Con il REGOLAMENTO UE 679/2016, la privacy sappiamo che ha cambiato prospettiva e si è avvicinata quanto più agli interessati, perché obiettivo stesso della nuova normativa europea sulla protezione dei Dati, consiste nel garantire la privacy e la protezione dei dati personali degli interessati. Per aiutare gli interessati a garantire la protezione e la riservatezza dei propri dati personali, il GDPR conferisce ai soggetti interessati determinati diritti: l'accesso, la cancellazione, le limitazioni al trattamento, la portabilità dei dati.  RIVEDIAMOLI ALLORA INSIEME e secondo una nostra sintesi, per avere quanta più consapevolezza possibile!

L'interessato al trattamento (data subject) è la persona fisica a cui si riferiscono i dati personali. Il concetto di interessato è cambiato rispetto al passato, nel senso che oggi siamo tutti potenzialmente interessati in considerazione del fatto che i trattamenti dei dati personali inglobano l'intera società. Basti pensare alle telecamere di controllo del traffico, le fidelity card, e cosi via, per comprendere che in ogni istante siamo potenziali interessati di un trattamento. Il concetto di interessato, quindi, è dinamico. L'interessato, inoltre, può essere solo una persona fisica, e non una persona giuridica, un ente o un'associazione. La normativa attribuisce specifici diritti all'interessato, il quale, per l'esercizio di tali diritti, può rivolgersi direttamente al titolare del trattamento. Anche se è solo il titolare obbligato a dare riscontro, il responsabile del trattamento è tenuto a collaborare col titolare ai fini dell'esercizio dei diritti. L'interessato può esercitare i suoi diritti anche in un momento successivo a quello in cui ha prestato il consenso, potendo così revocare un consenso già prestato. 

Il termine per la risposta all´interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibili fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all´interessato entro 1 mese dalla richiesta, anche in caso di diniego. L'unico obbligo per l'interessato è di fornire i dati per la sua identificazione. La risposta fornita all´interessato non deve essere solo "intelligibile", ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

Ovviamente IL GDPR, ammette delle deroghe ai diritti riconosciuti all'interessato, nei casi in cui il trattamento dati è effettuato:
a) in materia di RICICLAGGIO;
b) in materia di SOSTEGNO ALLE VITTIME DI RICHIESTE ESTORSIVE;
c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione;
d) da un soggetto pubblico, per esclusive finalità inerenti alla politica monetaria e valutaria;
e) per lo svolgimento delle investigazioni difensive o per l'esercizio del diritto in sede giudiziaria;
f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata;
g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della magistratura o altri organi di autogoverno o il Ministero della giustizia;
h) per trattamenti da parte di forze di polizia.

IL DIRITTO ALL’INFORMAZIONE (ART. 13 e ART.14)
In base al PRINCIPIO DI CORRETTEZA e TRASPARENZA, l'interessato al trattamento ha il diritto di ricevere una corretta e completa informazione. Si tratta della possibilità di base su cui si fonda di base tutta l’impiantistica normativa e il nuovo approccio del GDPR, di conferire all’interessato la possibilità di chiedere e ricevere da un’azienda informazioni su quali e come vengono trattati i propri dati personali. E sono specificamente gli Art. 13 e 14 che disciplinano questo diritto.

IL DIRITTO DI ACCEDERE AI DATI (ART. 15)
L'art. 15 del GDPR prevede il diritto di accesso, cioè il diritto di conoscere quali dati personali relativi all'interessato il titolare sta trattando, con quali finalità (non le modalità invece), e di ricevere eventualmente una copia (gratuita, a parte il costo del supporto) dei dati. I titolari possono eventualmente anche consentire un accesso diretto ai dati da remoto. Inoltre, il regolamento abolisce anche le commissioni per le richieste di accesso. Il tempo consentito dalla normativa per fornire una risposta, è tra l’altro indicato in un mese al massimo, il che significa che per essere ottemperati i marketer devono essere in grado di identificare una richiesta di dati appena possibile.

IL DIRITTO DI ESSERE AVVISATI
Le aziende devono anche avvisare i consumatori tempestivamente di eventuali modifiche apportate alle pratiche di raccolta dei dati. Qualsiasi violazione che esponga dati non criptati dei clienti (DATA BREACH), deve essere comunicata ai consumatori entro 72 ore. Ciò significa che i brand dovranno seguire procedure di tenuta dei registri molto più complesse e dovranno preparare piani di comunicazione in caso di emergenza.

IL DIRITTO ALLA RETTIFICA (ART. 16)
Questo diritto conferisce all’interessato la possibilità di chiedere modifiche ai propri dati personali nel caso in cui l’interessato ritenga che tali dati personali non siano aggiornati o accurati. Tenuto conto delle finalità del trattamento, prevede, perciò, l'integrazione dei dati incompleti, eventualmente fornendo una dichiarazione integrativa.
E' uno dei diritti che consente all'interessato di mantenere un controllo attivo sui propri dati, potendone ottenere la correzione, la modifica, l'aggiornamento e l'integrazione, così evitando che il loro uso, compreso il trasferimento, possa generare dei pregiudizi per l'interessato.

IL DIRITTO ALL’OBLIO (o CANCELLAZIONE ART. 17)
E’ un nuovo diritto, che consente di ottenere la cancellazione dei propri dati personali in casi particolari e può essere esercitato anche dopo la revoca del consenso. Ovvero i consumatori possono ora richiedere anche la cancellazione dei propri dati personali, il che implica che solo un minimo di dati può essere conservato. Da un punto di vista tecnico, cancellare interi profili dei consumatori è problematico, specialmente senza un’ARCHITETTURA di DATAWARE INTEGRATA.

IL DIRITTO DI LIMITAZIONE DEL TRATTAMENTO (ART. 18)
E’ un diritto diverso e più esteso rispetto al “blocco” del trattamento già previsto nel Codice della Privacy. In particolare risulta esercitabile non solamente in ipotesi di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì pure se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento. Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).

IL DIRITTO ALLA PORTABILITA’ DEI DATI (ART. 20)
Un altro nuovo diritto previsto dal GDPR. Si applica solo ai trattamenti automatizzati basati sul consenso o sulla necessità contrattuale, e sono previste specifiche condizioni per il suo esercizio. La portabilità dei dati si riferisce, infatti, alla capacità di trasferire su richiesta le registrazioni elettroniche dei clienti. Ciò significa tenere tutti i dati personali e le interazioni con i clienti, (consensi, richieste di cancellazione, ecc.), memorizzati in modo centralizzato e accessibile.

IL DIRITTO DI OPPOSIZIONE (ART. 21)
In base all'Art.21, l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano connessi a ragioni di interesse pubblico o all'esercizio di pubblici poteri (ai sensi dell’articolo 6, paragrafo 1, lettera e). Si tratta di un diritto che trova la sua ragione di essere nella tutela dell'individuo dal controllo eccessivo dello Stato.
L'interessato può opporsi anche al trattamento posto in essere per il perseguimento di legittimi interessi del titolare o di terzi (art. 6, par. 1, lett. f), come trattamento per fini commerciali, quali marketing diretto e profilazione. Normalmente, il diritto di opporsi equivarrebbe al diritto di revocare il consenso, se il consenso è stato richiesto in modo appropriato e non viene condotto alcun trattamento diverso dalle finalità legittime. Tuttavia, uno scenario specifico si delinea nel caso in cui, un cliente chieda che i propri dati personali non vengano trattati per determinati scopi mentre è in corso una controversia legale in tribunale.

L'opposizione al trattamento è diversa dalla cancellazione dei dati e nel caso di trattamenti basati sul consenso, prevale la possibilità di revoca del consenso rispetto al diritto di opposizione!

IL DIRITTO DI OPPORSI AL TRATTAMENTO AUTOMATIZZATO
Prevede la possibilità di opporsi a una decisione basata sul trattamento automatizzato. Utilizzando questo diritto, un cliente può chiedere che la propria richiesta (ad esempio, una richiesta di prestito) venga esaminata manualmente, perché ritiene che il trattamento automatizzato della richiesta di un prestito non possa tenere in considerazione la situazione unica del cliente.

IL DIRITTO DI REVOCA DEL CONSENSO
E’ prevista e disciplinata dal GDPR la possibilità di ritirare un consenso precedentemente concesso per il trattamento dei propri dati personali a determinato scopo. La richiesta impone quindi all’azienda di interrompere il trattamento dei dati personali basato sul consenso fornito in precedenza.