Perché il diritto all'oblio è una svolta per aziende e cittadini

Perché il diritto all'oblio è una svolta per aziende e cittadini

Il "diritto all'oblio" previsto dal Regolamento generale sulla protezione dei dati (GDPR) garantisce una migliore tutela della privacy dei cittadini, ma al tempo stesso obbliga le aziende ad adottare subito le misure previste per non incorrere in pesanti sanzioni.

Sancito per la prima volta dalla normativa francese, il diritto all'oblio (in francese le droit à l'oubli) dà ai cittadini la possibilità di cancellare le proprie tracce nel mondo digitale. È previsto anche dal Regolamento generale sulla protezione dei dati, che entrerà in vigore a maggio 2018 e prevederà sanzioni per i trasgressori.

Divenuto celebre con il caso Google Spain del 2014, quando la Corte di Giustizia europea ha accolto la richiesta di un cittadino spagnolo di cancellare i dati relativi ai propri debiti con gli istituti di previdenza, il diritto all'oblio si basa sul principio che le organizzazioni possono utilizzare le informazioni personali solo previo consenso esplicito da parte dell'utente. Sulla base di questo diritto, il Regolamento generale sulla protezione dei dati autorizza i cittadini a richiedere l'eliminazione di dati inaccurati, inadeguati, irrilevanti o superflui ai fini dell'elaborazione.

Il diritto può essere ulteriormente esteso fino a richiedere la cancellazione delle informazioni precedentemente fornite a una terza parte, nel caso in cui l'elaborazione non risulti più necessaria e non sussistano altri motivi legittimi per la detenzione dei dati, come requisiti legali, motivi di pubblica salute e sicurezza o controversie legali.

In caso di violazioni, le società potranno incorrere in una multa pari a massimo 20 milioni di euro o, se superiore, al 4% del fatturato annuale dell'intero gruppo. È perciò evidente che devono provvedere il prima possibile a identificare la natura, l'entità e l'ubicazione delle informazioni personali in loro possesso, nonché a implementare gli strumenti e le procedure che garantiscono un trattamento conforme ai requisiti del Regolamento generale sulla protezione dei dati.

Maggiori diritti sulla privacy

Sebbene sia stato presentato come una novità dai media, il diritto all'oblio esisteva già da tempo. I principi ispiratori erano già contenuti nella Direttiva europea sulla protezione dei dati del 1995, che prevedeva il diritto di richiedere la cancellazione dei dati non conformi alla direttiva.

Il Regolamento generale sulla protezione dei dati va ora a rafforzare questa misura di tutela della privacy con l'introduzione del "diritto all'oblio" e il "diritto alla cancellazione". Questo significa che se un responsabile del trattamento dati riceve richieste basate sul diritto alla cancellazione, dovrà provvedere a eliminare immediatamente tutte le copie che contengono le informazioni interessate, nonché i collegamenti ad esse, da qualsiasi apparecchiatura e piattaforma, compresi server, sistemi di backup, servizi cloud e dispositivi portatili.

Qualora tali informazioni fossero già state rese pubbliche, è tenuto ad adottare "ragionevoli misure" per informare gli altri responsabili del trattamento dei dati oggetto della richiesta, così che possano provvedere a eliminare tutte le copie e i collegamenti ad essi.

Nel caso in cui la richiesta di eliminazione sia oggetto di controversia, il responsabile del trattamento dati dovrà prendere le misure necessarie per limitare l'elaborazione di tali dati mentre è in corso il processo.

Un approccio "olistico"

Ma in che modo le aziende si stanno preparando a garantire i diritti all'oblio e alla cancellazione? Judith Vieberink, avvocato di First Lawyers, suggerisce di adottare un approccio "olistico".

"Innanzitutto, occorre catalogare tutti i tipi di dati personali elaborati dall'intera società e attraverso tutti i sistemi", spiega.

"Successivamente, si dovranno individuare tutte le applicazioni utilizzate per elaborare le informazioni personali e la relativa ubicazione, se in Europa o altrove", così da poter rilevare se tali dati sono gestiti conformemente al nuovo regolamento.

In terzo luogo, Vieberink suggerisce di monitorare la cittadinanza degli utenti a cui appartengono i dati. "Le informazioni personali dei cittadini europei sono protette a livello mondiale, perciò è necessario che anche i responsabili di sicurezza e trattamento dati che non risiedono in Europa rispettino il Regolamento generale sulla protezione dei dati".

Infine, è necessario che i responsabili del trattamento dati identifichino i partner esterni coinvolti nell'elaborazione dei dati, così da poter rimuovere completamente le informazioni personali.

Vieberink sostiene che il modo migliore per gestire i dati e certificarne l'avvenuta eliminazione sia una mappatura del flusso a livello di società, regolato da criteri  e monitorato costantemente al fine di garantire massima trasparenza e tracciabilità

"Ci sono molti modi per farlo. Per esempio, Micro Focus ha sviluppato una tecnologia in grado di rilevare e gestire i dati, strutturati e non", conclude.

Proprietà dei dati Responsabile della conformità dei dati (CCO) Responsabile della sicurezza di informazioni e comunicazione (CISO) Team legali Violazione dei dati

Condividi con noi la tua opinione e partecipa alla discussione su LinkedIn!

SOTTOSCRIZIONE

Iscrivetevi per ricevere gli aggiornamenti di GDPR & Beyond