I diritti dell’Interessato secondo il GDPR

I dati non sono tuoi: ecco quali sono i diritti che gli interessati possono far valere nei confronti della tua organizzazione e quali sono le minacce dalle quali devi metterla al riparo!

Nei film americani, mentre eseguono un arresto, i poliziotti estraggono un foglietto e comunicano all’arrestato “i suoi diritti”. Anche il GDPR concede agli interessati dei diritti e nei guai va chi non li garantisce.

In grande sintesi possiamo dire che il cuore della ‘vecchia’ normativa sulla privacy era il consenso. Se avevi uno straccio di consenso potevi fare quello che volevi.

Il cuore della ‘nuova privacy’ è invece la documentazione. Il consenso esiste ma non toglie all’Interessato (così si chiama nel gergo GDPR la persona a cui si riferiscono i dati personali) la possibilità di esercitare i suoi diritti.

“Il diritto di sapere chi tratta i miei dati, di cancellarli e di oppormi alla loro condivisione va garantito (entro 30 giorni) indipendentemente dal consenso che si è ricevuto. A meno che non esistano precise norme di legge che impediscono di farlo”.

Quali sono questi diritti?

  • In primo luogo il diritto di sapere che (o se) state trattando dei suoi dati personali, quali e perché.
  • In secondo luogo il diritto di modificarli o di cancellarli parzialmente.
  • In terzo luogo il diritto di cancellarli totalmente.
  • Da ultimo il diritto di opporsi alla vostra condivisione di questi dati con soggetti esterni.

Questi diritti vanno garantiti (entro 30 giorni) indipendentemente dal consenso che si è ricevuto. A meno che non esistano precise norme di legge che impediscono di farlo.

Potete semplicemente segnalare che senza questi dati o senza poterli condividere non è possibile fornire il servizio o proseguire nella relazione (ad esempio un Volontario non può restare tale se non vi cede il suo indirizzo mail, il suo telefono o il suo indirizzo di casa).

Tutto qui. Visto che c’è spazio approfittiamo per parlare di un altro aspetto del GDPR che inizia per D: il DPO. Con questa sigla si intendono degli esperti (in genere avvocati) che hanno seguito una formazione particolare che li rende ‘super-esperti’ di GDPR. Devono nominare un DPO tutte le organizzazioni che trattano ‘su larga scala’ dati ‘sensibili’.

“Devono nominare un DPO tutte le organizzazioni che trattano ‘su larga scala’ dati ‘sensibili’”

Non è ben chiaro cosa si intenda per ‘larga scala’ ma una organizzazione che tratta dati relativi alle condizioni di salute o alle opinioni religiose o politiche o alle condanne o alla sessualità di 500-1000 persone farà bene a cercare un DPO magari cercando qualcuno che già svolge questo ruolo per organizzazioni simili.

Se avete un DPO dovete scriverlo indicandone nome cognome e indirizzo mail nell’Informativa e nei moduli di Comunicazione e di consenso che vedremo… alla prossima puntata.

Forza, Che la Privacy sia con Te!

– Alberto –

gdpr non profit corso di formazione privacy