroghe ai diritti riconosciuti dal regolamento, ma solo sul fondamento di disposizioni normative nazionali, ai sensi dell´articolo 23 nonché di altri articoli relativi ad ambiti specifici (si vedano, in particolare, art. 17, paragrafo 3, per quanto riguarda il diritto alla cancellazione/”oblio”, art. 83 – trattamenti di natura giornalistica e art. 89 – trattamenti per finalità di ricerca scientifica o storica o di statistica).
E´ opportuno che i titolari di trattamento adottino le misure tecniche e organizzative eventualmente necessarie per favorire l´esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che – a differenza di quanto attualmente previsto – dovrà avere per impostazione predefinita forma scritta (anche elettronica). Potranno risultare utili le indicazioni fornite dal Garante nel corso degli anni con riguardo all´intelligibilità del riscontro fornito agli interessati e alla completezza del riscontro stesso [si vedano varie decisioni relative a ricorsi contenute nel Bollettino dell´Autorità pubblicato qui:https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/766652, e più recentemente, fra molti, https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1449401 in materia di dati sanitari, ovverohttps://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1290018 in materia di dati telematici].
Quanto alla definizione eventuale di un contributo spese da parte degli interessati, che il regolamento rimette al titolare del trattamento, l´Autorità intende valutare l´opportunità di definire linee-guida specifiche (anche sul fondamento delle determinazioni assunte sul punto nel corso degli anni: si veda in particolare la Deliberazione n. 14 del 23 dicembre 2004), di concerto con le altre autorità Ue, alla luce di quanto prevede l´Art. 70 del regolamento con riguardo ai compiti del Board.
Diritto di accesso (art. 15)
- Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento.
- Fra le informazioni che il titolare deve fornirenon rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.
Oltre al rispetto delle prescrizioni relative alla modalità di esercizio di questo e degli altri diritti (si veda “Modalità per l´esercizio dei diritti”), i titolari possono consentire agli interessati di consultare direttamente, da remoto e in modo sicuro, i propri dati personali (si veda considerando 68).
Diritto di cancellazione (diritto all´oblio) (art.17)
- Il diritto cosiddetto “all´oblio” si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l´obbligo per i titolari (se hanno “reso pubblici” i dati personali dell´interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” .
- Ha un campo di applicazione più esteso di quello di cui all´art. 7, comma 3, lettera b), del Codice, poiché l´interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento.
Diritto di limitazione del trattamento (art. 18)
- Si tratta di un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all´art. 7, comma 3, lettera a), del Codice: in particolare, è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì anche se l´interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell´art. 21 del regolamento (in attesa della valutazione da parte del titolare).
- Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell´interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).
Il diritto alla limitazione prevede che il dato personale sia “contrassegnato” in attesa di determinazioni ulteriori; pertanto, è opportuno che i titolari prevedano nei propri sistemi informativi (elettronici o meno) misure idonee a tale scopo.
Diritto alla portabilità dei dati (art. 20)
- Si tratta di uno dei nuovi diritti previsti dal regolamento, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico).
- Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dell´interessato o sulla base di un contratto stipulato con l´interessato (quindi non si applica ai dati il cui trattamento si fonda sull´interesse pubblico o sull´interesse legittimo del titolare, per esempio), e solo i dati che siano stati “forniti” dall´interessato al titolare (si veda il considerando 68 per maggiori dettagli).
- Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall´interessato, se tecnicamente possibile.
Il Gruppo “Articolo 29” ha pubblicato recentemente linee-guida specifiche dove sono illustrati e spiegati i requisiti e le caratteristiche del diritto alla portabilità con particolare riguardo ai diritti di terzi interessati i cui dati siano potenzialmente compresi fra quelli “relativi all´interessato” di cui quest´ultimo chiede la portabilità (versione italiana con le relative FAQ disponibile qui:www.garanteprivacy.it/regolamentoue/portabilita).
Al riguardo, si ricordano i numerosi provvedimenti con cui l´Autorità ha indicato criteri per il bilanciamento fra i diritti e le libertà fondamentali di terzi e quelli degli interessati esercitanti i diritti di cui all´art. 7 del Codice (si vedano, fra molti,https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3251012 e, con riguardo all´attività bancaria in generale,https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1457247).
Poiché la trasmissione dei dati da un titolare all´altro prevede che si utilizzino formati interoperabili, i titolari che ricadono nel campo di applicazione di questo diritto dovrebbero adottare sin da ora le misure necessarie a produrre i dati richiesti in un formato interoperabile secondo le indicazioni fornite nel considerando 68 e nelle linee-guida del Gruppo “Articolo 29”.
I modelli che troverai di seguito, sono quelli che puoi scaricare anche sul sito dell’Autorità Garante.
MODELLO PER L’ESERCIZIO DEI DIRITTI IN MATERIA DI PROTEZIONE DEI DATI PERSONALI | |||
 | MODELLO esercizio diritti in materia di protezione dei dati personali (.docx) | ||
 | MODELLO esercizio diritti in materia di protezione dei dati personali (.pdf) | ||
| ATTENZIONE: il modello, debitamente compilato, va indirizzato al titolare del trattamento dei dati personali (azienda, sito, pubblica amministrazione, banca, etc.), anche per il tramite del Responsabile della Protezione dei Dati (RPD), ove designato dal titolare | |||
RECLAMO | |||
Il reclamo è lo strumento che consente all’interessato di rivolgersi al Garante per la protezione dei dati personali per lamentare una violazione della disciplina in materia di protezione dei dati personali (art. 77 del Regolamento (Ue) 2016/679 e artt. da 140-bis a 143 del Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento) e di richiedere una verifica dell‘Autorità. Il reclamo può essere sottoscritto direttamente dall’interessato oppure, per suo conto, da un avvocato, un procuratore, un organismo, un’organizzazione o un’associazione senza scopo di lucro. In tali casi, è necessario conferire una procura da depositarsi presso il Garante assieme a tutta la documentazione utile ai fini della valutazione del reclamo presentato. Il reclamante potrà far pervenire l’atto utilizzando la modalità ritenuta più opportuna, consegnandolo a mano presso gli uffici del Garante (all’indirizzo di seguito indicato) o mediante l’inoltro di: a) raccomandata A/R indirizzata a: Garante per la protezione dei dati personali, Piazza Venezia, 11 – 00187 Roma b) messaggio di posta elettronica certificata indirizzata a: protocollo@pec.gpdp.it In sede di prima applicazione, il reclamo e l’eventuale procura dovranno essere sottoscritti con firma autenticata, ovvero con firma digitale, ovvero con firma autografa (in tale ultimo caso, al reclamo dovrà essere allegata copia di un documento di riconoscimento dell’interessato/a in corso di validità). | |||
| Modello di reclamo (.docx) | ||
| Modello di reclamo (.pdf) | ||
TELEFONATE INDESIDERATE | |||
| Pagina informativa sito Autorità Garante | |||
| Modello per la segnalazione al Garante della ricezione di telefonate pubblicitarie nonostante l’iscrizione nel Registro delle opposizioni | ||
| Modello per la segnalazione al Garante della ricezione di telefonate pubblicitarie indesiderate – Per utenze riservate | ||
LOCALIZZAZIONE IN PAESI TERZI DELL’ATTIVITA’ DI CALL CENTER | |||
| Nota informativa sito Autorità Garante (Nuove disposizioni normative concernenti le attività di call center) | |||
| Comunicazione ai sensi dell’art. 24-bis, comma 2, lett. c), del decreto legge 22 giugno 2012, n. 83, convertito con modificazioni dalla legge 7 agosto 2012, n. 134, come modificato dall’art. 1, comma 243, della legge 11 dicembre 2016, n. 232 (cd. legge di bilancio) | |||
| Scarica il modello | ||
Fonte www.garanteprivacy.it
