I nuovi diritti per gli interessati introdotti dal Regolamento europeo: “portabilità” dei dati e “limitazione” del trattamento

Il nuovo Regolamento generale sulla protezione dei dati (GDPR 679/2016), per quanto concerne il tema dei “diritti” degli interessati al trattamento, presenta diversi elementi di continuità rispetto alla normativa del recente passato (D.Lgs. 196/2003 e Direttiva 95/46/CE); a ben vedere, però, il legislatore europeo ha introdotto nella lunga elencazione (che va dall’art. 15 al 22 del GDPR) nuove prerogative riconosciute agli interessati al trattamento, tenendo in considerazione l’attuale sviluppo delle nuove tecnologie che potenzialmente possono determinare nuovi pericoli e rischi per i diritti e le libertà degli stessi[1].

Ai sensi dell’articolo 15 del GDPR, infatti, l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, se è in corso tale trattamento, l’accesso ai dati e alle seguenti informazioni:

finalità del trattamento;
categorie di dati personali in questione;
destinatari o le categorie di destinatari a cui i dati personali sono o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali (compreso il diritto di essere informato circa l’esistenza di garanzie adeguate relative al trasferimento);
quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare questo periodo (diritto dal quale discende l’obbligo per i titolari del trattamento di dotarsi di adeguate data retention policy o di un “Manuale della Conservazione” utile anche ai fini privacy);
l’esistenza del diritto dell’interessato di chiedere la rettifica, la cancellazione o la limitazione del trattamento dei dati personali che lo riguardano o di al loro trattamento;
il diritto di proporre reclamo a un’Autorità di controllo;
qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
l’esistenza di un processo decisionale automatizzato, compresa l’eventuale attività di profilazione (come da nuova definizione) nei confronti dell’interessato al trattamento.

Tra gli elementi di novità introdotti dal suindicato articolo, meritano poi un approfondimento specifico:

– il diritto di chiedere la limitazione (art. 18 del GDPR) del trattamento;

– il diritto alla portabilità (art. 20 del GDPR) dei dati.

Il diritto alla limitazione è una sorta di sospensione temporanea (ma che può in determinate condizioni diventare anche permanente) del trattamento in corso – con l’unica eccezione consentita alla sola conservazione – che deve essere adottata dal Titolare previa valutazione di una serie di circostanze.

L’effetto principale della limitazione, dunque, consiste nel non sottoporre i dati a ulteriori trattamenti (salvo appunto la sola conservazione): la limitazione, infatti, può essere chiesta al posto della cancellazione (e ciò avviene, ad esempio, in attesa di definire l’esattezza o l’obsolescenza di un dato o per continuare a utilizzare il dato per specifiche finalità, come per quelle giudiziarie) e in sostituzione del blocco del trattamento (come invece previsto nell’attuale disciplina italiana). Dal punto di vista sostanziale, infatti, si tratta di un diritto che va a sostituire la possibilità che prima (con il D.Lgs. 196/2003) è stata concessa all’interessato di bloccare un determinato trattamento di propri dati personali: blocco e limitazione, pertanto sono due diritti sostanzialmente simili e che producono medesimi effetti sull’utilizzo dei dati personali, ma nel caso della limitazione viene meglio specificata la possibilità per il titolare del trattamento di poter almeno conservare i dati in attesa della risoluzione della contestazione a lui mossa da parte dell’interessato o, magari, in attesa di un giudizio da parte dell’Autorità Garante.

Come da definizione contenuta nel GDPR, poi, la limitazione è un “contrassegno dei dati personali memorizzati con l’obiettivo di limitarne il trattamento in futuro” (e, quindi, una sorta di marcatura che li renda distinguibili dagli altri) e tale definizione sarà rilevante soprattutto per coloro che si occupano della programmazione e sviluppo dei sistemi informativi, in quanto by design sarà necessario prevedere una tale funzionalità che permetta di “marcare” i dati personali memorizzati, che possono potenzialmente essere limitati in qualunque momento da parte dell’interessato o dell’Autorità Garante (es. un dato contenuto in un Dossier Sanitario o Fascicolo Sanitario Elettronico potrebbe essere temporaneamente limitato, così come un dato pubblicato su di un sito web potrebbe essere limitato e, quindi, rimosso o reso inaccessibile per evitare rischi in capo all’interessato dovuti alla prosecuzione del trattamento mediante comunicazione o diffusione).

In particolare, l’interessato ha il diritto di ottenere (dal Titolare) la limitazione del trattamento dei dati personali quando:

– contesta l’esattezza dei dati, per il periodo necessario al titolare del trattamento per effettuare le opportune verifiche;

– il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati (chiedendo al suo posto che ne sia limitato l’utilizzo);

– benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, oppure,

– l’interessato si è opposto al trattamento, in attesa della verifica se i motivi legittimi del titolare del trattamento prevalgano su quelli dell’interessato.

Se il trattamento dei dati personali è limitato, non è detto che possano essere più trattati: tali dati, infatti, potranno essere comunque trattati (salvo che per la conservazione) se interviene il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di rilevante interesse pubblico dell’Unione o di uno Stato membro.

Prima che la limitazione sia revocata, inoltre, incombe l’obbligo in capo al Titolare del trattamento di informare l’interessato che l’ha ottenuta.

A bene vedere e come suggerito dallo stesso legislatore europeo nei considerando al Regolamento, dal punto di vista pratico un’alternativa valida alla marcatura del dato c.d. “limitato” potrebbe anche essere la sua migrazione verso un sistema informatico separato, che renda in questo modo inaccessibile l’informazione “a rischio” o contestata e ne preservi contestualmente l’integrità.

A questo punto una riflessione sorge spontanea: forse l’utilizzo di un sistema di conservazione a norma, sul quale migrare i dati sottoposti a “limitazione”, potrebbe essere una buona soluzione per la realizzare quella conformità (e accountability) che il legislatore europeo richiede sul tema (articolo 18 e Considerando 67 del GDPR [2]).

Per diritto alla “portabilità”, si intende invece la facoltà per l’interessato di ricevere – in un formato strutturato, di uso comune e leggibile da dispositivo automatico – i dati personali che lo riguardano forniti a un titolare del trattamento e di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare originario. Ciò, tuttavia, si applica solo nei seguenti e tassativi casi di seguito indicati:

– se il trattamento di dati è basato sul consenso dell’interessato, in ossequio al principio di liceità di cui alla lettera a), paragrafo 1, dell’articolo 6 del GDPR;

– se il trattamento dei dati sensibili (c.d. “categorie particolari di dati”) è avvenuto in base al consenso dell’interessato (come da deroga al generale divieto di trattamento dei dati sensibili di cui lettera b), paragrafo 2, dell’articolo 9 del GDPR);

– se il trattamento è necessario per l’esecuzione di un contratto (articolo 6, paragrafo 1, lettera b);

– se il trattamento viene effettuato con mezzi automatizzati.

La portabilità dei dati si estrinseca anche nell’ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se ovviamente ciò sia tecnicamente fattibile (ciò non vuol dire, come specificato dal Considerando 68, che vi sia un obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento tecnicamente compatibili; però è quantomeno opportuno che gli stessi sviluppino a adottino formati interoperabili che ne consentano la portabilità in determinate circostanze).

Il diritto alla portabilità, poi, non deve pregiudicare l’altro fondamentale diritto per gli interessati relativo alla cancellazione dei loro dati personali (vd. articolo 17 del GDPR) e non deve ledere i diritti e le libertà altrui[3].

Tale diritto, infine, non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

Il diritto alla portabilità, in conclusione, postula che l’interessato conservi il controllo sui propri dati (probabilmente uno dei casi di maggior esercizio di tale diritto riguarderà l’esportazione dei propri dati da un cloud provider ad un altro in un formato compatibile, al fine di evitare situazioni di c.d. “vendor lock-in”) e che possa spostarli senza vincoli o difficoltà di sorta.

Ma, posto che il diritto alla portabilità non si risolve nel semplice spostamento dei dati, essendo finalizzato a garantire anche la conservazione, la disponibilità e l’integrità, è ovvio che anche coloro che in qualità di titolari o responsabili del trattamento utilizzino dei sistemi di conservazione digitale a norma non potranno non preoccuparsi di tenere nella dovuta considerazione questi nuovi diritti posti in capo agli interessati al trattamento e adeguare i propri sistemi informatici alle legittime aspettative degli interessati al trattamento.

[1] Si assiste infatti a un potenziamento dei contenuti obbligatori dell’informativa (con possibilità di ricorrere a icone o forme grafiche di informativa), all’introduzione del diritto a una cancellazione estesa (“oblio”), ma non incondizionata, dei dati personali riferiti all’interessato (soprattutto nel mondo di Internet e dei motori di ricerca) o la definizione di determinate condizioni per la prestazione del consenso, soprattutto in riferimento ai minori in rapporto all’offerta di “servizi della società dell’informazione” (con la definizione di una soglia di età maggiormente tutelata fra i 13 ed i 16 anni, rimessa al legislatore nazionale di ciascuno Stato membro).

[2] Le modalità per limitare il trattamento dei dati personali potrebbero consistere, tra l’altro, nel trasferire temporaneamente i dati selezionati verso un altro sistema di trattamento, nel rendere i dati personali selezionati inaccessibili agli utenti o nel rimuovere temporaneamente i dati pubblicati da un sito web. Negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe in linea di massima essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato (Considerando 67).

[3] Ad esempio, se un titolare dovesse decidere di cancellare un dato senza avvisare di ciò l’interessato, potrebbe ledere il suo diritto a chiedere la portabilità (per tale motivo, una cancellazione deve sempre essere preceduta da una comunicazione all’interessato e la possibilità di esercitare tale diritto deve essere ben specificato nell’informativa).

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

I nuovi diritti per gli interessati introdotti dal Regolamento europeo: “portabilità” dei dati e “limitazione” del trattamento

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA