GDPR – I “nuovi” diritti dell’interessato Le novità del reg. (EU) 2016/679 ed il loro impatto sulla privacy “italiana” Avv. Andrea andolina Perugia 11 Maggio 2018
1. I diritti dell’interessato nel GDPR TIP Use the Decrease and Increase List Level functions to cycle through font styles in a placeholder. sommario Le novità del reg. (EU) 2016/679 ed il loro impatto sugli orientamenti italiani in materia di diritti dell’interessato. 1. I diritti dell’interessato nel GDPR 2. Orientamenti del Garante prima del GDPR 3. Conclusioni: cosa cambia? GDPR – I “nuovi” diritti dell’interessato
1. I diritti dell’interessato nel gdpr Capo Iii – artt. 12-23 Art. 12 – modalità di risposta del titolare alle richieste dell’interessato Art. 15 – diritto di accesso Art. 16 – diritto di rettifica [Art. 17 – diritto all’oblio] Art. 18 – diritto alla limitazione del trattamento Art. 20 – diritto alla portabilità dei dati Art. 21 – opposizione al trattamento Art. 22 – opposizione a processi decisionali automatizzati Artt. 8-10 – esercizio e modalità di esercizio dei diritti dell’interessato Art. 7 (I) (II)– diritto di accesso Art. 7 (III) (a) – diritto di rettifica [Art. 7 (III) (b) – diritto alla cancellazione?] Art. 7 (III) (b) – diritto al blocco? Nessuna corrispondenza Art. 7 (IV) (a) – opposizione al trattamento Art. 7 (IV) (b) – opposizione al trattamento per fini pubblicitari? Si confermano le tre categorie che la dottrina italiana ha da tempo enucleato: Diritto a conoscere esistenza di un trattamento (accesso) Controllo sul trattamento (rettifica, cancellazione/oblio, blocco) Opposizione Il nuovo diritto alla portabilità potrebbe essere ricondotto a metà strada tra la conoscenza (nella misura in cui la portabilità permette l’esistenza di un trattamento, rectius la prosecuzione) e il controllo (comportando una variazione, quantomeno in relazione al support tecnico). Codice Privacy GDPR – I “nuovi” diritti dell’interessato
2. Orientamenti del garante (1/8) Richiesta dell’interessato e risposta del titolare Modalità Richiesta: forma libera Risposta: concisa, trasparente, intellegibile e facilmente accessibile Illegittimo il riscontro generico (Provv. 4.10.2007; Provv. 30.07.2003) Anche in caso di diniego, il titolare è tenuto a dare riscontro (Provv. 27.02.2001) Forma libera: anche mezzi elettronici (ad es: accesso da remoto) Anche oralmente se richiesto da interessato Tempi [NEW] 30 giorni Prorogabili, motivatamente, di 2 mesi (ma primo riscontro entro 30 giorni) Costi Gratuito Titolare può chiedere contributo se richiesta «manifestamente infondata o eccessiva» Il contributo tiene conto dei COSTI AMMINISTRATIVI [NEW: prima tetto fissato da Garante] In alternativa: rifiuto di soddisfare la richiesta [NEW] GDPR – I “nuovi” diritti dell’interessato
2. Orientamenti del garante (2/8) Diritto di accesso Conferma di un trattamento in corso A prescindere da sussistenza o meno di lesioni di diritti: la richiesta di accesso non necessita di giustificazioni (Provv. 24.07.2001) Informazioni Origine dati, finalità del trattamento, destinatari e logiche processi decisionali automatizzati (ad es: profilazione) Manca: modalità di trattamento! [NEW] Periodo di conservazione, garanzie idonee in caso di trasferimento dati all’estero Informativa [NEW] Diritto di rettifica, cancellazione e limitazione e di proporre reclamo Diritto a copia dei dati trattati [NEW] Gratuita la prima copia. Contributo spese ragionevole copie successive. Prima del GDPR il titolare non era tenuto a rilasciare copia dei dati personali trattati (Provv., ex pluris, 4.10.2007; 30.07.2003; 24.07.2001; 23.06.1998). GDPR – I “nuovi” diritti dell’interessato
2. Orientamenti del garante (3/8) Diritto di rettifica Rettifica dati inesatti Senza ingiustificato ritardo [NEW] Integrazione dati incompleti Tenuto conto delle finalità [NEW] Anche fornendo una dichiarazione integrativa [NEW] Controllo effettivo sulle informazioni che riguardano l’interessato e sulla sua immagine esterna Provv. 19.04.1999: integrazione dei dati riferiti in una ordinanza pubblicata su ordine del Tribunale di Milano GDPR – I “nuovi” diritti dell’interessato
2. Orientamenti del garante (4/8) Diritto al blocco (ora limitazione?) Sospensione temporanea del trattamento Salvo per la conservazione e interessi legittimi o pubblici In linea con Garante su blocco: «salvo quelli strettamente necessari» Provv. 6.10.2016. Natura ibrida della misura: le fattispecie tipizzate dal GDPR Analogamente al «blocco» secondo interpretazione del Garante Contestazione esattezza dei dati in pendenza delle verifiche Funzione «cautelare»: Provv. 18.02.2002; Provv. 6.10.2016 per consentire a titolare di completare/integrare adempimenti quali informativa, raccolta del consenso. La limitazione può essere chiesta anche in assenza di trattamento illecito ma per adempimento rettifiche ed integrazioni [NEW] Trattamento illecito, ma interessato preferisce limitazione a cancellazione [NEW] Funzione «ristorativa» alternativa alla cancellazione Necessari accertamenti in sede giudiziaria Funzione «sequestro giudiziale»: caso «Google car», conservazione dati per fini probatori in procedimento penale (Provv. 09.09.2010) Opposizione in pendenza di verifica di eventuale prevalenza di motivi legittimi [NEW] GDPR – I “nuovi” diritti dell’interessato
2. Orientamenti del garante (5/8) [Cancellazione e diritto all’oblio] [Rinvio]. GDPR – I “nuovi” diritti dell’interessato
2. Orientamenti del garante (6/8) Opposizione al trattamento Anche in assenza di illiceità del trattamento, l’interessato può opporsi «per motivi connessi alla sua situazione particolare» [NEW] Più ampio di «motivi legittimi» del Codice Privacy? Titolare può continuare trattamento in caso di «motivi legittimi cogenti» [NEW] Inversione: con GDPR i «motivi legittimi» devono essere in capo al titolare e non all’interessato per fondare l’opposizione Bilanciamento tra motivi interessato e «motivi legittimi» titolare [NEW] Diritto difesa, interesse pubblico, interesse legittimo del titolare GDPR – I “nuovi” diritti dell’interessato
2. Orientamenti del garante (7/8) Opposizione al trattamento per fini pubblicitari (profilazione?) Opposizione tipica A prescindere da «motivi legittimi» o «motivi connessi alla situazione dell’interessato» (in re ipsa) Marketing diretto (invio a domicilio pubblicità; spam; sms) Provv. 25.06.2002; Provv. 14.12.2017 Profilazione [NEW] Base del «nuovo» marketing diretto Decisione basata su trattamento automatizzato [NEW] Fattispecie generale e residuale GDPR – I “nuovi” diritti dell’interessato
2. Orientamenti del garante (8/8) Portabilità dei dati [NEW] Solo per trattamenti «automatizzati» e basati su consenso Esclusi trattamenti obbligatori per interesse pubblico o legittimo del titolare. Diritto a ricevere dati dal vecchio titolare Formato strutturato, di uso comune e leggibile Diritto a trasmettere dati a nuovo titolare Limite della «fattibilità tecnica» In assenza di orientamenti, rinvio a prassi e Gruppo Art. 29. GDPR – I “nuovi” diritti dell’interessato
3. conclusionI: cosa cambia con il gdpr? Alcune iniziali considerazioni sull’impatto del GDPR sugli orientamenti del GDPR. Novità principali: Principi di trasparenza e responsabilità del titolare nel trattamento (ad es., in modalità – tempi e costi – di risposta del titolare; diritto alla copia gratuita in accesso; informativa anche a seguito di accesso; rifiuto all’accesso; resistenza all’opposizione per «motivi legittimi cogenti») Sviluppo tecnologico (informazione su processi decisionali automatizzati e su garanzie idonee per trasferimento dati all’estero; profilazione ed altri processi automatizzati come motivo di opposizione; diritto alla portabilità) [Diritto oblio] Per il resto, conferma prassi ed orientamenti Garante. GDPR – I “nuovi” diritti dell’interessato
Grazie per l’attenzione!