diritto oblio azienda

Diritto all’oblio per le aziende: cosa sapere

Il GDPR, entrato in vigore da un anno e più, ha rivoluzionato il modo di concepire i dati personali. Per cui ha anche intensificato l’esercizio del diritto all’oblio, sia da parte dei privati cittadini che da parte (e in particolare) delle aziende. Grazie a questa nuova tendenza alla tutela della privacy, le aziende si sono dovute adeguare al nuovo regime normativo, onde evitare di incorrere in pesanti sanzioni.

Come si esercita il diritto all’oblio

Chi esercita questo diritto, può far valere moltissimi principi, e qualora lo ritenga opportuno può richiedere la cancellazione delle informazioni precedentemente date ad un terza parte. Tale richiesta può essere avanzata quando non ci sono motivi legittimi per la detenzione dei dati.

Il diritto all’oblio può essere esercitato da chiunque lo ritenga opportuno, sia un soggetto privato che un’azienda. Tuttavia per le società quest’ultimo è ambivalente: non solo possono farlo valere a proprio vantaggio ma devono anche adeguarsi affinché siano loro stesse a rispettare la tutela della privacy di terzi soggetti. È palese quindi che il loro compito è quello di passare al setaccio le informazioni personali in loro possesso, per poi utilizzare qualunque mezzo a loro disposizione che garantisca un trattamento dei dati in modo sicuro e sensibile.

Riconoscimento ulteriore dei diritti sulla privacy

Da quando è entrato in vigore il GDPR, i media hanno parlato di diritto all’oblio come una novità integrata nel nostro ordinamento. Tuttavia la nascita di questo principio era già vetusta, risalente cioè alla Direttiva europea sulla protezione dei dati del 1995. Secondo la Direttiva un soggetto poteva far valere il diritto di richiedere la cancellazione dei dati non conformi alla direttiva.

Con il GDPR l’Italia si è dunque adeguata alla tutela della privacy, facendo camminare parallelamente per tutte le persone fisiche e giuridiche il “diritto all’oblio” e il “diritto alla cancellazione”. La qual cosa comporta che se chi si occupa del trattamento dati riceve la richiesta di cancellazione, dovrà immediatamente adeguarsi alla pretesa avanzata. L’eliminazione deve concernere sia i dati cartacei che quelli digitali: i dati vanno cioè, aboliti da server, sistemi di backup, servizi cloud e dispositivi portatili.

Se per una qualunque motivazione i dati dovessero essere stati già resi pubblici, il responsabile dovrà applicare delle “ragionevoli misure” per informare gli altri responsabili del trattamento dei dati oggetto della richiesta. Qualora dovesse poi sorgere una controversia, i soggetti responsabili dovranno limitare l’uso delle info per tutta la durata del processo.

Diritto all’oblio e aziende: un binomio convergente

In quest’ottica dunque, le aziende si stanno lentamente adeguando non solo per esercitare il diritto ma per  garantire anche ad altri utenti i diritti all’oblio e alla cancellazione. I giuristi sostengono che “Innanzitutto, occorre catalogare tutti i tipi di dati personali elaborati dall’intera società e attraverso tutti i sistemi. Successivamente, si dovranno individuare tutte le applicazioni utilizzate per elaborare le informazioni personali e la relativa ubicazione, se in Europa o altrove”. Questo serve per controllare se i dati siano o meno stati gestiti in modo conforme al nuovo regolamento.

I giuristi inoltre consigliano alle aziende di effettuare un controllo circa la cittadinanza degli utenti a cui appartengono i dati. Le info personali dei cittadini europei sono soggette ad una tutela su scala mondiale. Pertanto, i responsabili di sicurezza e trattamento dati che non si trovano in Europa hanno l’obbligo di rispettare il Regolamento generale sulla protezione dei dati. Infine, è importante che vengano identificati anche i partner esterni che in un certo qual modo entrino in contatto con i dati, così da potersi liberare del tutto delle informazioni personali. La figura che può aiutare questo processo è quella del consulente legale aziendale, se in possesso ovviamente di specifiche competenze.

Affinché si possano al meglio gestire i dati e dare prova dell’avvenuta eliminazione può essere esperita dalle aziende una mappatura del flusso a livello di società così da garantire massima trasparenza e tracciabilità.