Il GDPR entrerà in vigore tra pochi giorni e darà ai cittadini dell'UE molto più controllo su come i loro dati vengono memorizzati ed elaborati.
Il GDPR cambierà drasticamente i diritti del soggetto dei dati, e secondo l'articolo 17 del GDPR, gli individui hanno il diritto di avere i loro dati personali cancellati, altrimenti noto come "diritto all'oblio".
Questa clausola permette agli individui di richiedere che qualsiasi registro tenuto su di loro da un'azienda sia cancellato in modo permanente se non c'è alcuna ragione legittima per l'azienda di continuare a trattare queste informazioni.
Le organizzazioni devono dare seguito alla richiesta entro un mese dalla sua presentazione.
Il diritto all'oblio si applica quando:
- I dati personali non sono più necessari per lo scopo per cui sono stati originariamente raccolti
- L'individuo ritira specificamente il consenso al trattamento e non c'è altra base legale per il trattamento di queste informazioni
- L'individuo si avvale del suo diritto di opporsi al trattamento dei dati
- I dati personali sono stati trattati illegalmente
- I dati devono essere cancellati per rispettare gli obblighi legali
- L'individuo era un bambino al momento della raccolta dei dati
Ci sono, tuttavia, alcune eccezioni in cui i dati potrebbero non dover essere cancellati se si applica una delle seguenti condizioni:
- Il diritto di libertà ed espressione
- La necessità di rispettare un obbligo legale
- Motivi di interesse pubblico o nell'esercizio di un potere pubblico
- Scopi storici, di ricerca scientifica o di archiviazione di interesse pubblico
- Se i dati supportano le rivendicazioni legali
- Se il trattamento è necessario per scopi di salute pubblica
Quando un cittadino dell'UE richiede il diritto all'oblio, un controllore di dati deve cancellare tutti i dati personali che detiene su quella persona. Tuttavia, questo non è affatto un processo semplice. Le informazioni di un individuo potrebbero essere sparse in diversi dipartimenti all'interno di un'organizzazione e il back-up di questi dati potrebbe trovarsi su un altro sistema.
La cancellazione dei dati può essere un processo difficile e lungo se le organizzazioni non hanno i sistemi adeguati per localizzare e gestire efficacemente queste informazioni.
Per affrontare queste richieste in modo efficace, le aziende dovranno completare un audit approfondito dei loro sistemi per assicurarsi che i dati possano essere facilmente localizzati e cancellati.
Le organizzazioni avranno bisogno di determinare quali dati hanno, dove sono memorizzati e come vengono elaborati al fine di rispettare i requisiti del GDPR. Sarà altrettanto importante eliminare tutti i dati obsoleti e non necessari, salvaguardando le informazioni critiche che sono ancora necessarie.
Il diritto all'oblio è complesso e ha molte eccezioni e limitazioni. Tuttavia, se le aziende hanno i processi giusti in atto, saranno in grado di rispettare la legislazione e assicurarsi di poter esercitare efficacemente il diritto all'oblio di un individuo.
Se desideri maggiori informazioni su come la tua organizzazione può migliorare il suo approccio alla conformità al GDPR, clicca qui, per scoprire come MetaCompliance può aiutarti.
DISCLAIMER: Il contenuto e le opinioni di questo blog sono solo a scopo informativo. Non sono intesi a costituire una consulenza legale o professionale, e non dovrebbero essere considerati o trattati come un sostituto di una consulenza specifica relativa a particolari circostanze, il Data Protection Act, o qualsiasi altra legislazione attuale o futura. MetaCompliance non accetta alcuna responsabilità per eventuali errori, omissioni o dichiarazioni fuorvianti, o per qualsiasi perdita che possa derivare dall'affidamento sui materiali contenuti in questo blog.