Trascorsi ormai cinque anni dalla piena applicazione del GDPR, il Garante privacy ha voluto pubblicare una nuova edizione della "Guida all'applicazione del Regolamento europeo in materia di protezione dei dati personali".
Dalla liceità del trattamento all'informativa, passando per i diritti degli interessati e molto altro ancora. La guida rappresenta uno strumento pratico per piccole e medie imprese e soggetti pubblici, che vogliono avere una panoramica dei principali aspetti da considerare per l’attuazione del GDPR.
In questo articolo, in particolare, ci soffermiamo su:
- fondamenti di liceità del trattamento;
- contenuti, tempi e modalità dell'informativa;
- diritti degli interessati.
Applicazione del GDPR: liceità del trattamento e consenso dell’interessato
Ogni trattamento di dati personali deve trovare fondamento in una base giuridica idonea. Nello specifico, come indicato all'articolo 6 del GDPR, i fondamenti di liceità del trattamento sono:
- consenso dell'interessato;
- adempimento di obblighi contrattuali;
- obblighi di legge cui è soggetto il titolare;
- salvaguardia degli interessi vitali della persona interessata o di terzi;
- interesse pubblico o esercizio di pubblici poteri da parte del titolare;
- interesse legittimo prevalente del titolare o di terzi cui i dati vengono comunicati.
Sul tema del consenso, è fondamentale ricordare che esso deve sempre essere libero, specifico, informato e inequivocabile (manifestato attraverso "dichiarazione o azione positiva inequivocabile"). Questo significa che non sono ammessi il consenso tacito o presunto.
Inoltre, non dev’essere per forza documentato per iscritto, sebbene tale modalità sia idonea a configurare l’inequivocabilità del consenso (e il suo essere "esplicito" nel caso dei dati personali). L'importante è che il titolare sia in grado di dimostrare che l'interessato abbia prestato il consenso a uno specifico trattamento.
In Italia, il consenso dei minori è valido a partire dai 14 anni. Prima di tale età, invece, andrà raccolto il consenso dei genitori o di chi ne fa le veci.
Informativa privacy: contenuti, tempi e modalità
Altra sezione presente nella guida all'applicazione del GDPR riguarda l'informativa privacy. Nello specifico, i contenuti che essa deve prevedere in modo tassativo sono indicati agli articoli 13 (par.1) e 14 (par.1) del Regolamento.
L'informativa, per legge, deve quindi riportare sempre:
- dati di contatto del titolare e del suo rappresentante (se esistente);
- dati del Responsabile della protezione dei dati (RPD), ove esistente;
- finalità e base giuridica del trattamento;
- legittimo interesse (se costituisce la base giuridica del trattamento);
- eventuali destinatari o categorie di destinatati;
- se trasferisce i dati personali in Paesi terzi e, in caso, attraverso quali strumenti ciò avvenga.
Il Regolamento, inoltre, prevede che il titolare debba specificare anche ulteriori informazioni, in quanto "necessarie per garantire un trattamento corretto e trasparente". Ad esempio, il periodo di conservazione dei dati, la possibilità di revocare il consenso in ogni momento, l'esistenza dei diritti dell'interessato in materia di dati personali, il diritto a presentare reclamo.
Per quanto riguarda i tempi dell'informativa, essa va fornita:
- prima di effettuare la raccolta dei dati (se raccolti direttamente presso l'interessato);
- oppure entro un termine ragionevole - che non può superare un mese dalla raccolta - o al momento della comunicazione dei dati (se non raccolti direttamente presso l'interessato).
L'informativa dev'essere concisa, trasparente, intelligibile per l'interessato e facilmente accessibile, utilizzando un linguaggio chiaro e semplice. In linea di principio, essa va fornita per iscritto e preferibilmente in formato elettronico (specie per i servizi online), sebbene siano ammessi anche "altri mezzi" (es. oralmente, ma nel rispetto di quanto visto sopra).
GDPR: i diritti degli interessati
Nella guida all'applicazione del GDPR, un’altra sezione è dedicata ai principali diritti degli interessati. Prima di vederli nel dettaglio, va ricordato che il termine per la risposta per tutti i diritti è di un mese (estendibile a tre, nei casi più complessi).
Anche in caso di diniego, il titolare deve comunque dare un riscontro all'interessato entro un mese dalla richiesta. La risposta deve avvenire in forma scritta (oppure oralmente, se richiesto dall'interessato) ed essere intelligibile, concisa, trasparente e facilmente accessibile, usando un linguaggio chiaro e semplice.
Ecco, di seguito, i diritti degli interessati.
Diritto di accesso - articolo 15
Prevede in ogni caso il diritto di ricevere copia dei dati personali oggetto di trattamento. Tra le informazioni che il titolare deve fornire, occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, oltre alle garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.
Tra le informazioni da dare non rientrano, invece, le modalità del trattamento.
Diritto di cancellazione (o diritto all'oblio) - articolo 17
Il diritto all’oblio prevede l'obbligo per i titolari che hanno reso pubblici i dati personali dell'interessato (ad esempio pubblicandoli su un sito web), di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati.
L'interessato ha diritto a richiedere la cancellazione dei dati anche dopo la revoca del consenso del trattamento.
Diritto di limitazione del trattamento - articolo 18
Si tratta del diritto di limitare (bloccare) il trattamento, esercitabile non solo in caso di violazione dei presupposti di liceità, ma anche qualora l'interessato chieda la rettifica dei dati o si opponga al loro trattamento.
Esclusa la conservazione, ogni trattamento dei dati di cui si chiede la limitazione è quindi vietato, a meno che non ricorrano particolari circostanze (es. consenso dell'interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).
Diritto alla portabilità dei dati - articolo 20
Il diritto alla portabilità dei dati è tra quelli nuovi previsti dal Regolamento, e non si applica ai trattamenti non automatizzati (es. archivi o registri cartacei). Si definiscono "portabili" i dati:
- trattati con il consenso dell'interessato o sulla base di un contratto stipulato con esso;
- forniti dall'interessato al titolare (si veda il considerando 68 per maggiori dettagli).
Il titolare dev’essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall'interessato, se tecnicamente possibile.
Tra i temi affrontati nella guida all'applicazione del GDPR si parla anche di titolare, responsabile e incaricato del trattamento, approccio basato sul rischio e misure di accountability, trasferimenti di dati verso Paesi terzi e organismi internazionali. Qui trovi un approfondimento sul Responsabile della protezione dei dati, mentre al seguente link puoi consultare la guida completa fornita dal Garante.
Vuoi essere certo di applicare correttamente quanto previsto dal GDPR e tutelare la tua azienda? Contattaci senza impegno per richiedere la consulenza di un nostro esperto.
 |
Scritto da: Chiara Merci Consulente e formatrice esperta in igiene alimentare, sistemi di gestione e privacy, cantante e amante di musica e viaggi. |