News & Media

Regolamento UE n. 679/2016 (“GDPR”): cosa possono fare le aziende per garantire tali diritti senza incorrere nelle tanto temute sanzioni? 

L'opinione di Filippo Canu Avvocato e Santina Parrello Avvocato di FTCC Studio Legale Associato

Il tema dei diritti degli interessati garantiti dal nuovo Regolamento UE n. 679/2016 (“GDPR”) in materia di protezione dei dati delle persone fisiche è stato un po’ trascurato dagli operatori destinatari delle nuove disposizioni. Per timore di incorrere in multe salate, le imprese, sempre più sotto stress, si sono infatti concentrate sulla necessità o meno di tenere un registro dei trattamenti, di nominare un DPO o di effettuare una DPIA, e hanno inondato le nostre caselle di posta elettronica di messaggi, invitandoci a prendere visione di informative rimodernate, e a rilasciare nuovamente i consensi (anche quando non serviva affatto).

Cosa possono fare le aziende per garantire tali diritti senza incorrere nelle tanto temute sanzioni? La normativa non è stata infatti pensata o voluta per produrre meri adempimenti formali, ma per salvaguardare i diritti e le libertà fondamentali delle persone attraverso la tutela dei loro dati.

In tale contesto è indispensabile mettere a punto policy aziendali adeguate per garantire l’esercizio dei diritti in questione da parte degli interessati.

Per predisporre buone policy (e va da sé, buone informative), occorre innanzitutto conoscere i diritti di cui stiamo parlando. Essi sono disciplinati dal Capo III del GDPR (artt. 12-23), e sono i seguenti: diritto di informativa, diritto di accesso, diritto di rettifica, diritto di cancellazione (c.d. oblio), diritto di limitazione di trattamento, diritto alla portabilità dei dati, diritto di opposizione, diritto di non essere sottoposto ad un processo decisionale automatizzato (compresa la profilazione).

La nuova normativa privacy amplia la gamma dei diritti spettanti agli interessati rispetto al passato; in particolare:

  1. Riconosce legislativamente un diritto di creazione giurisprudenziale, ossia il diritto all’oblio, prevedendo per i titolari del trattamento l’obbligo di informare gli altri titolari che trattano i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali (cfr. art. 17 GDPR);
  2. Introduce il diritto alla portabilità dei dati, imponendo ai titolari di trasmettere i dati all’interessato richiedente, o a un altro titolare individuato da quest’ultimo, in un “formato strutturato, di uso comune e leggibile da dispositivo automatico” (cfr. art. 20 GDPR);
  3. Amplia il diritto di “blocco” del trattamento, rinominandolo diritto di limitazione, esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento, ma anche quando l’interessato rettifica i dati o si oppone al loro trattamento (cfr. art. 18 GDPR).

In questo quadro, è quanto mai opportuno che i titolari del trattamento adottino misure tecniche ed organizzative per riscontrare (in forma scritta, anche elettronica) nel tempo previsto dal GDPR (1 mese, salvo proroghe motivate) le richieste degli interessati.

Bisogna quindi disciplinare le modalità di esercizio dei diritti, individuando un indirizzo (preferibilmente una email) per la ricezione delle richieste degli interessati e identificando, all’interno della propria compagine aziendale, i soggetti autorizzati ad esaminare le richieste e ad adottare le misure necessarie per ottemperare ad esse, auspicabilmente sotto la sorveglianza del DPO se è stato nominato.

La predisposizione di policy adeguate e idonee a facilitare l’esercizio dei diritti da parte degli interessati conviene sempre: se gli interessati ritengono che il trattamento dei dati che li riguardano non sia legittimo, o la risposta ad un’istanza per l’esercizio dei diritti previsti dal GDPR sia non tempestiva o soddisfacente, potranno rivolgersi al giudice ordinario, o al Garante privacy, per la tutela delle proprie pretese.

Conviene per evitare le tanto temute sanzioni; conviene per scongiurare richieste (e condanne) risarcitorie ancora più temibili, soprattutto sul fronte del danno all’immagine dell’azienda titolare del trattamento.

Conviene allora ribaltare le priorità nell’adeguamento al GDPR, partendo dai diritti e quindi ancora una volta dalle persone.

Filippo Canu Avvocato e Santina Parrello Avvocato dello FTCC Studio Legale Associato saranno i docenti del corso Garantire il Diritto all’Oblio e il Diritto alla Portabilità a Milano 11 e 12 settembre. Il corso si propone dunque di partire da queste priorità, suggerendo agli operatori di settore best practices da adottare per essere compliants con le nuove norme europee.

Filippo Canu

Avvocato

Santina Parrello

Avvocato