Gestire i diritti degli interessati
Un’organizzazione conforme al GDPR deve essere in grado di tutelare i diritti delle persone di cui tratta i dati personali. L’indicazione dei diritti nell’informativa privacy va accompagnata da canali di contatto, procedure interne e responsabilità definite per ricevere, valutare e gestire le richieste degli interessati.
I diritti riconosciuti dal Regolamento riguardano accesso, rettifica, cancellazione, limitazione del trattamento, portabilità e opposizione. Nei casi previsti, l’interessato ha anche il diritto alle garanzie previste per le decisioni basate unicamente su trattamenti automatizzati, compresa la profilazione.
Accesso, rettifica e cancellazione dei dati
L’interessato può chiedere conferma dell’esistenza di un trattamento che lo riguarda e ottenere una copia dei propri dati personali, insieme alle informazioni previste dal GDPR su finalità, categorie di dati, destinatari, tempi di conservazione, origine dei dati, diritti esercitabili ed eventuali processi decisionali automatizzati.
Il diritto di rettifica consente di chiedere la correzione dei dati inesatti o l’integrazione di quelli incompleti. L’organizzazione deve quindi prevedere procedure per aggiornare archivi, CRM, gestionali, sistemi HR e altri strumenti in cui i dati sono conservati.
Il diritto alla cancellazione, spesso indicato come diritto all’oblio, può essere esercitato nei casi previsti dal GDPR, ad esempio quando i dati non sono più necessari rispetto alle finalità per cui sono stati raccolti, quando il consenso viene revocato oppure quando il trattamento è illecito. Prima della cancellazione, il titolare deve verificare la presenza di obblighi di conservazione o di altri presupposti che rendono ancora lecito il trattamento.
Limitazione, portabilità e opposizione
L’interessato può chiedere la limitazione del trattamento in specifiche circostanze, ad esempio quando contesta l’esattezza dei dati o si oppone al trattamento. In questi casi i dati possono essere conservati, mentre il loro utilizzo va sospeso o ridotto nei limiti previsti dal Regolamento.
Quando il trattamento si basa sul consenso o su un contratto ed è effettuato con strumenti automatizzati, l’interessato può chiedere di ricevere i dati personali forniti in un formato strutturato, di uso comune e leggibile da dispositivo automatico, oppure di trasmetterli a un altro titolare quando tecnicamente possibile.
Il diritto di opposizione consente all’interessato di contestare determinati trattamenti, in particolare quelli basati sul legittimo interesse. Nel caso del marketing diretto, l’opposizione comporta l’interruzione del trattamento per finalità promozionali.
Decisioni automatizzate, profilazione e tempi di risposta
Quando vengono utilizzati sistemi automatizzati che producono effetti giuridici o incidono in modo analogo sulla persona, il GDPR prevede garanzie specifiche. L’organizzazione deve verificare se il trattamento comporta profilazione, scoring o decisioni automatizzate e indicare informazioni chiare nelle informative privacy.
Le richieste degli interessati devono essere gestite senza ritardo e, di norma, entro un mese dal ricevimento. Il termine può essere esteso nei casi più complessi, ma il titolare deve comunque fornire un riscontro entro un mese, anche quando ritiene di non poter accogliere la richiesta.
Per ridurre il rischio di errori, conviene conservare traccia delle richieste privacy ricevute, delle verifiche svolte, delle funzioni coinvolte e delle risposte inviate, così da dimostrare la corretta applicazione delle procedure interne.