Come cambia il diritto di opposizione al trattamento dei dati personali nel GDPR
Il diritto di opposizione è disciplinato dal GDPR all’art. 21 in maniera differente rispetto alla disciplina che per lo stesso diritto era prevista dalla direttiva n. 46/95/CE. Il GDPR, infatti, stabilisce che in alcune specifiche tipologie di trattamento di dati personali, l’interessato del trattamento possa esercitare il diritto di opporsi, solo adducendo motivi legittimi connessi alla sua situazione particolare, ovvero quando il trattamento è necessario per l’esecuzione di un compito di interesse pubblico, effettuato per scopi di ricerca scientifica, storica o statistica oppure connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento o anche se il trattamento è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi, anche quando nell’ambito di tale trattamento è prevista la profilazione. Si tratta delle finalità di trattamento fissate all’articolo 6, paragrafo 1, lettere e) o f) del GDPR. Vi sono quindi delle differenze, tra il diritto di opposizione esercitato nei casi in cui il trattamento rientri nelle finalità innanzi descritte e quando invece è esercitato avverso operazioni di marketing diretto.
Nel primo caso, l’interessato può opporsi solo motivando la sua decisione, l’art. 21, infatti, prevede che egli possa opporsi in tali circostanze solo per motivi connessi alla sua situazione particolare, quindi adducendo motivi legittimi alla sua decisione. Il titolare del trattamento deve astenersi dal trattare ulteriormente i dati personali, a meno che non provi l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, motivi che il titolare del trattamento deve comunicare all’interessato, informandolo anche della possibilità di esercitare reclamo davanti al Garante.
Qualora, invece, si tratti di trattamento finalizzato ad attività di marketing diretto (compresa la profilazione connessa al marketing diretto), l’interessato può opporsi in qualsiasi momento, in tal caso, dunque, il suo diritto è assoluto, nel senso che non è tenuto a motivare l’esercizio della propria decisione di opporsi; il titolare, se l’interessato esercita tale diritto, deve esimersi dal procedere con il trattamento, salvo che l’attività di marketing diretto non rientri nell’interesse legittimo del titolare stesso che deve in ogni caso comunicarne l’esistenza all’interessato alla prima occasione.
Il titolare, peraltro, è tenuto, comunque, ad informare l’interessato in maniera chiara, specifica (l’informazione deve essere evidentemente separata dalle altre) e trasparente della possibilità di esercitare il diritto di opporsi al trattamento, delle modalità attraverso le quali poterlo fare e dell’eventuale esistenza di un suo interesse legittimo al trattamento. Così ad esempio, se si tratta di operazioni svolte mediante il web o comunque nell’ambito delle comunicazioni elettroniche, efficace per soddisfare le disposizioni del GDPR, è offrire un meccanismo automatizzato che consenta all’interessato di esercitare l’opt-out e fermare così agevolmente il trattamento per questa finalità.Ciò significa nella sostanza che se all’interessato vengono inviate via SMS promozioni relative ad un servizio da lui acquistato, ma ad esempio in scadenza, qualora l’interessato esercitasse il diritto di opposizione, la sua richiesta dovrà essere tracciata e memorizzata e il suo numero di telefono dovrà essere evidenziato come numero verso il quale tali SMS non dovranno più essere inoltrati, potendo comunque i dati restare conservati per eventuali altre finalità del trattamento ancora in corso, come l’esecuzione del contratto di servizio.
Cosa fare dunque per essere conformi a quanto disposto dal GDPR relativamente al diritto di opposizione?
Rivedere le informative, controllando che agli interessati sia stato comunicato tale diritto correttamente, in maniera separata come richiesto dalle disposizioni del Regolamento e informare l’interessato dell’eventuale esistenza dell’interesse legittimo del titolare;
Accertarsi dell’esistenza di un meccanismo che consenta all’interessato di esercitare agevolmente l’opt-out in particolare quando si tratta di operazioni svolte attraverso comunicazioni elettroniche (es. nelle newsletter o negli SMS), prevedendo sistemi automatizzati rispettosi delle disposizioni di cui alla direttiva n. 2002/58/CE;
Tenere traccia delle opposizioni esercitate, informandosi vicendevolmente (titolari/responsabili): si pensi a responsabili del trattamento che si occupano per conto del titolare ad esempio delle operazioni di marketing diretto; sarebbe buona norma prevedere una specifica clausola nel contratto tra titolari e responsabili che regoli tale impegno.
Ad ogni modo, ha chiarito che in nessun caso i dati rilevati potranno essere impiegati per finalità disciplinari, al più solo il manager potrà richiamare il dipendente al contenimento dei consumi.