Il GDPR è il Regolamento Generale per la Protezione dei Dati Personali: una normativa europea sviluppata per tutelare la privacy online degli utenti.
Gli aspetti più generali e introduttivi del GDPR sono le fondamenta teoriche del Regolamento: hanno a che fare con il concetto di consenso, ma anche con l’informativa che l’utente è tenuto a visionare prima di sottoscrivere un qualsiasi tipo di accordo.
Il GDPR entra però anche nel merito delle azioni a disposizioni di un utente che ritiene di aver subìto una violazione dei dati personali: a partire dall’invio di un reclamo o di un ricorso, fino ad arrivare alla possibilità di ottenere un risarcimento.
Quali sono i principi base del GDPR
Credits Shutterstock
Le attività e gli interventi del GDPR si basano su una serie di presupposti fondamentali legati al trattamento dei dati personali nel rispetto della privacy online dell’utente. Uno di questi è presente all’interno dell’articolo 6 del Regolamento.
L’articolo 6 delinea le caratteristiche che rendono lecito un qualsiasi trattamento dei dati personali: a partire dal consenso dell’utente interessato, che deve essere reso manifesto tramite una dichiarazione o un’azione positiva che possa essere considerata “inequivocabile”.
Dunque non è ammesso in nessun caso un consenso di tipo tacito o presunto, ma non solo. Il consenso dell’utente deve essere sempre e comunque libero, specifico e informato. Questo però non vuol dire che la manifestazione di consenso debba essere necessariamente documentata per iscritto.
Per il GDPR in Italia il consenso sui dati sensibili e altre categorie specifiche di dati personali deve essere “esplicito”. Inoltre il consenso dei minori è lecito soltanto a partire dal raggiungimento dei 14 anni di età dell’utente.
Secondo il GDPR il consenso dell’utente deve essere inequivocabile e dovrebbe essere ottenuto dopo avere reso nota l’informativa
Il presupposto del consenso è soltanto uno dei cardini del GDPR, che tiene conto di altri fondamenti di liceità. Ad esempio il titolare è soggetto a tutta una serie di obblighi di legge tra cui la tutela degli interessi vitali della persona interessata.
A ciò si aggiungono una serie di contenuti che devono obbligatoriamente venire pubblicati all’interno delle informative. A partire dai dati di contatto del titolare, fino ad arrivare a quelli della persona che svolge il ruolo di RPD: responsabile della protezione dei dati. Per il resto l’elenco completo è descritto all’interno degli articoli 13 e 14 del Regolamento.
La realizzazione dell’informativa prevede non solo contenuti, ma anche tempistiche e modalità specifiche. Innanzitutto l’informativa deve venire fornita precedentemente rispetto alla raccolta di dati.
Nel caso in cui si utilizzino dati personali raccolti per via indiretta, vale il principio del termine ragionevole: ciò vuol dire comunicare l’informativa entro e non oltre un mese dalla raccolta di dati personali.
Per quanto riguarda le modalità, l’informativa deve essere intelligibile e trasparente. Ma deve anche essere concisa e facilmente accessibile. Il GDPR suggerisce di diffonderla per iscritto e in formato elettronico. Le icone sono ben accette, a patto che siano associate a una descrizione testuale estesa.
Come inviare un reclamo o un ricorso al GDPR
Credits Shutterstock
Attraverso il reclamo l'utente può contattare il Garante per la Protezione dei Dati Personali e segnalare una qualsiasi forma di violazione dei suoi dati personali o della sua privacy. Il modulo può venire sottoscritto direttamente dall’utente, così come può essere affidato ad altri per suo conto: ad esempio a un professionista privato, ma anche a un’organizzazione.
Le modalità di invio del reclamo sono molteplici: a partire dalla consegna a mano presso uno degli indirizzi indicati, fino ad arrivare alla raccomandata fisica con ricevuta di ritorno e il messaggio di posta elettronica certificata PEC.
L’utilizzo di un indirizzo di posta elettronica certificata è l’unica condizione che permette di contattare effettivamente il recapito email fornito dal Garante per la Protezione dei Dati Personali.
Stando alle indicazioni del GDPR sia il reclamo che un eventuale procura allegata devono essere sottoscritti dall’utente. Anche in questo caso esistono più opzioni: è possibile siglare con firma digitale, così come è possibile siglare con firma autografa. In questo caso però l’utente è chiamato a integrare il modulo con una copia di un documento di riconoscimento in corso di validità.
Il reclamo permette di segnalare una violazione dei dati personali. Il ricorso serve a richiedere l’annullamento di un atto
Il ricorso è una tipologia di richiesta molto diversa rispetto al reclamo. Con un ricorso infatti l’utente richiede l’annullamento o la revoca di un atto precedentemente applicato. Il ricorso deve essere motivato: ciò vuol dire che l’utente è chiamato a spiegare perché l’atto messo in discussione sia da considerarsi lesivo per i suoi diritti.
Il GDPR rende note tutte le informazioni da seguire per poter inviare un ricorso. Ad esempio l’utente deve contattare innanzitutto il titolare o il responsabile del trattamento dei suoi dati personali. Può rivolgersi al Garante soltanto dopo che siano passati minimo cinque giorni dalla data di presentazione di cui sopra.
Il discorso vale anche nel caso dei ricorsi legati all’impossibilità di accedere ai propri dati personali. L’utente deve dunque aspettare il rigetto dell’istanza, o in alternativa aspettare che passino cinque giorni dal suo inoltro per poter impugnare l’inerzia.
Come funziona il risarcimento danni del GDPR
Credits Shutterstock
Il GDPR esplicita come qualsiasi utente subisca un danno legato alla violazione dei suoi dati personali o della sua privacy ha diritto a ottenere un risarcimento: tanto in caso di danno patrimoniale, quanto in caso di danno non patrimoniale. Il risarcimento verrà poi versato dal titolare del trattamento o dalla figura indicata come responsabile.
Più precisamente il titolare risponde della violazione del regolamento. Il responsabile risponde in caso di comportamento difforme rispetto a quanto indicato dal titolare. O, più in generale, in caso di adempimenti non corretto delle sue mansioni.
È importante sottolineare che il Garante per la Protezione dei Dati Personali non ha competenza in merito alle richieste di risarcimento danni legate al trattamento dei dati personali. Ciò vuol dire che l’utente non può rivolgersi al Garante Privacy. Piuttosto deve contattare direttamente l'autorità giudiziaria di riferimento.
Per saperne di più: Sicurezza informatica: guida alla navigazione sicura sul web