Il 25 maggio 2018 entrerà in vigore il testo normativo probabilmente più complesso degli ultimi anni in tema di privacy e protezione dei dati personali: parliamo del GDPR, acronimo che sta per General Data Protection Regulation.
Il regolamento attuativo avrà carattere generale per tutti i Paesi membri dell’Unione Europea e rappresenterà un punto di svolta nell’ambito del diritto alla protezione dei dati all’interno di internet e più in generale di strutture informatiche che quotidianamente raccolgono, “storano” e conservano i dati di milioni di utenti. Dal giorno in cui il GDPR è stato annunciato, la “corsa” all’adeguamento da parte di aziende ed istituzioni è stata forsennata ma non sempre guidata in modo corretto e puntuale, questo perché nonostante il testo sia stato messo a disposizione già da tempo, la confusione in materia è ancora tanta. Come dicevamo, il GDPR 2018 è forse uno dei testi normativi più complessi e completi che siano mai stati scritti sul tema Privacy ed è dunque necessario affrontarlo con l’aiuto di tutte quelle figure professionali preposte sia alla formazione che all’adeguamento pratico: parliamo dei DPO, i Data Protection Officer, coloro cioè in grado di agire sulle proprietà informatiche delle aziende in modo corretto al fine di adeguare ogni sistema al nuovo regolamento. Grazie alla consulenza di un DPO siamo riusciti a raccogliere molte delle domande più comuni che un’azienda non riesce a risolvere autonomamente parlando di GDPR. Vi mostriamo quella più gettonata:
Domanda: Se arriva una richiesta di cancellazione dati (o di diritto all’oblio se parliamo di motore di ricerca) da parte di un ex dipendente che è stato sospeso a seguito di una causa, bisogna accoglierla?
Risposta: Non necessariamente. Il GDPR indica che solo le persone che si trovano in specifiche situazioni possono ricorrere al diritto all’oblio. Tali situazioni sono riassumibili in sei punti
- Nel caso specifico, la richiesta va accolta se i “dati non sono più necessari in relazione agli scopi per cui è stato raccolto”. Facciamo chiarezza su questo punto.
Poniamo il caso che il dipendente in oggetto sia stato licenziato a seguito di un furto o della distruzione di un bene aziendale e che la causa sia terminata. Il dipendente si sentirà in diritto di richiedere la distruzione dei suoi dati ma, di contro, potrebbe accadere che le informazioni raccolte siano ancora necessarie all’azienda anche dopo la risoluzione della causa (per motivi assicurativi ad esempio): in questo caso il GDPR permette il loro mantenimento. Allo stesso tempo, per la fattispecie, è abbastanza chiaro che l’azienda non avrà bisogno ad esempio di mantenere informazioni di contatto di emergenza del dipendente licenziato e dunque sarà “costretta” a distruggerlo. A questo punto dovrebbe esservi abbastanza chiaro il precetto secondo cui devono essere distrutti i dati non necessari al motivo per cui sono stati raccolti.
2) Altra situazione in cui la richiesta di cancellazione deve essere accolta dalle aziende è quella che riguarda l’elaborazione del dato: le aziende devono eliminare i dati su richiesta se i dati sono stati elaborati sulla base del solo consenso.
Se una persona ad esempio ha dato il consenso al trattamento questo può non bastare all’azienda per trattarlo effettivamente (articolo 29 del Working party) in virtù del rapporto di disparità che c’è tra datore di lavoro e dipendente.
3) Le aziende devono eliminare i dati su richiesta se i dati sono stati elaborati in base all’interesse legittimo del responsabile e tali interessi sono compensati dai diritti dell’interessato.
4) Le aziende devono cancellare i dati su richiesta se i dati vengono elaborati illegalmente. Il GDPR afferma che il diritto all’oblio deve essere rispettato se il trattamento dei dati personali è (o è diventato) illecito.
5) Le aziende devono cancellare i dati su richiesta se la cancellazione è già richiesta dalla legge. Il GDPR afferma che il diritto all’oblio deve essere onorato se i dati sono richiesti per “essere cancellati per il rispetto di un obbligo legale nel diritto dell’Unione o dello Stato membro a cui è soggetto il responsabile del trattamento.”
6) Le aziende devono cancellare i dati su richiesta se sono raccolti da un minore di 16 anni. Il GDPR richiede la cancellazione di informazioni quando richiesto dove le informazioni sono state “raccolte in relazione all’offerta di servizi della società dell’informazione” ai minori di 16
Se una delle suddette situazioni non è presente, una società non ha bisogno di onorare il diritto alla cancellazione di un dipendente licenziato. Vediamo ora un’altra spinosa domanda riguardante stavolta Google.
Google ed il Diritto all’Oblio: cosa succede quando viene inviata una richiesta di cancellazione dal motore di ricerca?
Come è noto, Google ormai da tempo ha messo a disposizione degli utenti un modulo attraverso il quale è possibile richiedere la cancellazione di notizie che ci riguardano dal motore di ricerca. La possibilità di esercitare il diritto all’oblio nasce nel 2014 a seguito della richiesta di un cittadino spagnolo leso da alcune informazioni presenti nel motore di ricerca. Il tribunale dell’UE accolse la richiesta dell’uomo cosicchè Google fu obbligato a cancellare i dati oggetto della causa ed il resto è storia. Ma come funziona esattamente la procedura di cancellazione dei dati da Google? Vediamolo insieme.
Una volta compilato il modulo RTBF (right to be forgotten) attraverso Google, esso viene processato dal sistema fino all’ottenimento di un “si” o “no”, nessuno però sa concretamente ciò che accade dall’invio alla risposta. Ebbene la risposta più importante da dare agli utenti è che il modulo non viene “analizzato” in modo automatico ma da veri e propri analisti e studi legali che analizzano passo passo la richiesta pervenuta. A dichiararlo è Stephanie Caro, specialista legale di Google che ha ammesso: “Il processo di gestione di ciascuna richiesta di delisting non è automatizzato, comporta la considerazione individuale di ogni richiesta e comporta un giudizio umano. Senza una valutazione così individuale, la procedura messa in atto da Google sarebbe aperta a un abuso sostanziale, con la prospettiva di individui o aziende che cercano di sopprimere i risultati di ricerca per motivi illegittimi.”
Ma come fa Google a decidere quali notizie sono degne di cancellazione e quali no?
Il colosso di Mountain View prende in considerazione “la natura del reato, la sentenza imposta, il tempo trascorso dalla condanna e la rilevanza delle informazioni per la vita professionale o professionale del richiedente”. E’ dunque preponderante il giudizio discrezionale del motore di ricerca anche se, in caso di risposta negativa, è possibile comunque ricorrere al Garante della Privacy al fine di ottenere una forzatura nel blindato sistema di giudizio di Google.