Se c’è una domanda che ricorre con una certa frequenza è la seguente: come ci dobbiamo comportare se un donatore chiede di essere cancellato dal database? Cancellazione e diritto all’oblio sono un diritto dell’interessato la cui volontà, ricordiamo, va sempre rispettata. Ce ne parla Francesco Paolo Visaggi, avvocato di Legal Team, specializzato in privacy e docente del modulo formativo dedicato al GDPR per il nonprofit realizzato dalla Fundraising Academy. Buona lettura.
In materia di tutela del diritto all’oblio, ex. art. 17, il GDPR prevede che l’interessato può ottenere la cancellazione dei dati che lo riguardano, la rettifica, la limitazione d’uso e l’opposizione al trattamento.
Al fine di tutelare il diritto all’oblio dell’individuo (in inglese, right to be forgotten), strettamente connesso alla tutela della sua vita privata ex art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, il legislatore europeo ha stabilito che ogni trattamento di dati personali debba avvenire nel rispetto dei principi fissati all’articolo 5 del Regolamento (UE) 2016/679 GDPR:
- principio di minimizzazione dei dati (data minimisation), che richiede che i dati siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità del trattamento;
- principio dell’esattezza (accuracy), che stabilisce che i dati siano sempre esatti ed aggiornati, con conseguente tempestiva cancellazione dei dati che risultino inesatti rispetto alle finalità del trattamento;
- principio della limitazione della conservazione(storage limitation), che impone che i dati vengano conservati per un tempo non superiore a quello necessario rispetto agli scopi per i quali è stato effettuato il trattamento.
Ma quali sono, in concreto, gli strumenti di tutela del diritto all’oblio a cui il singolo può ricorrere allorquando intenda essere dimenticato?
Il Regolamento 2016/679/UE ha ampliato e rafforzato i diritti dell’interessato, riconoscendo, in particolare:
- il diritto alla rettifica dei dati inesatti o non aggiornati(art. 16);
- il diritto alla cancellazione(art. 17);
- il diritto alla limitazione(art. 18);
- il diritto alla opposizione al trattamento dei propri dati personali (art. 21).
Quindi ogni persona fisica può chiedere ad ogni Titolare del trattamento dei dati (es. banca, datore di lavoro, azienda, ente pubblico o privato, ODV/APS, ETS, ecc.) se (e in che modo) il Titolare utilizza suoi dati personali e di esercitare i suddetti diritti (anche gli ETS, quali Titolari, potrebbero ricevere tale richiesta).
Le modalità di esercizio di tali diritti devono essere esplicitate nell’informativa (generalmente si indica un indirizzo di posta elettronica o un contatto telefonico o un numero di fax o l’indirizzo presso il quale inviare la raccomandata): si consiglia all’associazione di individuare una persona/Incaricato a cui attribuire il compito di evaderla.
Si ricordi che sono “interessati” anche gli associati/volontari e non solo i soggetti esterni alle Associazioni/ETS.
Se l’istante non ha ricevuto alcun riscontro dal titolare o dal responsabile del trattamento dei dati nei termini stabiliti dall’art. 12, par. 3, del Regolamento 2016/679/UE, ovvero, ritenga non soddisfacente la risposta ricevuta, potrà rivolgersi con ricorso all’autorità giudiziaria (secondo quanto stabilito dall’art. 79 del GDPR e dall’art. 152 del Codice della Privacy) oppure presentare un reclamo all’autorità Garante per la Privacy ai sensi dell’art. 77 del Regolamento 2016/679/UE e degli artt. da 140 bis a 143 del D.lgs. 196/2003 del Codice della Privacy.
Il ricorso e il reclamo sono mezzi di tutela alternativi: il reclamo al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l’autorità giudiziaria e, viceversa, la presentazione del reclamo al Garante rende improponibile un’analoga azione dinanzi all’autorità giudiziaria, ad eccezione del caso in cui abbia dato mandato di agire per suo conto ad una associazione senza scopo di lucro (Associazioni, ODV, etc.) attiva nel settore della tutela dei diritti e delle libertà degli interessati con riguardo alla protezione dei dati personali.
#RIFORMANDO, IN APRILE ALLA FUNDRAISING ACADEMY