Quando la protezione della privacy e dei dati personali diventa una questione di competenza dell'Unione Europea Europeo
Il regolamento RGPD bilancia quindi il diritto alla privacy con il diritto di trattare alcuni dati personali per motivi legati alla tutela dell'ambiente e alla gestione economica efficiente del porto.
Questo giusto equilibrio consentirà di conciliare in modo rispettoso gli interessi di tutti: gli interessi economici e ambientali del porto e la tutela della privacy di ciascuno.
Questo è esattamente in linea con l'articolo 8(2) della Convenzione europea dei diritti dell'uomo - una convenzione, va ricordato, a cui l'Unione europea ha aderito - che afferma che possono essere poste restrizioni proporzionate al diritto alla privacy quando sono in gioco interessi legittimi.
Me Zakine, avvocato, dottore in legge, vi propone un testo sull'impatto del RGPD sulla privacy.
Leggi il suo ritratto qui
L'articolo 8 della Convenzione europea dei diritti dell'uomo recita:
Articolo 8 - Diritto al rispetto della vita privata e familiare
1 Tutti hanno diritto al rispetto vita privata e familiare, casa e corrispondenza.
2 Un'autorità pubblica non può interferire con l'esercizio di questo diritto a meno che tale interferenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessario per la sicurezza nazionale, la pubblica sicurezza, il benessere economico del Paese, la prevenzione di disordini o crimini, la protezione della salute o della morale, o la protezione dei diritti e delle libertà altrui.
Di conseguenza, deve essere applicato il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), regolamento direttamente applicabile
L'articolo 8 della Convenzione europea dei diritti dell'uomo recita:
Articolo 8 - Diritto al rispetto della vita privata e familiare
1 Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza.
2 Un'autorità pubblica non può interferire con l'esercizio di questo diritto a meno che tale interferenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessario per la sicurezza nazionale, la pubblica sicurezza, il benessere economico del Paese, la prevenzione di disordini o crimini, la protezione della salute o della morale, o la protezione dei diritti e delle libertà altrui.
Di conseguenza, deve essere applicato il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), regolamento direttamente applicabile
sembra essenziale fare riferimento ad essa nel contesto della tecnologia che si intende sviluppare e proporre.
Come tale, il considerando n. 4 del Regolamento del 27 aprile 2016 afferma che:
Il trattamento dei dati personali deve essere concepito per servire l'umanità. Il diritto alla protezione dei dati personali non è un diritto assoluto; deve essere considerato in relazione alla sua funzione nella società e bilanciato con altri diritti fondamentali, in conformità al principio di proporzionalità. Il presente regolamento rispetta tutti i diritti fondamentali e osserva le libertà e i principi riconosciuti dalla Carta e sanciti dai trattati, in particolare il rispetto della vita privata e familiare, del domicilio e delle comunicazioni, e la protezione dei dati personali, libertà di pensiero, di coscienza e di religione, libertà di espressione e di informazione, libertà di impresa, diritto a un ricorso effettivo e a un processo equo, diversità religiosa e linguistica.
Il trattamento dei dati personali deve essere in linea con l'obiettivo stabilito dal legislatore europeo, come emerge chiaramente dai considerando 6 e 7 del regolamento:
(6) La rapida evoluzione tecnologica e la globalizzazione hanno creato nuove sfide per la protezione dei dati personali. Il grado di raccolta e condivisione dei dati personali è aumentato in modo significativo. Le tecnologie consentono alle aziende private e alle autorità pubbliche di utilizzare i dati personali nelle loro attività come mai prima d'ora. Sempre più spesso gli individui rendono accessibili pubblicamente e globalmente le informazioni che li riguardano. La tecnologia ha trasformato l'economia e le relazioni sociali ed è destinata a farlo ancora. facilitare la libera circolazione dei dati personali all'interno dell'UE e il loro trasferimento verso paesi terzi e organizzazioni internazionali, garantendo al contempo un elevato livello di protezione dei dati personali.
(7)Questi sviluppi richiedono un quadro di protezione dei dati solido e più coerente nell'UE, accompagnata da un'applicazione rigorosa delle regoleÈ importante creare la fiducia che permetterà all'economia digitale di svilupparsi in tutto il mercato interno. Gli individui dovrebbero avere il controllo sui propri dati personali. La certezza giuridica e pratica dovrebbe essere rafforzata per le persone, gli operatori economici e le autorità pubbliche.
(10) " Al fine di garantire un livello coerente ed elevato di protezione delle persone e di eliminare gli ostacoli alla circolazione dei dati personali all'interno dell'Unione, il livello di protezione dei diritti e delle libertà delle persone in relazione al trattamento di tali dati dovrebbe essere equivalente in tutti gli Stati membri".
Il considerando 10 suggerisce che, adottando un sistema molto rigoroso fin dall'inizio in Francia, e tenendo conto del requisito di una protezione efficace e simile in ciascuno degli Stati membri dell'Unione europea.
Per quanto riguarda il considerando 15 del regolamento, che recita :
"Per evitare di creare un grave rischio di elusione, la protezione delle persone fisiche dovrebbe essere neutrale dal punto di vista tecnologico e non dovrebbe dipendere dalle tecniche utilizzate. Dovrebbe applicarsi al trattamento dei dati personali con mezzi automatici e al trattamento manuale, se i dati personali sono contenuti o destinati a essere contenuti in un sistema di archiviazione.. I fascicoli o gli insiemi di fascicoli e le loro copertine che non sono strutturati secondo criteri specifici non dovrebbero rientrare nel campo di applicazione del presente regolamento".
Di conseguenza, indipendentemente dalle modalità di trattamento dei dati personali, il Regolamento RGPD deve essere applicato ogni volta che vengono raccolti dati personali.
Quindi, ad esempio, che si tratti di una telecamera di videosorveglianza in grado di rilevare un numero di targa o di una tecnologia che consente di regolare la velocità di un veicolo, tutto è possibile. RGPD è immediatamente applicabile.
Questo requisito è in linea con la volontà del legislatore di offrire la massima tutela a dati personali e privacy.
-
Analisi dei considerando del regolamento RGPD, che forniscono una panoramica degli obiettivi perseguiti dall'Unione Europea.
Recital 18:
"Il presente regolamento non si applica al trattamento dei dati personali effettuato da una persona fisica nell'ambito di attività strettamente personali o domestiche, e quindi estranee a un'attività professionale o commerciale". Le attività personali o domestiche possono includere lo scambio di corrispondenza e la tenuta di una rubrica, oppure l'uso di social network e le attività online che si svolgono nel contesto di tali attività. Tuttavia, il presente regolamento si applica ai responsabili o agli incaricati del trattamento che forniscono i mezzi per trattare i dati personali per tali attività personali o domestiche.. "
Il campo di applicazione del regolamento consente quindi di applicare la propria tecnologia, se consideriamo il regolamento tenendo conto dell'attività di trattamento dei dati, anche se si tratta di fotografare un'imbarcazione che ha solo un'attività personale.
Recital 32:
" Il consenso deve essere dato con un chiaro atto positivo con cui l'interessato esprime liberamente, specificamente, informalmente e senza ambiguità il proprio consenso al trattamento dei dati personali che lo riguardano, ad esempio mediante una dichiarazione scritta, anche con mezzi elettronici, o una dichiarazione orale.Ciò potrebbe avvenire in particolare selezionando una casella quando si consulta un sito web, optando per determinati parametri tecnici per i servizi della società dell'informazione o mediante un'altra dichiarazione o altro comportamento che indichi chiaramente in questo contesto che l'interessato acconsente al trattamento proposto dei suoi dati personali. Non vi può quindi essere consenso in caso di silenzio, caselle di spunta predefinite o inattività. Il consenso prestato deve applicarsi a tutte le attività di trattamento aventi la stessa finalità o le stesse finalità. Se il trattamento ha più finalità, il consenso deve essere dato per tutte. Se il consenso dell'interessato viene dato a seguito di una richiesta fatta con mezzi elettronici, tale richiesta deve essere chiara e concisa e non deve interrompere inutilmente l'uso del servizio per il quale viene data".
Dovrebbe essere istituito un sistema che consenta ai proprietari di imbarcazioni di dare il proprio consenso libero, esplicito e inequivocabile.
Considerazione 39:
"Qualsiasi trattamento di dati personali deve essere lecito e corretto. La raccolta, l'utilizzo, l'accesso o il trattamento di dati personali relativi a persone fisiche e la misura in cui tali dati sono o saranno trattati devono essere trasparenti per le persone fisiche interessate. Il principio di trasparenza richiede che qualsiasi informazione e comunicazione relativa al trattamento dei dati personali sia facilmente accessibile, di facile comprensione e formulata in termini chiari e semplici. Questo principio si applica, in particolare, alle informazioni fornite agli interessati sull'identità del responsabile del trattamento e sulle finalità del trattamento, nonché ad altre informazioni volte a garantire un elevato livello di protezione degli interessati. trattamento equo e trasparente delle persone fisiche interessate e il loro diritto di ottenere la conferma e la comunicazione dei dati personali che li riguardano e che sono oggetto di trattamento. Le persone devono essere informate dei rischi, delle regole, delle garanzie e dei diritti associati al trattamento dei dati personali e di come esercitare i propri diritti in relazione a tale trattamento. In particolare, le finalità specifiche del trattamento dei dati personali devono essere esplicite e legittime, e determinate al momento della raccolta dei dati personali.. I dati personali devono essere adeguati, pertinenti e limitati a quanto necessario per le finalità per cui sono trattati. Ciò richiede, in particolare, che i periodi di conservazione dei dati siano limitati al minimo indispensabile. I dati personali devono essere trattati solo se lo scopo del trattamento non può essere ragionevolmente raggiunto con altri mezzi. Per garantire che i dati non siano conservati più a lungo del necessario, il responsabile del trattamento dovrebbe fissare dei termini per la loro cancellazione o per la revisione periodica. Dovrebbero essere adottate tutte le misure ragionevoli per garantire che i dati personali inesatti siano rettificati o cancellati.. I dati personali devono essere trattati in modo da garantire un'adeguata sicurezza e riservatezza, compresa la prevenzione dell'accesso e dell'uso non autorizzato di tali dati e delle apparecchiature utilizzate per il loro trattamento".
-
Analisi dettagliata delle disposizioni normative
- Articolo 2 Campo di applicazione materiale
" 1. Il presente regolamento si applica a trattamento dei dati personali, automatizzato in tutto o in parte, nonché il trattamento non automatizzato di dati personali contenuti o destinati a essere contenuti in un archivio".
- Analisi precisa delle definizioni
Articolo 4 Definizioni Ai fini del presente regolamento :
- Per "dati personali" si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile (di seguito denominata "interessato"); per "persona fisica identificabile" si intende una persona che può essere identificata, direttamente o indirettamente, in particolare mediante con riferimento a un identificatorecome un nome o un numero di identificazione, dati sulla posizioneI dati personali di un utente possono essere collegati a un identificatore online o a uno o più fattori specifici dell'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale dell'utente;
A dati personali è qualsiasi informazione relativa a una persona fisica identificata o identificabile.
Una persona fisica può essere identificata:
direttamente (esempio: nome e cognome) ;
indirettamente (ad esempio, tramite un numero di telefono o di fax). targaun identificatore come il sicurezza sociale(ad esempio un indirizzo postale o di posta elettronica, ma anche una voce o un'immagine).
2) "trattamento": qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati su dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
3) per "limitazione del trattamento" si intende la marcatura dei dati personali conservati al fine di limitarne il trattamento futuro;
4) "profilazione": qualsiasi forma di trattamento automatizzato di dati personali che comporti l'utilizzo di dati personali per valutare determinati aspetti personali relativi a una persona, in particolare per analizzare o prevedere fattori associati al rendimento lavorativo, alla situazione economica, alla salute, alle preferenze personali, agli interessi, all'affidabilità, al comportamento, all'ubicazione o agli spostamenti di tale persona;
5) "pseudonimizzazione": il trattamento dei dati personali in modo tale che non possano più essere attribuiti a un soggetto specifico senza ricorrere a informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative per garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile;
6) "archivio": qualsiasi insieme strutturato di dati personali accessibili secondo criteri specifici, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o distribuito su base funzionale o geografica;
7) "responsabile del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento; qualora le finalità e i mezzi di tale trattamento siano determinati dal diritto dell'Unione o di uno Stato membro, il responsabile del trattamento può essere designato o possono essere stabiliti criteri specifici per tale designazione nel diritto dell'Unione o di uno Stato membro;
9) “destinatario”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo a cui vengono comunicati i dati personali, che si tratti o meno di terzi. Non rientrano, tuttavia, le autorità pubbliche a cui è probabile che venga comunicata la comunicazione dei dati personali personale nel contesto di una particolare missione conoscitiva ai sensi del diritto dell'Unione o del diritto di uno Stato membro non sono considerati destinatari; il trattamento di questi dati da parte delle autorità pubbliche in questione è conforme alle norme sulla protezione dei dati applicabili a seconda delle finalità del trattamento;
10) "terzo": una persona fisica o giuridica, un'autorità pubblica, un servizio o un organismo diverso dall'interessato, dal responsabile del trattamento, dall'incaricato del trattamento e dalle persone che, sotto l'autorità diretta del responsabile del trattamento o dell'incaricato del trattamento, sono autorizzate a trattare i dati personali;
11) per "consenso" dell'interessato si intende qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile con la quale l'interessato manifesta il proprio assenso, mediante dichiarazione o atto positivo evidente, al trattamento dei dati personali che lo riguardano;
Un sistema di consenso informato e di informazioni chiare e corrette deve essere implementato come parte dell'uso della vostra tecnologia.
-
Questo ci porta a considerare la trasparenza e la correttezza delle informazioni fornite prima dell'acquisizione e del trattamento dei dati personali.
CAPITOLO III Diritti dell'interessato
Sezione 1 Trasparenza e termini e condizioni
Articolo 12 Trasparenza delle informazioni e delle comunicazioni e modalità di esercizio dei diritti dell'interessato
1.Il responsabile del trattamento adotta misure adeguate per fornire le informazioni di cui agli articoli 13 e 14 e per effettuare le comunicazioni di cui agli articoli da 15 a 22 e all'articolo 34 relative al trattamento all'interessato in modo conciso, trasparente, comprensibile e facilmente accessibile, in un linguaggio chiaro e semplice, in particolare per le informazioni destinate specificamente a un minore.
Le informazioni devono essere fornite per iscritto o con altri mezzi, anche, se del caso, per via elettronica.. Se l'interessato lo richiede, le informazioni possono essere fornite oralmente, a condizione che l'identità dell'interessato sia accertata con altri mezzi.
(2) Il responsabile del trattamento agevola l'esercizio dei diritti dell'interessato ai sensi degli articoli da 15 a 22. Nei casi di cui all'articolo 11, paragrafo 2, il responsabile del trattamento non rifiuta di dare seguito alla richiesta dell'interessato di esercitare i diritti di cui agli articoli da 15 a 22, a meno che il responsabile del trattamento non dimostri di non essere in grado di identificare l'interessato.
3 Il responsabile del trattamento fornisce all'interessato informazioni sulle misure adottate in risposta a una richiesta presentata ai sensi degli articoli da 15 a 22 quanto prima e comunque entro un mese dal ricevimento della richiesta. Se necessario, tale termine può essere prorogato di due mesi, tenendo conto della complessità e del numero delle richieste. Il titolare del trattamento informa l'interessato di tale proroga e dei motivi del rinvio entro un mese dal ricevimento della richiesta. Se l'interessato presenta la sua richiesta in forma elettronica, le informazioni saranno fornite per via elettronica, ove possibile, a meno che l'interessato non richieda diversamente.
4 Se il responsabile del trattamento non dà seguito alla richiesta dell'interessato, lo informa senza indugio, al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell'inerzia e della possibilità di proporre reclamo a un'autorità di controllo e di proporre ricorso giurisdizionale.
5 Non è richiesto alcun pagamento per fornire informazioni ai sensi degli articoli 13 e 14 e per effettuare qualsiasi comunicazione e intraprendere qualsiasi azione ai sensi degli articoli da 15 a 22 e dell'articolo 34. Se le richieste dell'interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il responsabile del trattamento può:
- (a) richiedere il pagamento di spese ragionevoli che tengano conto dei costi amministrativi sostenuti per fornire le informazioni, effettuare le comunicazioni o intraprendere l'azione richiesta;
o b) rifiutare di soddisfare tali richieste. Spetta al titolare del trattamento dimostrare che la richiesta è manifestamente infondata o eccessiva.
6 Fatto salvo l'articolo 11, il responsabile del trattamento, qualora nutra ragionevoli dubbi sull'identità della persona fisica che presenta la richiesta di cui agli articoli da 15 a 21, può chiedere di fornire le informazioni supplementari necessarie per confermare l'identità dell'interessato.
7.Le informazioni da fornire agli interessati ai sensi degli articoli 13 e 14 possono essere fornite insieme a icone standardizzate al fine di fornire una panoramica chiara, facilmente visibile, comprensibile e chiaramente leggibile del trattamento previsto. Se le icone sono presentate elettronicamente, devono essere leggibili a macchina. 8 Alla Commissione è conferito il potere di adottare atti delegati conformemente all'articolo 92 al fine di determinare le informazioni da presentare sotto forma di icone e le procedure che disciplinano la fornitura di icone standardizzate.
Sezione 2 Informazioni e accesso ai dati personali
Articolo 13 Informazioni da fornire al momento della raccolta dei dati personali dell'interessato
(1) Quando i dati personali relativi a una persona interessata sono raccolti presso di essa, il responsabile del trattamento deve fornirle, al momento dell'ottenimento dei dati in questione, tutte le seguenti informazioni:
- a) l'identità e i dati di contatto del responsabile del trattamento e, se del caso, del suo rappresentante
- b) se del caso, i dati di contatto del responsabile della protezione dei dati;
- c) le finalità del trattamento cui sono destinati i dati personali e la base giuridica del trattamento;
- d) se il trattamento si basa sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal responsabile del trattamento o da un terzo;
- e) gli eventuali destinatari o categorie di destinatari dei dati personali;
e f) se del caso, il fatto che il responsabile del trattamento intende trasferire dati personali a un paese terzo o a un'organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui agli articoli 46 o 47 o all'articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o adeguate e i mezzi per ottenerne una copia o il luogo in cui sono state rese disponibili;
(2) Oltre alle informazioni di cui al paragrafo 1, il responsabile del trattamento fornisce all'interessato, al momento dell'ottenimento dei dati personali, le seguenti informazioni aggiuntive, necessarie per garantire un trattamento equo e trasparente:
- a) per quanto tempo i dati personali saranno conservati o, qualora ciò non sia possibile, i criteri utilizzati per determinare tale periodo;
b) l'esistenza del diritto di chiedere al responsabile del trattamento l'accesso ai dati personali, la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguarda, o il diritto di opporsi al trattamento e il diritto alla portabilità dei dati;
- c) se il trattamento è basato sull'articolo 6, paragrafo 1, lettera a) o sull'articolo 9, paragrafo 2, lettera a)), il diritto di revocare il consenso in qualsiasi momentoCiò non pregiudica la liceità del trattamento effettuato sulla base del consenso prima della sua revoca;
- d) il diritto di presentare un reclamo a un'autorità di controllo;
- (e) informazioni sull'eventuale obbligo di fornire dati personali di natura regolamentare o contrattuale o come condizione per la conclusione di un contratto e sull'eventuale obbligo dell'interessato di fornire i dati personali, nonché sulle possibili conseguenze della mancata comunicazione di tali dati;
- (f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione, di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni pertinenti sulla logica sottostante e sull'importanza e le conseguenze previste di tale trattamento per l'interessato.
3 Qualora il responsabile del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui i dati personali sono stati raccolti, dovrà fornire preventivamente all'interessato informazioni su tale altra finalità e qualsiasi altra informazione pertinente di cui al paragrafo 2.
(4) I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato dispone già di tali informazioni. Articolo 14 Informazioni da fornire se i dati personali non sono stati ottenuti dall'interessato 1 Se i dati personali non sono stati ottenuti dall'interessato, il responsabile del trattamento fornisce all'interessato tutte le seguenti informazioni: (a) l'identità e i dati di contatto del responsabile del trattamento e, se del caso, del rappresentante del responsabile del trattamento;
- b) se del caso, i dati di contatto del responsabile della protezione dei dati;
- c) le finalità del trattamento cui sono destinati i dati personali e la base giuridica del trattamento;
- d) le categorie di dati personali interessate;
- e) se del caso, i destinatari o le categorie di destinatari dei dati personali;
- (f) se del caso, il fatto che il responsabile del trattamento intende trasferire dati personali a un destinatario in un paese terzo o a un'organizzazione internazionale, e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui agli articoli 46 o 47 o all'articolo 49, paragrafo 1, secondo comma, il riferimento alle garanzie appropriate o adeguate e i mezzi per ottenerne una copia o il luogo in cui sono state rese disponibili;
(2) Oltre alle informazioni di cui al paragrafo 1, il responsabile del trattamento fornisce all'interessato le seguenti informazioni necessarie a garantire un trattamento equo e trasparente nei suoi confronti:
- a) il periodo di conservazione dei dati personali o, se non è possibile, i criteri utilizzati per determinare tale periodo;
- (b) se il trattamento si basa sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal responsabile del trattamento o da un terzo;
(c) l'esistenza del diritto di chiedere al responsabile del trattamento l'accesso, la rettifica o la cancellazione dei dati personali o la limitazione del trattamento che lo riguardano, nonché il diritto di opporsi al trattamento e il diritto alla portabilità dei dati;
- (d) se il trattamento è basato sull'articolo 6, paragrafo 1, lettera a), o sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento, senza pregiudicare la liceità del trattamento basato sul consenso effettuato prima della revoca del consenso;
- e) il diritto di presentare un reclamo a un'autorità di controllo;
- f) la fonte da cui provengono i dati personali e, se del caso, una dichiarazione che indichi se provengono o meno da fonti disponibili al pubblico;
- (g) l'esistenza di un processo decisionale automatizzato, compresa la profilazione, di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni pertinenti sulla logica sottostante e sull'importanza e le conseguenze previste di tale trattamento per l'interessato.
(3) Il responsabile del trattamento deve fornire le informazioni di cui ai paragrafi 1 e 2:
- (a) entro un tempo ragionevole dall'ottenimento dei dati personali, ma non superiore a un mese, tenuto conto delle circostanze specifiche in cui i dati personali sono trattati;
- b) se i dati personali devono essere utilizzati per comunicare con l'interessato, al più tardi al momento della prima comunicazione all'interessato;
oppure c) se intende comunicare le informazioni a un altro destinatario, al più tardi quando i dati personali vengono comunicati per la prima volta. (4) Qualora il responsabile del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui sono stati ottenuti, il responsabile del trattamento fornisce preventivamente all'interessato informazioni su tale altra finalità e qualsiasi altra informazione pertinente di cui al paragrafo (2). (5) I paragrafi da (1) a (4) non si applicano se e nella misura in cui:
- a) l'interessato dispone già di tali informazioni;
- (b) la comunicazione di tali informazioni risulti impossibile o richieda uno sforzo sproporzionato, in particolare per il trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, fatte salve le condizioni e le garanzie di cui all'articolo 89, paragrafo 1, o nella misura in cui l'obbligo di cui al paragrafo 1 del presente articolo possa rendere impossibile o compromettere gravemente il conseguimento delle finalità di tale trattamento. In tali casi, il responsabile del trattamento adotta misure appropriate per tutelare i diritti e le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni;
- (c) l'ottenimento o la comunicazione delle informazioni è espressamente prevista dal diritto dell'Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento e che prevede misure adeguate per tutelare i legittimi interessi dell'interessato; oppure
- d) i dati personali devono rimanere riservati in virtù di un obbligo di segreto professionale disciplinato dal diritto dell'Unione o degli Stati membri, compreso un obbligo di segreto professionale previsto dalla legge.
Articolo 15 Diritto di accesso dell'interessato
(1) L'interessato ha il diritto di ottenere dal responsabile del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in caso di trattamento, l'accesso a tali dati personali e alle seguenti informazioni:
- a) le finalità del trattamento;
- b) le categorie di dati personali interessate;
- c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare i destinatari stabiliti in paesi terzi o organizzazioni internazionali;
- (e) l'esistenza del diritto di richiedere al responsabile del trattamento la rettifica o la cancellazione dei dati personali, o una limitazione del trattamento dei dati personali relativi all'interessato, o il diritto di opporsi a tale trattamento;
- f) il diritto di presentare un reclamo a un'autorità di controllo;
- g) qualora i dati personali non siano raccolti presso l'interessato, qualsiasi informazione disponibile sulla loro origine;
- (h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione, di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni pertinenti sulla logica sottostante e sull'importanza e le conseguenze previste di tale trattamento per l'interessato.
2 Qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato delle garanzie appropriate, ai sensi dell'articolo 46, in relazione a tale trasferimento.
3 Il responsabile del trattamento deve fornire una copia dei dati personali trattati. Il responsabile del trattamento può addebitare un costo ragionevole basato sui costi amministrativi per eventuali copie aggiuntive richieste dall'interessato. Se l'interessato presenta la sua richiesta per via elettronica, le informazioni saranno fornite in un formato elettronico comunemente utilizzato, a meno che l'interessato non richieda diversamente.
4 Il diritto di ottenere una copia di cui al paragrafo 3 non pregiudica i diritti e le libertà altrui.
Articoli 12 e 13 del Regolamento Il RGPD chiarisce che dovrà essere attuato un quadro giuridico molto preciso e rigoroso per evitare qualsiasi difficoltà e garantire che le aziende rispettino il rispetto della privacy e la protezione dei dati personali. in linea con l'obiettivo perseguito dal legislatore europeo.
Sezione 3 Rettifica e cancellazione
Articolo 16 Diritto di rettifica
L'interessato ha il diritto di ottenere dal responsabile del trattamento, nel più breve tempo possibile, la rettifica dei dati personali inesatti che lo riguardano.
In considerazione delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.
Articolo 17 Diritto alla cancellazione ("diritto all'oblio")
(1) L'interessato ha il diritto di ottenere dal responsabile del trattamento la cancellazione, nel più breve tempo possibile, dei dati personali che lo riguardano e il responsabile del trattamento ha l'obbligo di cancellare tali dati personali nel più breve tempo possibile, qualora si applichi uno dei seguenti motivi:
- a) i dati personali non sono più necessari per le finalità per cui sono stati raccolti o altrimenti trattati;
- (b) l'interessato ritira il consenso su cui si basa il trattamento ai sensi dell'articolo 6, paragrafo 1, lettera a), o dell'articolo 9, paragrafo 2, lettera a), e non esiste un'altra base giuridica per il trattamento;
- (c) l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 1, e non sussistono motivi legittimi cogenti per il trattamento, oppure l'interessato si oppone al trattamento ai sensi dell'articolo 21, paragrafo 2 ;
- d) i dati personali sono stati trattati illegalmente;
- (e) i dati personali devono essere cancellati per adempiere a un obbligo legale previsto dal diritto dell'Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento;
- f) i dati personali sono stati raccolti in relazione alla fornitura di servizi della società dell'informazione di cui all'articolo 8, paragrafo 1.
(2) Qualora il responsabile del trattamento abbia reso pubblici i dati personali e sia tenuto a cancellarli ai sensi del paragrafo 1, il responsabile del trattamento, tenuto conto della tecnologia disponibile e dei costi di attuazione, adotta misure ragionevoli, anche di natura tecnica, per informare i responsabili del trattamento dei dati personali che l'interessato ha richiesto la cancellazione da parte di tali responsabili di qualsiasi collegamento, copia o riproduzione dei dati personali.
(3) I paragrafi 1 e 2 non si applicano se il trattamento è necessario per: (a) l'esercizio del diritto alla libertà di espressione e di informazione;
- (b) per adempiere a un obbligo legale di trattamento previsto dal diritto dell'Unione o dello Stato membro cui è soggetto il titolare del trattamento, o per eseguire un compito svolto nell'interesse pubblico o nell'esercizio dei pubblici poteri di cui è investito il titolare del trattamento;
- (c) per motivi di interesse pubblico nel settore della sanità pubblica, conformemente all'articolo 9, paragrafo 2, lettere h) e i), e all'articolo 9, paragrafo 3 ;
- (d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici ai sensi dell'articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischia di rendere impossibile o di compromettere gravemente il conseguimento delle finalità di tale trattamento; oppure
- e) l'accertamento, l'esercizio o la difesa di diritti legali.