In questo ambito il GDPR rafforza la disciplina in tema di protezione dei dati personali prevedendo specifiche modalità di applicazione dei principi privacy e riconoscendo precisi diritti agli interessati.
Si pensi all’informativa, che il regolamento norma molto più in dettaglio rispetto al Codice Privacy (D.Lgs n. 196/2003), precisando che deve avere forma concisa, trasparente, intelligibile per l’interessato e facilmente accessibile attraverso un linguaggio chiaro e semplice e che, in caso di minori – spiega il Considerando n. 58 – deve essere facilmente comprensibile. Si veda, poi, l’istituto del consenso dei minori, che viene considerato valido a partire dai 16 anni; prima di tale età occorre raccogliere il consenso dei genitori o di chi ne fa le veci (art.8 GDPR).
Si tratta di principi generali ai quali la pubblica amministrazione dovrà uniformarsi nell’esercizio delle proprie finalità istituzionali, facendo molta attenzione ai dati personali che rende pubblici, in quanto il regolamento prevede una tutela particolare per il soggetto che chiede la cancellazione dei propri dati.
Si tratta del diritto cosiddetto “all’oblio”, che si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l’obbligo per i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” (si veda art. 17, paragrafo 2 GDPR).
Esso ha un campo di applicazione più esteso di quello di cui all’art. 7, comma 3, lettera b) del Codice Privacy, poiché l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento (si veda art. 17, paragrafo 1 GDPR). Tale diritto – precisa il Considerando n. 65 – è in particolare rilevante se l’interessato ha prestato il proprio consenso quando era minore e, quindi, non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminarli, in particolare da internet. L’interessato – prosegue il Considerando – dovrebbe poter esercitare tale diritto indipendentemente dal fatto di non essere più minore.
In conclusione, un soggetto pubblico dovrà trattare i dati personali nel pieno e rigido rispetto delle proprie finalità istituzionali, e così facendo non incorrerà in trattamenti illeciti, in quanto prescrive l’articolo 6 del GDPR che la lettera f) (1) del primo comma non si applica al trattamento di dati effettuato dalle autorità pubbliche nell’esecuzione dei loro compiti.
Consigliamo la lettura di
(1) Si tratta di una delle condizioni di liceità previste dal Regolamento europeo in base al quale il trattamento è lecito solo se è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, a condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. (processing is necessary for the purposes of the legitimate interests pursued by the controller or by a third party, except where such interests are overridden by the interests or fundamental rights and freedoms of the data subject which require protection of personal data, in particular where the data subject is a child.).
Scrivi un commento
Accedi per poter inserire un commento