Studio Bonivento Commercialisti Associati

La presente procedura adottata da STUDIO BONIVENTO è parte integrante della privacy policy aziendale, ed è redatta allo scopo di disciplinare le modalità di attivazione del titolare nel caso di esercizio dei diritti riconosciuti dal Reg. Ue 679/2016 agli interessati, siano essi terzi o dipendenti/collaboratori, in linea con la richiamata fonte primaria e con i principali provvedimenti del Garante Italiano (in primis Deliberazione 53 del 23.11.2006) semplificando le modalità di evasione delle richieste e riducendo i tempi per il riscontro.

I Premessa

Il Reg Ue 679/2016 prevede, in capo agli interessati, specifici diritti in relazione ai dati personali trattati dal titolare. L’esercizio dei diritti soggiace comunque ai limiti e alle eccezioni richiamate nel regolamento ed ai provvedimenti specifici emanati dal Garante.

II Elenco dei diritti riconosciuti dal Regolamento agli interessati

Articolo 15 Diritto di accesso dell’interessato

1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

a) le finalità del trattamento;

b) le categorie di dati personali in questione;

c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f) il diritto di proporre reclamo a un’autorità di controllo;

g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;

h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

2. Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.

3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi 2

amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.

4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.

Articolo 16 Diritto di rettifica

L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

Articolo 17 Diritto alla cancellazione («diritto all’oblio»)

1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi seguenti:

a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;

b) l’interessato revoca il consenso su cui si basa il trattamento conformemente all’articolo 6, paragrafo 1, lettera a), o all’articolo 9, paragrafo 2, lettera a), e se non sussiste altro fondamento giuridico per il trattamento;

c) l’interessato si oppone al trattamento ai sensi dell’articolo 21, paragrafo 1, e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento ai sensi dell’articolo 21, paragrafo 2;

d) i dati personali sono stati trattati illecitamente;

e) i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento;

f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione di cui all’articolo 8, paragrafo 1.

2. Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato, ai sensi del paragrafo 1, a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.

3. I paragrafi 1 e 2 non si applicano nella misura in cui il trattamento sia necessario:

a) per l’esercizio del diritto alla libertà di espressione e di informazione;

b) per l’adempimento di un obbligo legale che richieda il trattamento previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento;

c) per motivi di interesse pubblico nel settore della sanità pubblica in conformità dell’articolo 9, paragrafo 2, lettere h) e i), e dell’articolo 9, paragrafo 3; 3

d) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici conformemente all’articolo 89, paragrafo 1, nella misura in cui il diritto di cui al paragrafo 1 rischi di rendere impossibile o di pregiudicare gravemente il conseguimento degli obiettivi di tale trattamento; o

e) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Articolo 18 Diritto di limitazione di trattamento

1. L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;

b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

d) l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

2. Se il trattamento è limitato a norma del paragrafo 1, tali dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.

3. L’interessato che ha ottenuto la limitazione del trattamento a norma del paragrafo 1 è informato dal titolare del trattamento prima che detta limitazione sia revocata.

Articolo 19 Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell’articolo 16, dell’articolo 17, paragrafo 1, e dell’articolo 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda.

Articolo 20 Diritto alla portabilità dei dati

1. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti qualora:

a) il trattamento si basi sul consenso ai sensi dell’articolo 6, paragrafo 1, lettera a), o dell’articolo 9, paragrafo 2, lettera a), o su un contratto ai sensi dell’articolo 6, paragrafo 1, lettera b); e 4

b) il trattamento sia effettuato con mezzi automatizzati.

2. Nell’esercitare i propri diritti relativamente alla portabilità dei dati a norma del paragrafo 1, l’interessato ha il diritto di ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile.

3. L’esercizio del diritto di cui al paragrafo 1 del presente articolo lascia impregiudicato l’articolo 17. Tale diritto non si applica al trattamento necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento.

4. Il diritto di cui al paragrafo 1 non deve ledere i diritti e le libertà altrui.

Articolo 21 Diritto di opposizione

1. L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

2. Qualora i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto.

3. Qualora l’interessato si opponga al trattamento per finalità di marketing diretto, i dati personali non sono più oggetto di trattamento per tali finalità.

4. Il diritto di cui ai paragrafi 1 e 2 è esplicitamente portato all’attenzione dell’interessato ed è presentato chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l’interessato.

5. Nel contesto dell’utilizzo di servizi della società dell’informazione e fatta salva la direttiva 2002/58/CE, l’interessato può esercitare il proprio diritto di opposizione con mezzi automatizzati che utilizzano specifiche tecniche.

6. Qualora i dati personali siano trattati a fini di ricerca scientifica o storica o a fini statistici a norma dell’articolo 89, paragrafo 1, l’interessato, per motivi connessi alla sua situazione particolare, ha il diritto di opporsi al trattamento di dati personali che lo riguarda, salvo se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico.

Articolo 22 Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

1. L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

2. Il paragrafo 1 non si applica nel caso in cui la decisione:

a) sia necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e un titolare del trattamento;

b) sia autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento, che precisa altresì misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato; 5

c) si basi sul consenso esplicito dell’interessato.

3. Nei casi di cui al paragrafo 2, lettere a) e c), il titolare del trattamento attua misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, almeno il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione.

4. Le decisioni di cui al paragrafo 2 non si basano sulle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, a meno che non sia d’applicazione l’articolo 9, paragrafo 2, lettere a) o g), e non siano in vigore misure adeguate a tutela dei diritti, delle libertà e dei legittimi interessi dell’interessato.

III. Procedura aziendale per l’esercizio dei diritti dell’interessato

1. Mezzo mail dedicato e procedura di attivazione.

L’interessato che intende esercitare uno o più diritti previsti dagli artt. 15-22 del Regolamento, potrà contattare il Titolare del Trattamento, così come indicato nelle varie informative rese ai sensi dell’art. 13, al seguente indirizzo mail: segreteria@studiobonivento.it

Le mail segreteria@studiobonivento.it e resa nota a tutto il personale, affinché possa, se del caso, inoltrare a talimail le richieste degli interessati trasmessesu indirizzidifferenti.

Definita la richiesta degli interessati, le mail vengono conservate per la durata di anni 5 decorrenti dal momento dell’ultima comunicazione all’interessato, in ragione della prescrizione quinquennale propriadella responsabilità aquiliana.Nel caso l’esercizio dei diritti dell’interessato non determini la cessazione delrapporto principale (pensiamo all’esercizio del diritto da parte di un lavoratore),tale documentazione è conservatacomunque fino all’interruzione del rapportoin essere.

2. Termini e modalità di riscontro del titolare.

Il titolare, a mezzo del referente privacy nominato, è tenuto a fornire un riscontro completo alla richiesta dell’interessato. Nel caso di esercizio del diritto di accesso, in particolare, senza limitarsi alla sola elencazione delle tipologie di dati detenuti, ma comunicando in modo chiaro e intelligibile tutte le informazioni in suo possesso.

Il riscontro deve essere fornito nel termine di 30 giorni dal ricevimento dell’istanza dell’interessato; il termine più lungo, pari a 90 giorni, può essere osservato, solo se le operazioni necessarie per un integrale riscontro sono di particolare complessità o se ricorre altro giustificato motivo. Dei motivi che impongono la proroga dei termini è comunque data informazione all’interessato entro 30 giorni dal ricevimento della richiesta.

Non bisogna dare seguito a proposte irrituali giacché le stesse potrebbero costituire mezzo per un trattamento illecito da parte di soggetti non autorizzati.

In presenza di richieste di soggetti terzi per conto di interessati, dovrà essere verificata, e se del caso espressamente richiesta, la sottoscrizione da parte del soggetto legittimato a presentare l’istanza, gli estremi identificativi dei soggetti interessati per conto dei quali i diritti vengono esercitati ed allegata copia del documento d’identità. (conf. Provv. 17-02-2005).

Parimenti, nel caso la proposta dovesse provenire da un recapito sconosciuto al titolare, che possa quindi fare presumere che il mittente non sia effettivamente l’interessato, lo stesso dovrà prudenzialmente contattare l’interessato attraverso i recapiti in suo possesso ed accertarsi dell’identità del mittente, prima di dare seguito alla richiesta. Nel caso tali recapiti risultassero non più utilizzati dall’interessato, sarà opportuno accertarsi dell’identità richiedendo comunque l’allegazione di un documento identificativo in corso di validità. 6

Il tutto dovrà avvenire entro 30 giorni al fine di evitare che l’interessato, nelle more, interpelli l’autorità garante.

Nel caso di richiesta di accesso di documenti di natura particolarmente sensibile, sarà opportuno utilizzare una posta certificata o procedere a spedizione a mezzo a/r alla residenza dell’interessato, se del caso informandolo preventivamente delle ragioni e degli oneri conseguenti. E’ infatti onere del titolare offrire canali semplificati di riscontro e ridurre i relativi tempi di evasione delle risposte.

3. Quali dati personali offrire all’interessato in sede di diritto di accesso.

L’esercizio del diritto di accesso consente di ottenere solo la comunicazione dei dati personali relativi al richiedente e da estrarre da atti e documenti.

La richiesta al contrario non permette all’interessato di:

– richiedere il diretto e illimitato accesso a documenti e ad intere tipologie di atti;

– pretendere la creazione di documenti allo stato inesistenti negli archivi;

– pretendere la loro innovativa aggregazione secondo specifiche modalità prospettate dall’interessato;

– pretendere che il titolare ricerchi o raccolga dati che non siano più nella sua attuale disponibilità né in alcun modo oggetto di trattamento.

– ottenere, sempre e necessariamente, copia dei documenti detenuti, ovvero di pretendere particolari modalità di riscontro (salvo quanto previsto per la trasposizione dei dati su supporto cartaceo). Se infatti per l’elevata mole di informazioni personali detenute dal titolare del trattamento si rende necessario mettere a disposizione il fascicolo personale dell’interessato per permetterne l’estrazione delle copie, fermo restando che la scelta dell’esibizione in luogo della consegna copia in atti deve trovare giustificazione in ragione della particolare difficoltà dell’estrapolazione dei dati. L’adozione di tale modalità di riscontro non comporta l’obbligo di fornire copia di tutti i documenti che contengano i medesimi dati personali dell’interessato, quando gli stessi dati siano conservati in più atti, lettere o note.

Il diritto di accesso deve inoltre comportare l’adozione delle misure a tutela della riservatezza di eventuali soggetti terzi, procedendo all’anonimizzazione o all’omissione di informazioni che possano essere fatte risalire ad uno specifico interessato.

Nel caso la richiesta di accesso non faccia riferimento ad un particolare trattamento o a specifici dati o categorie di dati, deve ritenersi riferita a tutti i dati personali che riguardano l’interessato.

4. Disciplina dei diritti diversi dal diritto di accesso nelle ipotesi di trattamento non basate sul consenso.

Allorché il trattamento dei dati si basi sul consenso dell’interessato, a norma del Regolamento, l’interessato ha diritto, ex art. 7.3.di revocarlo “con la stessa facilità con cui è stato accordato”.

Ove l’esercizio dei diritti alla cancellazione e alla limitazione pregiudichi la possibilità di erogare un servizio richiesto all’azienda, ciò deve essere fatto presente all’interessato prima di procedere a dare seguito alla richiesta.

Se il trattamento trova suo fondamento di liceità, in base all’art. 6 del Regolamento, su presupposti diversi dal consenso, l’azienda può opporsi legittimante alla richiesta nel rispetto delle indicazioni fornite dal Regolamento. E’ più che opportuno consultare il DPO, se nominato, o quantomeno l’ufficio legale interno, stante le variabilità delle casistiche che possono rappresentarsi. 7

Ovviamente all’interessato ciò dovrà essere rappresentato nel termine dei 15 giorni e motivato con estrema cura, al fine di evitare contenziosi.

5. Precauzioni da tenere nel caso di rettifica dei dati.

Ove il diritto alla rettifica si riconnetta al trattamento dati di natura particolarmente sensibile, o che devono essere oggetto di segnalazioni alla pubblica autorità, deve richiedersi una documentazione effettiva che comprovi con un ragionevole grado di certezza la richiesta dell’interessato. Resta sempre valido quanto detto sopra.

6. Obbligo di notifica ai destinatari.

A norma dell’art. 18 del Regolamento l’incaricato, dopo avere vagliato la fondatezza delle richieste di notifica, rettifica, cancellazione o limitazione del trattamento da parte dell’interessato è tenuto a darne tempestiva notizia a coloro che si sa essere destinatari dei dati in oggetto (aziende o terzi persone fisiche). È opportuno che tale comunicazione avvenga a mezzo pec, chiedendo di ricevere formale riscontro.