GDPR – I diritti degli utenti

09-07-21 | privacy

I diritti degli utenti

Il diritto ad essere informati

Le organizzazioni devono fornire agli utenti informazioni sulle attività di trattamento dei dati che svolgono. Tali informazioni possono essere fornite per iscritto, anche per via elettronica, tramite una privacy policy. Le informazioni devono essere concise, trasparenti, comprensibili, facilmente accessibili, scritte in un linguaggio chiaro e semplice (soprattutto se rivolte a un minore) e gratuite.

Se i dati vengono raccolti dall’utente reale a cui si riferiscono, allora devono essere forniti con le informazioni sulla privacy al momento in cui i dati vengono ottenuti. Tuttavia, se i dati personali sono ottenuti da una fonte diversa dal singolo utente, quest’ultimo deve ricevere informazioni sulla privacy entro un “ragionevole periodo” dai dati ottenuti. Questo periodo può essere non più tardi di un mese in generale, o al più tardi quando si verifica la prima comunicazione (se si utilizzano i dati per comunicare con l’utente).

Il diritto di accesso

Gli utenti hanno il diritto di accedere ai propri dati personali e alle informazioni relative alle modalità di trattamento degli stessi. Su richiesta dell’utente, i titolari del trattamento devono fornire una panoramica delle categorie di dati trattati, una copia degli effettivi dati raccolti ed una descrizione delle modalità del trattamento. È necessario chiarire inoltre le finalità del trattamento, il modo in cui i dati sono stati acquisiti e i soggetti con cui i dati sono stati eventualmente condivisi.

Infine, l’organizzazione deve fornire gratuitamente all’utente che ne fa richiesta una copia dei suoi dati personali (qualora l’utente dovesse richiedere più copie, può essere applicato un corrispettivo di ragionevole entità). I dati richiesti devono essere forniti all’individuo senza indebito ritardo e al più tardi entro un mese dal ricevimento della richiesta; il numero esatto di giorni in cui l’organizzazione deve onorare una richiesta dipende dal mese in cui è stata effettuata.

Il diritto di accesso è strettamente legato al diritto alla portabilità dei dati, sebbene questi due diritti non siano identici. È quindi importante che nell’informativa sulla privacy vi sia una chiara distinzione tra questi due diritti.

Il diritto di rettifica

Gli utenti hanno il diritto di richiedere la rettifica dei loro dati personali se sono imprecisi o incompleti. Questo diritto implica anche che la rettifica debba essere comunicata a tutti i soggetti terzi coinvolti nel trattamento dei dati in questione, a meno che ciò non sia impossibile o particolarmente difficile. Se richiesto dall’utente, l’organizzazione deve anche informare lo stesso sull’identità di tali soggetti terzi.

Le richieste possono essere prorogate di ulteriori due mesi se la richiesta è complessa o se sono state ricevute numerose richieste da parte dell’individuo. L’individuo deve essere informato entro un mese dal ricevimento della richiesta con una spiegazione dei motivi per cui l’estensione è necessaria. Le richieste devono essere onorate senza indebito ritardo e al più tardi entro un mese dal loro ricevimento.

Nella maggior parte dei casi le organizzazioni devono soddisfare una richiesta di rettifica senza addebitare una commissione. Tuttavia, se una richiesta viene giudicata “manifestamente infondata o eccessiva”, si può applicare una “tariffa ragionevole” per soddisfarla o rifiutarsi di affrontarla. In entrambi gli scenari, la decisione dovrà essere legittimamente giustificata. Se una richiesta viene rifiutata, l’individuo deve essere informato (insieme alla giustificazione) senza inutili ritardi e entro un mese dal ricevimento della stessa.

Il diritto di opporsi

Ai sensi del GDPR, gli utenti hanno il diritto di opporsi a determinate attività di trattamento dei loro dati personali effettuate dal titolare del trattamento (anche noto come Controller). In sintesi, l’utente può opporsi al trattamento dei suoi dati ogniqualvolta esso si basi su un interesse legittimo o sull’esecuzione di un compito di interesse pubblico/esercizio di pubblici poteri o a fini di ricerca e statistica scientifica/storica. L’utente deve motivare la sua opposizione, a meno che il trattamento non sia effettuato a fini di marketing diretto. In quest’ultimo caso, infatti, non è necessaria alcuna motivazione per esercitare tale diritto

Se si riceve un’obiezione al trattamento dei dati personali e non ci sono motivi per rifiutare, l’attività di trattamento deve cessare. Mentre l’attività di trattamento (compresa la memorizzazione) deve essere interrotta per le particolari attività di trattamento contestate, la cancellazione potrebbe non essere necessaria se i dati vengono elaborati per altri scopi (compreso l’adempimento di obblighi legali o contrattuali), in quanto i dati dovranno essere conservati per questi scopi.

Le richieste devono essere onorate senza indebito ritardo e al più tardi entro un mese dal loro ricevimento. Le richieste possono essere prorogate di ulteriori due mesi se la richiesta è complessa o se sono state ricevute numerose richieste da parte dell’individuo. L’individuo deve essere informato entro un mese dal ricevimento della richiesta con una spiegazione dei motivi per cui la proroga è necessaria.

Qualora non sussistano motivi per rifiutare, nella maggior parte dei casi le organizzazioni devono soddisfare la richiesta senza addebitare una commissione. Tuttavia, se una richiesta viene giudicata “manifestamente infondata o eccessiva”, si può applicare una “tariffa ragionevole” per soddisfarla o rifiutarsi di affrontarla. In entrambi gli scenari, la decisione dovrà essere legittimamente giustificata. Se una richiesta viene rifiutata, l’individuo deve essere informato (insieme alla giustificazione) senza inutili ritardi e entro un mese dal ricevimento della stessa.

Il diritto alla portabilità dei dati

L’utente ha il diritto di ottenere (in un formato elettronico leggibile) i propri dati personali allo scopo di trasferirli ad altro titolare, senza che l’attuale titolare crei alcun ostacolo. Rientrano in questa disposizione sia i dati “forniti” dall’utente, che quelli “osservati”. Questo diritto si applica solo ai dati personali e in quanto tale non si applica ai dati autenticamente anonimi (dati che non possono essere ricondotti all’individuo).

Nella maggior parte dei casi le organizzazioni devono soddisfare la richiesta senza addebitare una commissione. Tuttavia, se una richiesta viene giudicata “manifestamente infondata o eccessiva”, si può applicare una “tariffa ragionevole” per soddisfarla o rifiutarsi di affrontarla. In entrambi gli scenari, la decisione dovrà essere legittimamente giustificata. Se una richiesta viene rifiutata, l’individuo deve essere informato (insieme alla giustificazione) senza inutili ritardi e entro un mese dal ricevimento della stessa.

Il diritto alla cancellazione

Quando i dati non sono più utili per le finalità per le quali sono stati raccolti, in caso di revoca del consenso da parte dell’utente o quando i dati personali sono stati trattati in modo illecito, l’utente ha il diritto di chiederne la cancellazione nonché la cessazione di ogni altra forma di diffusione.

Il diritto alla cancellazione può essere negato:

quando i dati personali sono trattati per un interesse pubblico (come la ricerca scientifica);
quando i dati sono necessari per la difesa in giudizio o per adempiere a un obbligo di legge;
per l’esecuzione di un compito di interesse pubblico;
per l’esercizio di pubblici poteri di cui il titolare del trattamento è investito;
quando i dati sono necessari per esercitare il diritto alla libertà di espressione;
quando sono trattati a fini sanitari e di interesse pubblico.

Il diritto a limitare il trattamento

L’utente ha il diritto di richiedere la limitazione del trattamento dei suoi dati personali se:

ne ha contestato la loro esattezza;
si è opposto al trattamento e l’organizzazione sta valutando se esiste un motivo legittimo che lo escluda;
il trattamento è illecito, ma l’utente richiede una limitazione anziché la cancellazione;
i dati non sono più necessari, ma l’utente ne ha bisogno per stabilire, esercitare o difendere una rivendicazione legale.

La limitazione deve essere comunicata a tutti i soggetti terzi coinvolti nel trattamento dei dati in questione, a meno che ciò non sia impossibile o particolarmente difficile. Se richiesto dall’utente, l’organizzazione deve anche informare lo stesso sull’identità di tali soggetti terzi.

Diritti relativi ai processi decisionali automatizzati ed alla profilazione

Gli utenti hanno il diritto di non essere sottoposti a processi decisionali che si basano su un trattamento o una profilazione automatizzati e che producono un effetto legale, o un effetto altrettanto significativo.

Le organizzazioni possono adottare decisioni automatizzate solo se necessarie per l’esecuzione di un contratto, autorizzate dalla legislazione del Paese UE applicabile al titolare del trattamento dei dati, prive di effetti giuridici o di analoga rilevanza per l’utente o basate sul consenso esplicito dell’interessato. È possibile prendere decisioni automatizzate che riguardano categorie speciali di dati solo con l’esplicito consenso dell’utente o per motivi di rilevante interesse pubblico.

Trasferimento di dati all’estero

Il GDPR consente il trasferimento dei dati di cittadini UE al di fuori dello Spazio Economico Europeo (SEE) solo se sono soddisfatte determinate condizioni. In particolare, il Paese in cui i dati vengono trasferiti deve avere un livello “adeguato” di protezione dei dati personali, al pari degli standard dell’Unione Europea. In caso contrario, i trasferimenti possono comunque essere consentiti in presenza di clausole contrattuali standard (SCC) o di norme vincolanti d’impresa (BCR).

Il GDPR consente il trasferimento dei dati di cittadini UE al di fuori dello Spazio Economico Europeo (SEE) solo se sono soddisfatte determinate condizioni

Il trasferimento dei dati verso gli Stati Uniti è consentito a patto che l’utente abbia espresso il proprio consenso informato (in tal caso, il consenso deve essere fornito sulla base di informazioni sufficientemente precise, comprese quelle relative alla eventuale mancanza di protezione nel Paese terzo).

fonte: Iubenda.com

Hai bisogno di maggiori informazioni?

Facciamoci una chiacchierata

Cookie	Durata	Descrizione
_ga	2 anni	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il report di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gid	1 giorno	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito web, creando anche un report analitico delle prestazioni del sito web. Alcuni dei dati raccolti includono il numero di visitatori, la loro fonte e le pagine che visitano in modo anonimo.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 mesi	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-necessary	11 mesi	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Necessario".