Giustizia
Conoscere la privacy: La limitazione del trattamento ed il diritto d’opposizione
Il diritto di limitazione del trattamento è stato introdotto ex novo dal GDPR.
Tale diritto presenta, caratteri innovativi e più ampi rispetto a quelli già delineati dalle regole in materia, come può emergere dal confronto con l’art. 7, comma 3 del Codice Privacy, che non conteneva alcun riferimento alla “limitazione”.
Secondo tale articolo, infatti: “L’interessato ha diritto di ottenere:
- a) l’aggiornamento, la rettificazione ovvero, quando vi ha interesse, l’integrazione dei dati;
- b) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
- c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato”.
La nuova norma riconosce all’interessato di pretendere una limitazione dell’uso che il titolare fa dei propri dati.
Una simile richiesta, peraltro, trova fondamento al ricorrere di determinate condizioni che l’art. 18 elenca specificamente:
- qualora l’interessato contesti l’esattezza dei dati personali, per il periodo necessario al fine di verificarne l’esattezza (ovvero il trattamento è “congelato” nel tempo tecnico richiesto per verificare se i dati siano esatti o meno, dopodiché si agirà di conseguenza, correggendo o integrando i dati);
- quando il trattamento dei dati sia illecito e l’interessato si opponga alla loro cancellazione, preferendo che ne sia disposta una limitazione d’utilizzo;
- quando il titolare non abbia più bisogno di conservare i dati ai fini del trattamento, ma essi sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
- infine, quando l’interessato si sia opposto al trattamento nell’attesa delle necessarie verifiche sulla prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
Come si evince dal termine stesso, in queste ipotesi i dati non vengono cancellati, ma ne viene ridotto l’utilizzo consentito da parte del titolare. In linea di massima, quindi, i dati potranno essere trattati solo ai fini della loro conservazione, a meno che vi sia il consenso dell’interessato o il trattamento sia necessario per l’esercizio o la difesa di un diritto in sede giudiziaria, per la tutela dei diritti di un’altra persona o per ragioni di interesse pubblico rilevante.
La limitazione potrà essere in seguito revocata e in questo caso, prima che ciò avvenga, il titolare del trattamento dovrà informare specificamente l’interessato.
Per quanto riguarda le modalità per limitare il trattamento dei dati, tra le possibili soluzioni suggerite ai titolari vi è il trasferimento temporaneo dei dati selezionati verso un altro sistema di trattamento, oppure la rimozione provvisoria dei dati pubblicati da un sito web o l’inaccessibilità per gli utenti.
Il Considerando 67 precisa, in particolare, che “negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe in linea di massima essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato”.
Il GDPR sancisce, all’art. 21, il diritto dell’interessato ad opporsi, in qualsiasi momento, per motivi connessi ad una sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni.
L’esercizio del diritto di opposizione esercitato dall’interessato determina l’obbligo del titolare del trattamento ad astenersi dal trattare ulteriormente i dati personali, salvo che egli dimostri l’esistenza di motivi legittimi cogenti e contingenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
La norma in questione sancisce, inoltre, che, qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato abbia il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. Qualora l’interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non possono più formare oggetto di trattamento per tali finalità. Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici a norma dell’articolo 89, paragrafo 1, l’interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguardano, salvo se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico.
Il diritto di opposizione, per definizione consiste nel diritto dell’interessato di opporsi in qualsiasi momento e per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ha, come principale conseguenza l’obbligo, in capo al titolare, di astenersi dal trattamento dei dati.
Questo particolare diritto riguarda però situazioni in cui il titolare sta lecitamente trattando dei dati personali: pertanto, è riconosciuta la facoltà per il titolare di dimostrare che i suoi interessi specifici connessi al trattamento prevalgono su quelli evidenziati dall’interessato.
Inoltre e in particolare, nel caso in cui i dati personali siano trattati con finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento e gratuitamente al trattamento, anche (e soprattutto) nel caso in cui questo avvenga mediante attività di profilazione.
Questa previsione è particolarmente innovativa e di grande tutela per l’interessato, al quale infatti tale possibilità deve essere resa nota dal titolare in maniera chiara, esplicita e separatamente rispetto alle altre informazioni: non potrà, ad esempio, ritenersi corretto un generico riferimento nell’informativa ai diritti riconosciuti dal GDPR, ma sarà necessario evidenziare in modo facilmente intellegibile per l’interessato l’esistenza e la portata del diritto di opposizione.
Il Garante è intervenuto a seguito di talune segnalazioni di liberi professionisti, destinatari di email comprendente la notizia della pubblicazione di un bando di selezione per consulente reputazionale, l’invito a partecipare ad un webinar e articoli relativi alla società mittente.
A seguito delle richieste di chiarimenti da parte del Garante, la società, si era difesa asserendo che aveva effettuato l’invio delle suddette comunicazioni a gli indirizzi di posta certificata tratti dall’esistente registro pubblico dei domicili digitali e che le comunicazioni non avevano carattere promozionale, bensì sociale, non potendo quindi trovare applicazione l’art. 130 del Codice. Il Garante ha così attivato un’istruttoria dalla quale emergeva che le operazioni di raccolta dei dati avevano riguardato un notevole numero di liberi professionisti e che gli indirizzi provenivano dal registro nazionale dei domicili digitali, dal sito www.registroimprese.it, nonché dagli elenchi dei professionisti pubblicati da alcuni ordini provinciali delle varie categorie all’interno dei loro siti istituzionali.Inoltre e soprattutto si rilevava la chiara finalità promozionale delle comunicazioni inviate.
Va da sé che tale tipo di attività si pone in contrasto con i principi fondamentali in materia di privacy, quali i principi di liceità, correttezza e di finalità del trattamento, oltre a concretizzare la violazione del Codice dell’amministrazione digitale, visto che la funzione del registro pubblico dei domicili digitali consiste unicamente per la presentazione di istanze, dichiarazioni e dati, nonché lo scambio di informazioni e documenti tra la pubblica amministrazione e le imprese e i professionisti in modalità telematica.
L’attività in questione è stata valutata in violazione al decreto legge n. 185/2008, in base al quale l’estrazione di elenchi di indirizzi è consentita alle sole pubbliche amministrazioni per le comunicazioni relative agli adempimenti amministrativi di loro competenza, con conseguente esclusione, pertanto, della liceità della medesima operazione da parte di soggetti privati.
Segnatamente si rileva che del contenuto promozionale delle comunicazioni, la società avrebbe dovuto acquisire il consenso informato degli interessati; consenso del quale non vi è prova. In ogni caso la mancanza del consenso non può essere superata dalla presenza di una informativa nelle comunicazioni promozionali, men che meno la circostanza di aver ricevuto, da parte degli Ordini professionali di appartenenza degli interessati, riconoscimenti e patrocini.
Ugualmente non può esser ritenuto sufficiente la presenza, nelle comunicazioni inviate, di un link per la cancellazione dalla mailing list, in quanto il consenso richiesto deve essere legittimamente acquisito anteriormente all’invio delle comunicazioni promozionali. Sta nei fatti, che per il caso di specie, il Garante ha prescritto la cancellazione, senza ritardo, di tutti i dati trattati in violazione di legge, riservandosi altresì di valutare, con autonomo procedimento, la sussistenza dei presupposti per contestare, alla società, le violazioni amministrative concernenti la violazione degli artt. 13, 23 e 130 del Codice, e quindi le sanzioni previste dagli artt. 161 e 162, comma 2-bis del Codice.
Devi fare login per commentare
Accedi