Procedura Esercizio Diritti degli Interessati

Procedura Esercizio Diritti degli Interessati

PREMESSA 

Il Regolamento UE 2016/679 e ss.mm. (di seguito “GDPR”) agli artt. 15 – 21 disciplina i diritti degli interessati, di seguito riepilogati:

• diritto di accesso dell’interessato – 15 GDPR (1);
• diritto di rettifica – 16 GDPR (2);
• diritto alla cancellazione (diritto all’oblio) – 17 GDPR (3);
• diritto di limitazione al trattamento – 18 GDPR (4);
• diritto a ricevere la notifica in caso di rettifica, cancellazione dei dati personali o limitazione del trattamento – 19 GDPR (5);
• diritto alla portabilità dei dati – 20 GDPR (6);
• diritto di opposizione al trattamento – 21 GDPR (7).

Rispetto alla precedente normativa (Codice Privacy), il GDPR ha introdotto due novità in termini di diritti degli interessati e sono: il diritto all’oblio e il diritto alla portabilità.

Le modalità per l’esercizio di tutti i diritti da parte di tutti gli interessati sono stabilite, in via generale, negli artt. 11 e 12 del Regolamento.

Al fine di agevolare l’esercizio dei diritti dell’interessato, il titolare deve fornire idonea informativa ai sensi degli artt. 13 e 14 del Regolamento, avendo cura di richiamare i contenuti degli artt. 15 – 21.

I diritti dell’interessato sono sempre esercitabili, salvo il Titolare non dimostri che non è in grado di identificare l’interessato (esempio dati anonimi).

Il Titolare deve dare seguito alle eventuali richieste di esercizio degli interessati entro un mese dal ricevimento di tale richiesta. Il termine può essere prorogato a due mesi, tenuto conto della complessità e del numero di richieste, informando l’interessato dei motivi del ritardo.

Se le richieste pervengono a mezzo elettronico si richiede, ove possibile, di dar seguito alle risposte con mezzi elettronici. Il regolamento, tuttavia, prevede anche la risposta orale solo se così richiede l’interessato.

Nel caso in cui il titolare non possa o non voglia dare seguito alla richiesta nei termini previsti deve comunque informare l’interessato e fornire le motivazioni dell’inottemperanza e della possibilità di proporre reclamo verso il Garante o verso l’Autorità Giudiziaria.

In via generale le richieste per l’esercizio dei diritti degli interessati sono gratuite; tuttavia, se le richieste sono manifestamente infondate o eccessive, il Titolare può prevedere un addebito o un contributo spese tenuto conto dei costi amministrativi sostenuti per fornire le informazioni oppure rifiutare di soddisfare la richiesta. L’onere di dimostrare l’infondatezza o il carattere eccessivo della richiesta è in capo al Titolare del trattamento.

In ogni caso se il Titolare nutre dei dubbi circa l’identità del richiedente può richiedere a sua volta ulteriori informazioni necessarie a confermare l’identità prima di dar corso alla richiesta.

Benché sia il Titolare a dover dare riscontro in caso di diritti dell’interessato, gli eventuali responsabili del trattamento sono tenuti a collaborare, così come sancito dal Regolamento all’art. 28 par.3, let.e.

Deroghe all’esercizio dei diritti degli interessati sono concesse solo sul fondamento di disposizioni normative nazionali riprese negli art. 17 par.3 per quanto attiene al diritto all’oblio/cancellazione (libertà di espressione e di informazione, interesse pubblico, difesa di un diritto in sede giudiziaria, etc.), art. 23 (sicurezza nazionale e pubblica, difesa), art. 83 (trattamenti di natura giornalistica) e art. 89 (trattamenti per finalità di ricerca scientifica storica o statistica).

1. DEFINIZIONI

Di seguito si forniscono alcune definizioni e specifiche:

• Diritto di accesso: diritto di ricevere una copia dei dati personali oggetto di trattamento, consultabile anche da remoto e in modo sicuro (considerando 68)
• Diritto di cancellazione o “oblio”: diritto alla cancellazione dei propri dati personali in forma Nello specifico comporta l’obbligo per i titolari che hanno reso pubblici i dati degli interessati pubblicandoli ad esempio su un sito web di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi copie, link o riproduzioni.
• Diritto di limitazione: tale diritto costituisce un’alternativa alla cancellazione dei dati; il diritto alla limitazione è più esteso rispetto al “blocco” ed è esercitabile anche in assenza di violazioni da parte del titolare, ovvero se l’interessato chiede rettifica dei propri dati o si oppone al trattamento. Il diritto alla limitazione presuppone che il titolare sia in grado di “contrassegnare” i dati oggetto di limitazione prevedendo misure idonee nei propri sistemi
• Diritto alla portabilità: si applica esclusivamente ai trattamenti automatizzati di dati; in particolare, sono “portabili” i dati forniti dall’interessato previo consenso o sulla base di un contratto stipulato con l’interessato (esempio dati forniti all’atto di una registrazione o creazione di un account). La trasmissione dei dati da un titolare all’altro richiede l’utilizzo di formati interoperabili (formato di uso comune e leggibile da dispositivo automatico).

Il WP 29 ha pubblicato la linea guida n.242 del 05 aprile 2017, dove ne sono definiti i requisiti e le caratteristiche del Diritto alla Portabilità; in linea generale, tale diritto è stato concepito per i settori della “telefonia”, “internet”, “sanità”, “utenze domestiche”.

2. FINALITÀ E CAMPO DI APPLICAZIONE

Questa procedura si applica a tutto il personale del Comune di Rocca di Cave e a tutti gli interessati. Gli interessati che potrebbero dare seguito a richieste di esercizio dei loro diritti sono:

• Dipendenti
• Utenti

L’obiettivo di questa procedura è quello di esplicitare e fornire indicazioni circa le modalità organizzative adottate dalla Assemblea per dar corso alle richieste di esercizio degli interessati.

3. MISURE ORGANIZZATIVE PER ESERCIZIO DEI DIRITTI DEGLI INTERESSATI

Le modalità organizzative poste in essere dall’Ente sono:

• Richiamare in ogni informativa redatta ai sensi degli 13 e 14 del Regolamento l’elenco dei diritti esercitabili;
• Aver creato un indirizzo e-mail specifico segreteriaroccadicave@pec.provincia.roma.it a cui gli interessati possono in via elettronica inviare le loro richieste;Aver adottato misure organizzative e tecniche idonee per consentire l’accesso al dato, la rettifica, la limitazione, la cancellazione e, se si dovesse verificare, la portabilità;
• Aver nominato un DPO esterno (Data Protection Officer), quale punto di contatto, raggiungibile via e-mail o mezzo posta e/o presso la sede dell’ Ente. Il DPO nominato è:

• Aver sensibilizzato i propri responsabili esterni con nomina ai sensi dell’art. 28 del Regolamento;
• Aver formato internamente il proprio personale;
• Aver adottato la seguente procedura predisponendo modello di

IL COMUNE DI ROCCA DI CAVE si conforma inoltre alle tempistiche previste dal Regolamento per l’inoltro delle risposte che fissa in 30 giorni solari (un mese) dalla ricezione, salvo proroga ai sensi di quanto previsto dal Regolamento.

IL COMUNE DI ROCCA DI CAVE fonda inoltre la propria analisi del rischio privacy sulla metodologia CNIL a garanzia e tutela dell’attenzione posta ai principi e diritti fondamentali delle libertà e della vita privata degli interessati considerate “non negoziabili”, tra cui anche l’esercizio dei propri diritti.

4. RIFERIMENTI NORMATIVI

Art. 15 – Diritto di accesso dell’interessato del Regolamento Europeo 679/16 (GDPR)

• L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
  1. le finalità del trattamento;
  2. le categorie di dati personali in questione;
  3. i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
  4. quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  5. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
  6. il diritto di proporre reclamo a un’autorità di controllo;
  7. qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
  8. l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
• Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.
• Il titolare del trattamento fornisce una copia dei dati personali oggetto di In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.
• Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.

Art. 16 – Diritto di rettifica del Regolamento Europeo 679/16 (GDPR)

L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

Art. 17 – Diritto alla cancellazione (Diritto d’oblio) del Regolamento Europeo 679/16 (GDPR)

• L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:
  1. i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti altrimenti trattati;
  2. l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;
  3. l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure sioppone al trattamento ai sensi dell’articolo 21, paragrafo 2;
  4. i dati personali sono stati trattati illecitamente;
  5. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;
  6. i dati personali    sono    stati    raccolti    relativamente     all’offerta    di    servizi   della Azienda dell’informazione di cui all’articolo 8, paragrafo 1.

• Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
• I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:

1. per l’esercizio del diritto alla libertà di espressione e di informazione;
2. per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;
3. per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3;
4. a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento;
5. per l’accertamento, l’esercizio o la difesa di un diritto in sede

Art. 18 – Diritto di limitazione di trattamento del Regolamento Europeo 679/16 (GDPR)

• L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
  1. l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
  2. il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
  3. benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
  4. l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
• Se il trattamento è limitato a norma del paragrafo 1, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato
• L’interessato che ha ottenuto la limitazione del trattamento a norma del paragrafo 1 è informato dal titolare del trattamento prima che detta limitazione sia

Art. 19 – Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell’articolo 16, dell’articolo 17, paragrafo 1, e dell’articolo 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda.

Art. 20 – Diritto alla portabilità dei dati

• L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:
  1. il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b);
  2. il trattamento sia effettuato con mezzi

• Nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile.
• L’esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l’articolo 17. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

• Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà

Art. 21 – Diritto di opposizione 

• L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo6, paragrafo 1, lettere e) o f ), compresa la profilazione sulla base di tali

Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

• Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing
• Qualora l’interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità.
• Il diritto di cui ai paragrafi 1 e 2 è esplicitamente portato all’attenzione dell’interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l’interessato.
• Nel contesto dell’utilizzo di servizi dell’ Ente e fatta salva la direttiva 2002/58/CE, l’interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche
• Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici a norma dell’articolo 89, paragrafo 1, l’interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguarda, salvo se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico.

ESERCIZIO DEI DIRITTI DEGLI INTERESSATI

Ultimo aggiornamento 9 gennaio 2025

Pagina aggiornata il 09/01/2025