Rafforzamento dei diritti degli individui nei confronti delle aziende

Estratto dal libro di Bruno DUMAY: GDPR DECRYPTION – Per manager, dipartimenti strategici e dipendenti di aziende e organizzazioni – Prefazione di Gaëlle MONTEILLER

Le norme delle società democratiche dovrebbero garantire un equilibrio tra interessi che possono essere contraddittori. La maggior parte dei testi più importanti, tuttavia, contiene un orientamento – ho parlato prima di filosofia – che favorisce una parte a scapito dell'altra, sia perché l'autorità che impone questi testi desidera dare una nuova direzione, sia perché la necessità di un riequilibrio è stata avvertita dopo alcune derive in una direzione, che hanno portato a un rapporto asimmetrico tra le parti. Il GDPR è senza dubbio uno strumento per ripristinare i diritti degli individui di fronte a società onnipotenti che non si preoccupano più molto del rispetto della privacy.  

Il Capo III del regolamento è interamente dedicato ai "Diritti dell'interessato". È il "titolare del trattamento" ad avere il compito di agevolare l'esercizio di tali diritti. Egli deve rispondere "il più presto possibile e comunque entro un mese dal ricevimento della richiesta. Se necessario, tale termine può essere prorogato di due mesi, tenuto conto della complessità e del numero delle richieste" (art. 12-3). Si potrebbe quindi dedurre che si hanno tre mesi di tempo per rispondere a una richiesta e che questo termine, da solo, possa dissuadere molti richiedenti. In realtà, no; da un lato, perché tale proroga deve essere giustificata da una "necessità" o da una "complessità", dall'altro, perché il richiedente deve essere informato, entro un mese, dei motivi di tale proroga (sempre art. 12-3). E se il titolare del trattamento ritiene che la richiesta sia infondata, spetta a lui dimostrarne l'infondatezza (art. 12-5).

L'articolo 13 elenca tutte le informazioni che devono essere fornite quando si raccolgono dati su una persona. Si tratta di uno sviluppo rivoluzionario: non possiamo accettare senza prima fornire garanzie di integrità in merito alle disposizioni del regolamento. Nessuno potrà fare affidamento sulla propria importanza, reputazione o anzianità per convincere gli utenti di Internet a rivelare la propria identità.

Pertanto la società dovrà preventivamente fornire quanto segue:

– l’identità e i dati di contatto del titolare del trattamento;

– i dati di contatto del responsabile della protezione dei dati (nelle strutture in cui è obbligatorio, vi arriveremo);

– le finalità del trattamento cui sono destinati i dati, nonché la base giuridica di tale trattamento;

– i destinatari dei dati, anche quando è previsto un trasferimento verso un paese terzo.

Al ricevimento dei dati (nel testo è indicato “al momento di…”), dovrà comunque essere comunicato quanto segue:

– la durata di conservazione;

– il diritto di rettifica, cancellazione, limitazione del trattamento, opposizione al trattamento, portabilità dei dati (torneremo su ciascuno di questi diritti);

– il diritto di proporre reclamo all’autorità di controllo;

– le conseguenze del mancato conferimento dei dati;

– le conseguenze del conferimento dei dati, in particolare in termini di processo decisionale automatizzato o profilazione.

Quando i dati non sono raccolti presso l'interessato, gli obblighi sono gli stessi, a cui si aggiunge "la fonte da cui hanno origine i dati personali". Questa informazione non è richiesta quando i dati sono trattati per scopi di archiviazione, ricerca o statistici di interesse pubblico.  

Una volta trasmessi dall'interessato, i dati non gli sfuggono (un altro grande cambiamento rispetto alle prassi attuali). Infatti, il GDPR (ri)crea innanzitutto un diritto di accesso (art. 15). Questo diritto di accesso esiste già in Francia, ma è poco conosciuto e complicato da attuare. Qui, copre tutte le informazioni menzionate nell'articolo 13. L'accesso si concretizza mediante trasmissione su semplice richiesta: "Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento" (art. 15-3). Questa copia è gratuita (potrebbero essere applicati costi ragionevoli per una copia aggiuntiva). Quando la richiesta viene presentata elettronicamente, la risposta viene fornita nello stesso formato, a meno che la richiesta non sia diversa.

Secondo diritto espressamente sancito: il diritto di rettifica (art. 16). Tale diritto riguarda i dati inesatti e incompleti rispetto alle finalità del trattamento.

L'importanza del terzo diritto è diventata gradualmente evidente negli ultimi dieci anni, con l'avvento del Web 2.0 e dei social network. È proprio da questa data che abbiamo preso coscienza dell'importanza dei dati e che le raccolte si sono organizzate e moltiplicate. Poiché le informazioni che ci riguardano sono in possesso di persone ignote, la richiesta di un diritto alla cancellazione (o diritto all'oblio) è diventata formalizzata. La Francia ha tentato di farlo nel 2010 con l'adozione delle Carte del diritto all'oblio, ma Facebook e Google si sono rifiutati di firmarle. È stata la Corte di giustizia dell'Unione europea a dare origine a questo diritto all'oblio nel giugno 2014, a seguito della quale i principali attori digitali, tra cui Google, hanno dovuto stabilire procedure, tra cui la pubblicazione online di un "modulo", che consentisse agli utenti di Internet di esercitare tale diritto. Grazie al modulo, centinaia di migliaia di persone hanno potuto far rimuovere i propri risultati dai propri database.

Il GDPR sancisce questo diritto a livello europeo e lo definisce in modo semplice (articolo 17). Su richiesta dell'interessato, il titolare del trattamento è tenuto a cancellare, "il più presto possibile", i dati personali:

– se i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti;

– se il consenso viene revocato;

– se vi è opposizione al trattamento.

L'interessato non è tenuto a giustificare la propria richiesta. Le uniche limitazioni a questo diritto di cancellazione sono:

– adempimento di un obbligo legale derivante dal diritto dell’Unione o di uno Stato membro;

– l’esercizio dei diritti legali;

– motivi di archiviazione pubblica, di ricerca scientifica o statistica, nonché di salute pubblica;

– infine, “l’esercizio del diritto alla libertà di espressione e di informazione” (art. 17-3a). Ci si chiede cosa c’entri la libertà di espressione e di informazione in tutto questo. Le lobby che veicolavano gli interessi dei media hanno avuto qualche influenza? O è stata semplicemente l’onnipotenza dei media – forte quanto quella dei dati – a imporsi sui redattori del testo?

È previsto anche un "diritto alla limitazione del trattamento", in particolare in fase di verifica dell'esattezza dei dati, o quando il trattamento è illecito ma l'interessato si oppone alla cancellazione (art. 18). La limitazione, come il trattamento, deve essere notificata all'interessato (art. 19).        

Con il "diritto alla portabilità", il GDPR consente a un individuo di recuperare i dati forniti a un'organizzazione "in un formato strutturato, di uso comune e leggibile da dispositivo automatico" (art. 20-1). Può farlo sia per uso personale che per trasferirli a un'altra organizzazione. Può persino richiedere che i suoi dati vengano trasferiti direttamente da un titolare del trattamento a un altro. La CNIL specifica che i dati "derivati, calcolati o dedotti", ovvero creati dall'organizzazione, non possono essere richiesti (ciò è distinto dal diritto di accesso). Tuttavia, i dati recuperati possono contenere, "secondariamente", informazioni relative a terzi.

Il WP29, un gruppo di lavoro europeo istituito ai sensi dell'articolo 29 della direttiva europea del 1995, che sta lavorando per chiarire il GDPR prima di trasformarsi nel Comitato europeo per la protezione dei dati, raccomanda il meccanismo di upload per la trasmissione dei dati nell'ambito del diritto alla portabilità. In ogni caso, la fornitura deve essere facilmente accessibile e sicura. Al momento non è indicato alcun formato specifico, ma "il WP29 incoraggia gli operatori del settore e le associazioni professionali a lavorare su una serie di standard e formati interoperabili per rispettare questi prerequisiti del diritto alla portabilità".

Si incoraggia il titolare del trattamento a comunicare chiaramente in merito al diritto alla portabilità, a implementare una procedura di autenticazione prima di trasferire i dati richiesti e a fornire tale servizio gratuitamente, a meno che la richiesta non sia manifestamente infondata o eccessiva, "in particolare a causa del suo carattere ripetitivo". Si precisa che i dati trasferiti in base al diritto alla portabilità non devono essere cancellati dal file originale.

Chiunque ha il diritto di opporsi in qualsiasi momento (art. 21). Tale opposizione può riguardare qualsiasi trattamento, o più specificamente la prospezione (art. 21-2) e persino la ricerca scientifica o storica, "a meno che il trattamento non sia necessario per l'esecuzione di un compito di interesse pubblico" (art. 21-6). È ipotizzabile che tale diritto venga esercitato principalmente per opporsi a finalità commerciali.

Infine, il GDPR disciplina la profilazione. "L'interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona" (art. 22). Ciò è consentito nell'ambito di un contratto o se basato su un accordo esplicito. In questi casi, il titolare del trattamento garantisce "la tutela dei diritti, delle libertà e dei legittimi interessi dell'interessato".