Gli utenti hanno il diritto di accedere ai propri dati personali e alle informazioni relative alle modalità di trattamento degli stessi quando navigano su internet sui siti web.
Ragion per cui su richiesta dell’utente, i titolari del trattamento dei dati devono fornire:
- una panoramica delle categorie di dati trattati
- una copia degli effettivi dati raccolti
- una descrizione delle modalità del trattamento
- finalità del trattamento
- modalità di acquisizione
- soggetti con cui sono stati condivisi i dati
I dati richiesti devono essere forniti all’individuo senza indebito ritardo e al più tardi entro un mese dal ricevimento della richiesta.
Il diritto di rettifica
Un altro diritto che gli utenti hanno quando lasciano dati personali sul web consiste in quello di richiedere la rettifica dei loro dati personali se sono imprecisi o incompleti.
Quando l’utente/navigatore richiede la rettifica dei dati incompleti o imprecisi il titolare del trattamento che solitamente coincide con il gestore del sito web o eventualmente nominato a doc, può:
-
- prorogare di ulteriori due mesi se la richiesta è complessa o se sono state ricevute numerose richieste;
- onorare la richiesta comunque senza indebito ritardo e al più tardi entro un mese dal loro ricevimento.
Il diritto alla portabilità dei dati
L’utente ha il diritto di ottenere (in un formato elettronico leggibile) i propri dati personali allo scopo di trasferirli ad altro titolare, senza che l’attuale titolare crei alcun ostacolo.
Rientrano in questa disposizione sia i dati “forniti” dall’utente, che quelli “osservati”. Questo diritto si applica solo ai dati personali e in quanto tale non si applica ai dati autenticamente anonimi (dati che non possono essere ricondotti all’individuo).
- Le richieste dell’individuo:
- possono essere prorogate di ulteriori due mesi se la richiesta è complessa o se sono state ricevute numerose richieste;
- devono essere onorate senza indebito ritardo e al più tardi entro un mese dal loro ricevimento.
Il diritto alla cancellazione
Quando i dati non sono più utili per le finalità per le quali sono stati raccolti, in caso di revoca del consenso da parte dell’utente o quando i dati personali sono stati trattati in modo illecito, l’utente ha il diritto di chiederne la cancellazione nonché la cessazione di ogni altra forma di diffusione.
- Le richieste dell’individuo:
- possono essere prorogate di ulteriori due mesi se la richiesta è complessa o se sono state ricevute numerose richieste;
- devono essere onorate senza indebito ritardo e al più tardi entro un mese dal loro ricevimento.
Limiti al diritto di cancellazione dei dati online
Il diritto alla cancellazione può essere negato:
- quando i dati personali sono trattati per un interesse pubblico (come la ricerca scientifica);
- quando i dati sono necessari per la difesa in giudizio o per adempiere a un obbligo di legge;
- per l’esecuzione di un compito di interesse pubblico;
- per l’esercizio di pubblici poteri di cui il titolare del trattamento è investito;
- quando i dati sono necessari per esercitare il diritto alla libertà di espressione;
- quando sono trattati a fini sanitari e di interesse pubblico.
Il diritto a limitare il trattamento dei dati rilasciati durante la navigazione su internet
L’utente ha il diritto di richiedere la limitazione del trattamento dei suoi dati personali se:
- ne ha contestato la loro esattezza;
- si è opposto al trattamento e l’organizzazione sta valutando se esiste un motivo legittimo che lo escluda;
- il trattamento è illecito, ma l’utente richiede una limitazione anziché la cancellazione;
- i dati non sono più necessari, ma l’utente ne ha bisogno per stabilire, esercitare o difendere una rivendicazione legale.
La limitazione deve essere comunicata a tutti i soggetti terzi coinvolti nel trattamento dei dati in questione, a meno che ciò non sia impossibile o particolarmente difficile.
Se richiesto dall’utente, l’organizzazione deve anche informare lo stesso sull’identità di tali soggetti terzi.
Nella maggior parte dei casi le organizzazioni devono soddisfare la richiesta senza addebitare una commissione.
Tuttavia, se una richiesta viene giudicata “manifestamente infondata o eccessiva”, si può applicare una “tariffa ragionevole” per soddisfarla o rifiutarsi di affrontarla.
In entrambi gli scenari, la decisione dovrà essere legittimamente giustificata. Se una richiesta viene rifiutata, l’individuo deve essere informato (insieme alla giustificazione) senza inutili ritardi e entro un mese dal ricevimento della stessa.
Il GDPR consente il trasferimento dei dati acquisiti nel web in Europa all’estero?
Il GDPR consente il trasferimento dei dati di cittadini UE al di fuori dello Spazio Economico Europeo (SEE) solo se sono soddisfatte determinate condizioni.
In particolare, il Paese in cui i dati vengono trasferiti deve avere un livello “adeguato” di protezione dei dati personali, al pari degli standard dell’Unione Europea.
In caso contrario, i trasferimenti possono comunque essere consentiti in presenza di clausole contrattuali standard (SCC) o di norme vincolanti d’impresa (BCR).
Il GDPR consente il trasferimento dei dati di cittadini UE al di fuori dello Spazio Economico Europeo (SEE) solo se sono soddisfatte determinate condizioni.
Il trasferimento dei dati verso gli Stati Uniti è consentito per esempio a patto che l’utente abbia espresso il proprio consenso informato (in tal caso, il consenso deve essere fornito sulla base di informazioni sufficientemente precise, comprese quelle relative alla eventuale mancanza di protezione nel Paese terzo).