QUALI SONO I DIRITTI PRIVACY? BREVE GUIDA PER CONOSCERLI

IN QUALE HOTEL HAI SOGGIORNATO?

“Would you be confortable to sharing with us the the name of the hotel you stayed in last night?”
Trad. “Saresti a tuo agio a condivedere con noi il nome dell’hotel in cui hai soggiornato la notte scorsa?

“If you’ve messaged anybody this week, would you share with us the names of the people you’ve messaged?”
Trad. “Se avessi inviato messaggi a qualcuno questa settimana, condivideresti i loro nomi con noi?”

Il 10 Aprile 2018, il senatore americano Dick Durbin esordisce con una serie di domande incalzanti rivolte al fondatore di Facebook, Mark Zuckerberg, il quale, interrogato dinanzi alla Commissione Affari e Giustizia del Senato americano, dimostra tutto il suo imbarazzo nel rispondere: “……ehmm no!” (qui potete vedere la scena in questione)

La risposta dovrebbe farci riflettere: saremo a nostro agio se scoprissimo che i nostri messaggi, inviati su una qualsiasi piattaforma, sono condivisi con terze parti di cui ignoriamo il nome?
E se scoprissimo che un nostro progetto di lavoro, condiviso in cloud, potrebbe essere visto da occhi indiscreti che, a loro volta, potrebbero trarne un profitto?
Saremo contenti di sapere che alcune app scaricate sul nostro smartphone trasformano quel device in una sorta di microspia?

Anche noi, come cittadini, dobbiamo prendere coscienza dell’utilizzo che alcune società fanno dei nostri dati e comportarci di conseguenza.
Oggi abbiamo in mano uno strumento che è in grado di tutelarci: il GDPR serve anche a questo!

Proteggere i nostri dati, in fondo, altro non significa che tutelare la nostra identità.
Chi non desidera averne il pieno controllo?

1. I DIRITTI PER TUTELARE LA NOSTRA IDENTITÀ

Vediamo, allora, quali sono i diritti che si possono esercitare per tutelare i propri dati personali

I diritti in questione sono elencati dall’art 15 all’art. 22 del Regolamento UE 2016/679 (GDPR).
Per esercitare uno o più diritti è sufficiente presentare un’istanza al titolare del trattamento (Es.: la società-titolare che fornisce il servizio di streaming musicale a cui vi siete abbonati, oppure il professionista-titolare al quale avete affidato un incarico) e la procedura è molto semplice perché non vi è bisogno di alcun tipo di formalità (nel nostro caso, la società di streaming o il professionista avranno certamente una PEC a cui potrà essere indirizzata l’istanza).
Al fine di semplificare ulteriormente la procedura, il Garante italiano ha messo a disposizione un apposito modulo che potete scaricare qui.

L’oggetto dell’istanza attiene al tipo di richiesta che si intende rivolgere al titolare, a seconda del diritto azionato.
Di seguito, l’elenco dei diritti previsti dal GDPR:

  • DIRITTO DI ACCESSO – Art. 15 GDPR.
    Stabilisce il vostro diritto ad ottenere dal titolare “la conferma che sia o meno in corso un trattamento di dati personali” e, in caso di positivo riscontro, di: a) ottenere l’accesso ai dati personali (N.B. l’accesso ai soli dati, non anche l’accesso al contenuto dei documenti che incorporano i dati medesimi); b) oltre a poter richiedere chiarimenti in ordine a:
    le finalità del trattamento: si potrebbero nutrire dubbi circa la veridicità delle finalità dichiarate dal titolare (Es.: il sospetto è che il trattamento sia effettuato per finalità di profilazione, in luogo delle finalità di contratto dichiarate nella informativa rilasciata dal titolare) ovvero i dubbi riguardano eventuali finalità ulteriori e non specificate dal titolare (Es.: l’informativa si limita a specificare finalità di studio e ricerca, ma in realtà il trattamento è effettuato anche per finalità di marketing);
    le categorie dei dati personali (Es.: volete avere la certezza che il titolare non stia raccogliendo ed elaborando dati finanziari o dati sensibili);
    i destinatari o le categorie di destinatari (Es: volete sincerarvi che i vostri dati personali non vengano comunicati a destinatari extra UE, che potrebbero non garantire il livello di sicurezza richiesto dal GDPR);
    il periodo di conservazione dei dati o i criteri utilizzati per determinare tale periodo (Es.: dall’informativa non avete ben compreso se il titolare conserva i vostri dati per il tempo necessario rispetto alla finalità per le quali sono trattati).
    l’origine dei dati, qualora non siano raccolti presso l’interessato ma ottenuti da terzi (Es.: vi chiedete se i dati personali che tratta il titolare siano stati da questi ottenuti in maniera lecita. E’ frequente, purtroppo, il fenomeno della vendita di liste di dati personali da parte di società che non hanno acquisito il previo consenso degli interessati, invero necessario per legittimare una tale condotta).
    l’esistenza di un processo decisionale automatizzato, compresa la profilazione (una gamma sempre più ampia di settori pubblici e privati – dalle banche alla sanità, dal fisco alle assicurazioni, dalla pubblicità al marketing – si avvalgono di sistemi automatizzati o di profilazione. Es.: prima di concedere un mutuo, la banca Alfa utilizza un processo interamente automatizzato per assegnare un punteggio sull’affidabilità creditizia. Il correntista, dopo l’esito negativo del processo cui è seguita la mancata concessione del mutuo, chiede chiarimenti sulla logica dell’algoritmo che ha condizionato la decisione della banca stessa).
  • DIRITTO DI RETTIFICA – art. 16 GDPR.
    L’interesse ad avanzare questo tipo di istanza può sorgere nel caso in cui i dati personali che il titolare tratta sono inesatti o incompleti (Es.: l’interessato richiede al titolare di aggiornare il proprio Cv, dopo il conseguimento di un master).
  • DIRITTO ALLA CANCELLAZIONE – art. 17 GDPR.
    Ne abbiamo già parlato in modo approfondito in un altro contributo (leggete qui). La relativa istanza va motivata sulla base di uno dei motivi indicati dall’art 17 GDPR (Es: l’interessato revoca il consenso alla finalità di marketing che aveva precedentemente prestato; oppure i dati personali sono stati trattati in maniera illecita e per questo ne richiede la cancellazione). 
Tuttavia, vi sono altri casi, espressamente indicati dal legislatore, rispetto ai quali è legittimo il diniego del titolare. Tra le altre, l’ipotesi in cui il trattamento sia necessario per l’esercizio del diritto alla libertà di espressione e di informazione o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
  • DIRITTO DI LIMITAZIONE – art. 18 GDPR.
    Per esercitare tale diritto deve ricorrere una fra le quattro ipotesi previste dal Regolamento Europeo (Es.: un tipo di limitazione del trattamento, su richiesta dell’interessato, può consistere nella rimozione temporanea di dati pubblicati dal titolare sul proprio sito web).
  • DIRITTO ALLA PORTABILITÀ DEI DATI – art. 20 GDPR.
    Rappresenta una delle maggiori novità del Regolamento. Ne abbiamo parlato in maniera approfondita qui. In breve, con l’introduzione di questo diritto si vuole facilitare la trasmigrazione di dati personali da un fornitore di servizi ad un altro (Es.:. il passaggio di dati personali da un servizio di streaming musicale ad un altro. In tal caso, il diritto in questione potrebbe tornarvi utile se volete conservare le playlist che avete creato con il precedente gestore, il quale, a seguito della vostra istanza, avrà il compito di comunicarne il contenuto al nuovo titolare).
  • DIRITTO DI OPPOSIZIONE – art. 21 GDPR.
    Di esso, solitimante, ci si avvale in corrispondenza di attività di marketing effettuate dal titolare. (Es.: chi è destinatario di messaggi promozionali può rivolgere un’esplicita richiesta al mittente del messaggio, opponendosi a quel tipo di trattamento anche se effettuato in maniera legittima (ovverosia anche là dove sia fondato su idonea base giuridica). Il Titolare, dovrà quindi astenersi dal trattare ulteriormente i dati personali, salvo che egli sia in grado di provare l’esistenza di motivi legittimi, tali da prevalere su quelli dell’interessato, o dimostri che il trattamento, oggetto di opposizione, è necessario per ragioni di tutela giudiziale.

2. LA RISPOSTA DEL TITOLARE: TERMINI E MODALITÀ.

All’istanza il titolare deve fornire idoneo riscontro entro 1 mese dal suo ricevimento; questo termine può essere prorogato di 2 mesi, qualora si renda necessario in ragione della complessità o della mole di richieste pervenute. 
In tal caso, il titolare deve comunque darne comunicazione all’interessato entro 1 mese dal ricevimento della richiesta.

Se, infine la risposta non perviene nei tempi indicati, o se questa non è soddisfacente o, ancora, non è conforme alle disposizioni di legge, l’interessato può rivolgersi all’autorità giudiziaria o al Garante per la protezione dei dati personali, in quest’ultimo caso mediante un reclamo ai sensi dell’articolo art. 77 del Regolamento (UE) 2016/679, la cui presentazione è del tutto gratuita.