Esercizio dei diritti di accesso, portabilità: quali sono i poteri di un rappresentante?

Osservatorio Legale n. 35 – Maggio 2021

Esercizio dei diritti di accesso, portabilità: quali sono i poteri di un rappresentante? Alcuni titolari del trattamento hanno potuto legittimamente esprimere la loro perplessità dopo aver ricevuto una richiesta di un'azienda incaricata di ottenere dati dal proprio archivio clienti, in particolare quando la richiesta contiene requisiti particolarmente ampi, ad esempio riguardanti il trasferimento di dati personali senza limiti di tempo o che richiedono l'accesso automatico ai dati.

Il gestore può legittimamente mettere in discussione i rischi derivanti dal riutilizzo dei dati dei propri clienti e le possibili distorsioni della concorrenza che ne deriverebbero.

In linea di principio, tuttavia, la pratica è legale.

È previsto dal GDPR e dall'articolo 77 del decreto attuativo della legge sulla protezione dei dati, e mira a facilitare l'esercizio dei diritti di accesso, opposizione o anche portabilità dei dati, consentendo agli interessati di rivolgersi a un rappresentante per esercitare i propri diritti.

Come possiamo preservare il controllo degli individui sui propri dati consentendo a terzi di esercitare tali diritti, evitando al contempo gli abusi che potrebbero derivare da mandati abusivi?

Spetta all'agente definire chiaramente l'ambito del suo mandato e al gestore che riceve tale richiesta verificare la validità di tale mandato.

La CNIL ha recentemente avviato una consultazione pubblica su una bozza di raccomandazione volta a chiarire il quadro di questa nuova pratica.

Ha inoltre pubblicato un mandato standard che può servire da riferimento per gli agenti e i titolari del trattamento dei dati.

Alcuni aspetti meritano particolare attenzione e potrebbero giustificare la richiesta da parte del titolare del trattamento di ulteriori dettagli prima di trasmettere i dati in questione.

• Dati che consentono l'identificazione univoca, nel mandato, della persona a favore della quale vengono esercitati i diritti (ad esempio, identificativo, data di nascita, data dell'ultimo collegamento)

• L'identificazione del destinatario a cui vengono trasmessi i dati (che può essere l'agente o la persona interessata)

• L'autenticità del mandato (esistenza di una firma elettronica), la sua portata e la sua durata. I dati o le categorie di dati devono essere specificati. La CNIL ritiene che un mandato stabilito per una durata indeterminata non soddisfi i requisiti di legge.

• Se il trasferimento avviene per via elettronica, in particolare tramite un'interfaccia di programmazione applicativa (API), questa deve essere stabile, avere un elevato livello di disponibilità e integrare misure di sicurezza adeguate ai rischi. La CNIL esprime riserve sulle tecniche di scraping che consentono di recuperare il nome utente e la password dell'interessato per estrarre automaticamente i dati.

Se il titolare del trattamento nutre dubbi sulla validità di un mandato, deve motivare il rifiuto di accogliere la richiesta di accesso ai sensi dell'articolo 12.6 del GDPR.

Ciò potrebbe verificarsi, ad esempio, se sussistono ragionevoli dubbi sull'identità della persona interessata, il che richiederà la raccolta di ulteriori informazioni da tale persona o dall'agente.

Nel caso di mandato, come per una classica richiesta di accesso, il tempo di risposta da parte del titolare del trattamento è di un mese.

Che dire del possibile riutilizzo di questi dati da parte dell'agente per i propri scopi?

Si tratta di un'operazione di trattamento separata che deve rispettare i requisiti di legalità del GDPR.

In ogni caso, la persona interessata dovrebbe avere la possibilità di accettare o meno, caso per caso, ogni riutilizzo che l'agente intendesse prevedere.

Si noti che la CNIL, come il Comitato europeo per la protezione dei dati, ritiene che "gli agenti non debbano riutilizzare i dati relativi a terzi per i propri scopi", il che sarebbe considerato una violazione dei diritti e delle libertà di terzi.

E anche

Francia:

Nel suo rapporto di attività del 2020, la CNIL fa il punto sui momenti salienti dell'anno e, in particolare, sull'impatto della crisi pandemica sui diritti fondamentali.

A tre anni dall’entrata in vigore del GDPR, rileva un aumento costante del numero di reclami – più di 62% quest’anno, e ha emesso 14 sanzioni, tra cui 11 multe per un totale di 138 milioni di euro.

IL Priorità della Commissione includere

• Le nuove regole sui cookie (sono state recentemente verificate una ventina di organizzazioni),
• Sicurezza informatica e
• Sovranità digitale.

La CNIL annuncia inoltre lavori futuri dedicati al legame tra protezione dei dati e problematiche ambientali legate al cambiamento climatico.

La CNIL ha inoltre annunciato controlli in farmacia al fine di verificare le condizioni di raccolta dei dati dei propri clienti da parte della società Iqvia ai fini dell'analisi delle patologie.

Questi controlli fanno seguito alla diffusione, a metà maggio, di un rapporto sullo sfruttamento dei dati personali che ha suscitato numerose reazioni.

La Commissione ha infine indicato che era a favore della creazione di un passaporto sanitario a condizione che siano fornite garanzie per il trattamento dei dati e che il pass venga utilizzato solo per la durata della crisi sanitaria.

Il 3 giugno ha pubblicato il suo terzo parere sulle misure per contrastare la pandemia.

Il Consiglio costituzionale si è pronunciato il 20 maggio sulla legge “Sicurezza globale”.

Censura l’articolo 24 relativo alla criminalizzazione della diffusione “maligna” dell’immagine delle forze dell’ordine, nonché gran parte degli articoli 47 e 48 che organizzano la sorveglianza tramite droni, in particolare durante le manifestazioni, e l’uso di telecamere a bordo. veicoli e aerei delle forze dell'ordine.

Europa:

Diversi attori della società civile hanno avviato il 26 maggio reclami contro la società di riconoscimento facciale Clearview, in particolare in Francia, Austria, Italia, Grecia e Regno Unito.

Là Corte europea dei diritti dell'uomo Il 25 maggio, la Corte suprema del Regno Unito ha stabilito all'unanimità che il regime di sorveglianza su larga scala del Regno Unito, reso pubblico da Edward Snowden nel 2013, viola l'articolo 8 della Convenzione europea dei diritti dell'uomo in materia di tutela della privacy.

Il Comitato europeo per la protezione dei dati ha adottato due codici di condotta il 20 maggio a seguito dell'elaborazione delle decisioni delle autorità francesi e belghe in materia di cloud: per il Belgio, si tratta di una decisione riguardante il codice di condotta UE sul cloud, e per la Francia, del CISPE, riguardante i fornitori europei di servizi di infrastrutture cloud.

Il Comitato ha inoltre pubblicato il suo rapporto di attività del 2020 il 2 giugno.

Il Garante europeo della protezione dei dati avvia due indagini sull'utilizzo dei servizi cloud di Amazon e Microsoft da parte delle istituzioni europee.

Tali indagini mirano a verificare le condizioni di trattamento e in particolare i trasferimenti di dati da parte di queste società verso gli Stati Uniti alla luce della sentenza Schrems II della Corte di giustizia europea.

L'Unione Europea ha annunciato pubblicamente all'inizio di giugno che, per raggiungere un accordo sul trasferimento dei dati verso gli Stati Uniti, questi ultimi avrebbero dovuto adottare leggi vincolanti che consentissero ai cittadini europei di difendersi in tribunale contro la raccolta massiccia dei loro dati da parte del governo americano.

Internazionale:

Uno studio recente pubblicato da Privacy Laws and Business (G. Greenleaf) rende l' aggiornamento globale sulla privacySi afferma che il numero di paesi che hanno adottato leggi sulla protezione dei dati è aumentato da 132 a 145, mentre altri 23 paesi hanno progetti di legge in fase di elaborazione.

Brasile: Come diverse autorità europee, l'autorità di controllo brasiliana chiede a WhatsApp di sospendere la sua nuova politica sulla privacy fino al completamento dell'indagine sulle sue conseguenze in termini di protezione dei dati e concorrenza.

Anna Cristina Lacoste

Partner dello studio legale Olivier Weber Avocat, Anne Christine Lacoste è un avvocato specializzato in diritto dei dati; è stata responsabile delle relazioni internazionali presso il Garante europeo della protezione dei dati e ha lavorato all'attuazione del GDPR nell'Unione europea.