Quali diritti hanno le persone ai sensi del GDPR?
Il GDPR prevede i seguenti diritti per gli interessati, vale a dire alle persone i cui dati sono oggetto di trattamento:
- Diritto di essere informati
- Diritto di accesso
- Diritto di rettifica
- Diritto alla cancellazione (diritto all'oblio)
- Diritto alla limitazione del trattamento
- Diritto alla portabilità dei dati
- Diritto di opposizione
- Diritto di non essere soggetto a una decisione basata esclusivamente sul trattamento automatizzato
Si prega di notare che alcuni di questi diritti non si applicano a tutte le situazioni; per ulteriori informazioni, è possibile visualizzare la tabella sui diritti dell'interessato per ogni base giuridica.
Il titolare del trattamento ha l'obbligo di rispondere alle richieste degli interessati che esercitano i loro diritti e deve facilitare l'esercizio di tali diritti. Il responsabile del trattamento deve assistere il titolare del trattamento in questo compito.
Checklist di cosa fare per quanto riguarda i diritti dell'interessato:
- Essere preparati: Sviluppare sistemi e procedure per rispondere alle richieste degli interessati in merito ai loro diritti e formare il personale a integrare le richieste relative ai diritti degli interessati nei flussi di lavoro interni.
- Facilitare l'esercizio dei diritti: Rendere più facile per gli interessati sapere quali sono i loro diritti e come contattarti per esercitarli.
- Conosci i tuoi flussi di dati: Tieni aggiornato il tuo registro delle attività di trattamento per identificare rapidamente i dati elaborati e individuare e recuperare le informazioni in modo efficiente.
- Essere trasparenti: Informare sempre gli interessati in modo chiaro e comprensibile in merito ai dati personali trattati, prima del trattamento (ad esempio nell'informativa sulla privacy) e durante il trattamento (ad esempio nel rispondere rispondere a una richiesta di accesso dell'interessato).
- Risposta entro 1 mese: Rispondere sempre a una richiesta dell'interessato entro un mese. Se hai bisogno di più tempo per rispondere o se non riesci a soddisfare la richiesta: informare l'interessato entro il termine di un mese.
- Trasmettila: Quando ricevi una richiesta relativa a dati personali che hai trasferito ad altri destinatari, non dimenticare, se necessario, di informare i destinatari del risultato della richiesta.
- Documento: Tieni traccia delle richieste degli interessati e registra le tue risposte; tieni traccia anche della tua argomentazione quando non rispondi a una richiesta.
Come gestire le richieste degli interessati
La trasparenza è fondamentale per la protezione dei dati in generale e, naturalmente, anche nel contesto dei diritti dell'interessato.
Il titolare del trattamento deve:
- comunicare con gli interessati in un linguaggio chiaro e comprensibile (questo è particolarmente importante nei casi in cui un'organizzazione si rivolge ai minori); e
- facilitare l'esercizio di tali diritti, in particolare per via elettronica. Ad esempio, puoi fornire un modulo online sul tuo sito web che gli interessati possono utilizzare per esercitare facilmente i loro diritti in materia di protezione dei dati.
Rispondi per iscritto
La regola generale è che un'organizzazione dovrebbe rispondere alla richiesta di accesso di una persona nello stesso modo in cui è stata presentata la richiesta o nello stesso modo in cui l'interessato ha specificamente chiesto una risposta. Preferibilmente, si consiglia di rispondere per iscritto, se opportuno, anche per via elettronica. Una risposta a una richiesta dell'interessato potrebbe essere data oralmente, ma non è consigliabile in quanto è necessario essere in grado di dimostrare di aver risposto alla richiesta.
Rispondi entro un mese
Il GDPR specifica entro quanto tempo un titolare del trattamento deve rispondere a una richiesta e in quali casi può addebitare commissioni.
Quando gli interessati esercitano uno dei loro diritti, il responsabile del trattamento deve rispondere entro un mese. Se la richiesta è troppo complessa e è necessario più tempo per rispondere, l'organizzazione può prorogare il termine di altri due mesi, a condizione che l'interessato sia informato entro un mese dalla ricezione della richiesta. Se l'organizzazione può dimostrare che la richiesta è manifestamente infondata o eccessiva, in particolare a causa del suo carattere ripetitivo, è possibile addebitare una commissione ragionevole o rifiutare di accogliere la richiesta.
Se la tua organizzazione ha ragionevoli dubbi sull'identità della persona che effettua la richiesta (ad esempio, la richiesta viene effettuata con un altro indirizzo e-mail rispetto a quello normalmente utilizzato dal cliente o viene effettuata tramite un account non riconducibile al cliente), puoi richiedere ulteriori informazioni per confermare l'identità dell'interessato prima di rispondere.
Se non intendi ottemperare alla specifica richiesta dell'interessato, devi informare l'interessato entro un mese dal ricevimento della richiesta dei motivi per cui non si intende dare seguito alla richiesta (ad esempio perché non cancelli i dati richiesti). Inoltre, si deve informare gli interessati della possibilità di poter presentare un reclamo all'Autorità nazionale per la protezione dei dati e di ottenere un ricorso giurisdizionale.
Non addebitare costi
La tua organizzazione non può richiedere alcun pagamento agli interessati che chiedono di esercitare uno dei loro diritti. Tuttavia, è possibile addebitare un costo se la richiesta dell'interessato è manifestamente infondata o eccessiva, in particolare a causa del suo carattere ripetitivo. Il calcolo del costo deve tenere conto delle spese amministrative dell’organizzazione per rispondere alla richiesta. Come spiegato in precedenza, è anche possibile rifiutare di dar seguito a una richiesta manifestamente infondata o eccessiva. In una situazione del genere, è necessario essere in grado di poter dimostrare che questo è il caso.
Nella pratica
- Un interessato presenta delle richieste di accesso ogni due mesi al falegname che ha fabbricato la sua tavola. Il falegname ha risposto in maniera esaustiva alla prima richiesta. Poiché il falegname non tratta i dati personali nell'ambito della sua attività principale e non ha fornito più di un servizio all'interessato, è improbabile che si siano verificati cambiamenti nell'insieme di dati che lo riguardano. L'interessato ha chiarito che la nuova richiesta riguarda le stesse informazioni della precedente richiesta. Di conseguenza, quest’ultima richiesta può essere considerata eccessiva a causa del suo carattere ripetitivo.
- Se il falegname decidesse di fornire i dati personali all'interessato ma a titolo oneroso, è consigliabile che lo informi in anticipo, dandogli così la possibilità di ritirare la richiesta per evitare di vedersi addebitare delle spese. In alternativa, il falegname può informare l'interessato dei motivi per cui non risponderà alla sua richiesta, nonché della possibilità di presentare un reclamo ad un'Autorità per la protezione dei dati e di chiedere una risoluzione giurisdizionale.
Diritto di essere informati
Il diritto di essere informati consente alle persone di comprendere cosa sarà fatto con i loro dati e, di conseguenza, di prendere decisioni consapevoli e di avere un maggiore controllo sui propri dati personali. Tutti gli interessati hanno il diritto di ricevere informazioni quando i loro dati sono trattati.
In qualità di organizzazione che agisce come responsabile del trattamento si ha l'obbligo di informare gli interessati.
Quali informazioni?
Le informazioni da fornire differiscono a seconda che i dati personali siano stati raccolti direttamente dall'interessato (raccolta diretta, descritta nell’articolo 13 del GDPR) o se si siano ottenuti da un'altra fonte (raccolta indiretta, descritta nell’articolo 14 del GDPR). Le seguenti tabelle forniscono una panoramica delle informazioni da fornire all'interessato:
Inoltre, il GDPR richiede alla tua organizzazione di fornire le seguenti informazioni per garantire un trattamento equo e trasparente:
La tua organizzazione deve fornire nuovamente le informazioni contenute in questa seconda tabella in caso di ulteriore trattamento per un nuovo scopo compatibile, che differisce dallo scopo originario. Tali informazioni devono essere fornite prima di tale ulteriore trattamento. In questo caso, è inoltre necessario fornire all'interessato una spiegazione su come le nuove e le precedenti finalità siano compatibili tra loro.
Quando devono essere fornite le informazioni?
Se la tua organizzazione sta raccogliendo i dati personali direttamente dall'interessato, deve fornirgli le informazioni necessarie al momento della raccolta.
In caso di raccolta indiretta di dati personali, l'organizzazione deve fornire le informazioni al più tardi entro un mese dalla data in cui i dati personali sono stati inizialmente ottenuti. Questo periodo massimo di un mese è ridotto:
- se i dati personali vengono utilizzati ai fini della comunicazione con l'interessato. In tal caso, è necessario informare l'interessato al più tardi al momento della prima comunicazione;
- se i dati vengono trasmessi a un altro destinatario, l'organizzazione ne informa gli interessati al più tardi al momento del trasferimento dei dati personali.
In nessun caso il periodo massimo di un mese può essere prorogato.
In caso di successive modifiche al trattamento (ad es. nuovi destinatari, finalità compatibili, trasferimento al di fuori del SEE, ecc.), la vostra organizzazione deve informare l'interessato in ogni caso prima che la modifica abbia effetto e dovrebbe farlo con largo anticipo. Più è sostanziale la modifica, prima l'organizzazione dovrebbe informare l'interessato in modo che quest'ultimo disponga di un tempo ragionevole per valutarne l'impatto e esercitare i propri diritti.
Quando la vostra organizzazione non è obbligata a comunicare informazioni?
La vostra organizzazione non è tenuta a informare l'interessato se tale persona ha già ricevuto le informazioni necessarie.
In caso di raccolta indiretta di dati personali, si applicano ulteriori eccezioni. In questo caso, la fornitura di informazioni non è necessaria se:
- la fornitura di tali informazioni si rivela impossibile o richiederebbe sforzi sproporzionati. L'asticella di tale eccezione è tuttavia molto elevata, il che implica che il titolare del trattamento possa invocare questo criterio solo in via eccezionale;
- l'ottenimento o la divulgazione dei dati è espressamente previsto dalla legge;
- i dati personali devono essere mantenuti riservati sulla base di obbligo legale del segreto professionale.
Nella pratica
- In alcuni paesi dell'UE, la legislazione nazionale può obbligare le autorità fiscali a richiedere ai datori di lavoro determinate informazioni relative ai dipendenti. In tal caso, le autorità fiscali non sono tenute a informare il dipendente. Tuttavia, nell'ambito del suo obbligo di informazione, il datore di lavoro informerà il dipendente che le autorità fiscali sono uno dei destinatari dei dati personali.
Come dovrebbero essere fornite le informazioni all'interessato?
Un buon modo per fornire informazioni è quello di lavorare con diversi livelli di informazione. Ciò evita che venga fornita un'eccessiva quantità di informazioni contemporaneamente, il che può nuocere alla trasparenza e travolgere l'interessato con troppe informazioni. L'uso di un approccio a strati segue sia il requisito della sintesi che quello di fornire tutte le informazioni necessarie. Ciò non solo semplifica il compito del titolare del trattamento, ma consente anche all'interessato di cogliere le informazioni essenziali in modo rapido ed efficiente. La presentazione delle informazioni potrebbe essere la seguente:
- Un primo livello di informazioni di base
- COSA? L'organizzazione fornisce una sintesi delle informazioni di base di cui l'interessato ha bisogno per valutare l'impatto e la portata del trattamento (ossia l'identità del responsabile del trattamento, le finalità del trattamento, le categorie di destinatari, la fonte dei dati, i diritti degli interessati,...).
- COME? Ad esempio in un formato di tabella, in uno spazio chiaramente visibile con il titolo "Informazioni di base sulla protezione dei dati" o tramite un pop-up che fornisca spiegazioni quando vengono raccolti i dati personali. Se il trattamento è basato sul consenso, è preferibile menzionare questa informazione nello spazio in cui l'interessato deve dare il consenso (vicino al pulsante "Acconsento").
- COSA? L'organizzazione fornisce una sintesi delle informazioni di base di cui l'interessato ha bisogno per valutare l'impatto e la portata del trattamento (ossia l'identità del responsabile del trattamento, le finalità del trattamento, le categorie di destinatari, la fonte dei dati, i diritti degli interessati,...).
- Un secondo livello di informazioni aggiuntive e più dettagliate
- COSA? Questa parte presenta in modo comprensibile e completo le restanti informazioni che l'organizzazione è tenuta a fornire ai sensi degli articoli 13 e 14 del GDPR.
- COME? Ulteriori informazioni possono essere fornite in diversi modi, ad esempio tramite collegamenti ipertestuali inclusi nelle informazioni di base o scaricando un documento. La fornitura di tali informazioni supplementari dovrebbe assicurare un equilibrio tra la concisione, da un lato, e la completezza e l'accuratezza, dall'altro. Le informazioni dovrebbero essere strutturate in modo da essere facilmente leggibili. Non si deve dimenticare di adattare le informazioni al gruppo target (ad esempio: se il tuo servizio si rivolge ai bambini, scrivi le informazioni in modo che i minori possano capirle).
- COSA? Questa parte presenta in modo comprensibile e completo le restanti informazioni che l'organizzazione è tenuta a fornire ai sensi degli articoli 13 e 14 del GDPR.
Diritto di accesso
Esercitando il diritto di accesso, gli interessati possono verificare la liceità di ogni attività di trattamento che li riguarda.
Quando esercitano il loro diritto di accesso, gli interessati dovrebbero ottenere una conferma dell'eventuale trattamento dei loro dati personali da parte del titolare del trattamento. In tal caso, gli interessati devono avere accesso ai loro dati personali e alle seguenti informazioni:
- le finalità del trattamento;
- le categorie di dati personali in questione;
- i destinatari (o le categorie di destinatari) dei dati personali;
- il periodo di conservazione dei dati personali o i criteri utilizzati per determinare tale periodo;
- l'esistenza del diritto di richiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che li riguardano o di opporsi a tale trattamento;
- l'esistenza del diritto di fare un reclamo a un'Autorità per la protezione dei dati;
- la fonte dei dati (quando i dati personali non sono raccolti direttamente presso l'interessato);
- l'esistenza di un processo decisionale automatizzato, compresa la profilazione, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze di tale trattamento per l'interessato;
- quando i dati personali sono trasferiti al di fuori dell'Unione Europea vengono messe in atto tutte le garanzie appropriate (ai sensi dell'art. 46 GDPR in materia di trasferimento di dati).
Inoltre, la persona ha il diritto di ricevere (gratuitamente) una copia dei dati personali che la tua organizzazione sta elaborando. Se la persona chiede copie aggiuntive, l'organizzazione potrebbe decidere di addebitargli un costo ragionevole, calcolato sulla base del costo amministrativo della realizzazione delle copie. Si noti che nella maggior parte dei casi, gli individui non possono essere tenuti a pagare una tassa per accedere alle loro informazioni personali.
Se una richiesta è effettuata elettronicamente, l'organizzazione deve fornire le informazioni richieste in un formato elettronico di uso comune, salvo diversa richiesta individuale.
Importante da notare
Prima di fornire una copia dei dati personali, è necessario verificare che ciò non pregiudichi i diritti e le libertà altrui (ad esempio, se le informazioni relative a più di una persona sono trattate nello stesso documento o se sono informazioni relative a segreti commerciali e a proprietà intellettuale).
Diritto di rettifica
L'interessato ha il diritto di chiedere e ottenere dal titolare del trattamento la rettifica dei dati inesatti e il completamento dei dati incompleti. Se la tua organizzazione ha trasmesso i dati personali a terzi, è necessario informarli della rettifica, a meno che ciò non si riveli impossibile o richieda sforzi sproporzionati.
Nella pratica
- Un cliente informa la tua organizzazione che si è trasferito in un'altra città. È necessario modificare il suo indirizzo nel database dei clienti.
Diritto alla cancellazione (diritto all'oblio)
L'interessato può richiedere che un'organizzazione cancelli i dati personali che lo riguardano nelle seguenti situazioni:
- i dati personali non sono più necessari per lo scopo per il quale sono stati raccolti
- l'organizzazione tratta i dati personali in modo illecito
- l'organizzazione deve cancellare i dati personali a causa di un obbligo legale
- l'interessato revoca il consenso e il trattamento non ha altra base giuridica
- l'interessato ha esercitato con successo il diritto di opposizione
- i minori che hanno dato il loro consenso all'utilizzo di un servizio online possono sempre richiedere la cancellazione di tali dati personali (indipendentemente dalla loro età attuale).
Quando i dati personali che devono essere cancellati sono stati precedentemente trasferiti ad altre organizzazioni, è necessario informare questi destinatari che l'interessato ha richiesto la cancellazione, a meno che ciò non si riveli impossibile o richieda sforzi sproporzionati.
Quando l'organizzazione è tenuta a cancellare i dati personali resi pubblici, deve adottare tutte le misure ragionevoli per informare gli altri titolari del trattamento che l'interessato ha richiesto la cancellazione di qualsiasi link o copia o replica di tali dati personali.
La tua organizzazione può rifiutare di cancellare i dati personali solo in un numero limitato di casi, come ad esempio:
- l'esercizio del diritto alla libertà di espressione e di informazione;
- l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;
- l'adempimento di un obbligo giuridico cui è soggetta l'organizzazione o l'esecuzione di un compito di interesse pubblico o nell'esercizio di pubblici poteri affidati all'organizzazione;
- motivi di interesse pubblico nel settore della sanità pubblica;
- finalità di archiviazione nell'interesse pubblico, a fini di ricerca scientifica o storica o a fini statistici (a determinate condizioni).
Nella pratica
- Un dipendente della vostra organizzazione è stato licenziato. Il dipendente chiede che i suoi dati personali siano cancellati dal suo fascicolo personale. Tuttavia, il diritto del lavoro richiede di conservare diversi documenti relativi alle risorse umane (registro del personale, copie delle dichiarazioni salariali, ecc.) per un certo periodo di tempo. Per questi documenti, è necessario rifiutare la richiesta di cancellazione dei dati.
- Un ex cliente non desidera più ricevere e-mail di marketing dalla tua organizzazione e richiede di cancellare i suoi dati di contatto. Poiché non ci sono motivi convincenti per continuare a elaborare i dati di contatto, è necessario cancellarli.
Diritto alla limitazione del trattamento
In determinate circostanze, gli interessati possono richiedere una limitazione del trattamento dei loro dati. Di conseguenza, la tua organizzazione può conservare i dati personali, ma deve cessare tutte le altre attività di elaborazione.
L'interessato ha il diritto di ottenere la limitazione del trattamento dei dati quando:
- l'interessato contesta l'esattezza dei dati personali;
- il trattamento è illecito: anziché la cancellazione dei dati, l'interessato può invece richiedere la limitazione dell'uso dei dati personali;
- l'organizzazione non ha più bisogno dei dati personali, ma i dati sono ancora necessari per l'esercizio di un reclamo legale da parte dell'interessato;
- l'interessato ha esercitato il diritto di opposizione. La limitazione si applica per il tempo necessario a verificare se i motivi legittimi perseguiti dall'organizzazione prevalgano su quelli dell'interessato.
Se l'interessato esercita con successo il diritto alla limitazione del trattamento, la tua organizzazione può utilizzare i dati solo in determinate circostanze, ad esempio con il consenso dell'interessato o per la difesa di rivendicazioni legali. Hai precedentemente trasmesso i dati "limitati" ad altri destinatari? È quindi necessario informare questi destinatari della limitazione del trattamento, a meno che ciò non si riveli impossibile o richieda sforzi sproporzionati.
Prima di revocare la limitazione, assicurati di informare l'interessato della tua intenzione di farlo.
Diritto alla portabilità dei dati
Il diritto alla portabilità dei dati consente agli interessati di ottenere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico. In questo modo possono facilmente riutilizzare i dati e, se lo desiderano, trasmettere i propri dati a un altro titolare del trattamento. Il diritto alla portabilità dei dati può essere esercitato solo se queste tre condizioni sono soddisfatte contemporaneamente:
- il trattamento si basa sul consenso o su un contratto;
- il trattamento è automatizzato (ossia non vi è nessun documento cartaceo);
- e gli interessati stessi hanno fornito i dati. Ciò include anche tutti i dati che la tua organizzazione ha esaminato in base al comportamento dell'interessato (ad esempio con accessori collegati??).
Pertanto, tale diritto non riguarda i dati che l'organizzazione stessa crea sulla base dei dati summenzionati.
Più concretamente, gli interessati hanno diritto a:
- ottenere i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Il formato deve consentire all'interessato di riutilizzare i dati personali per un altro servizio.
Esempio: XML, JSON e CSV sono formati comuni che soddisfano questo criterio. I metadati devono essere forniti anche in modo che i dati possano essere utilizzati su un'altra piattaforma. Un formato PDF non è sufficiente. - a far trasferire i propri dati personali direttamente a un altro titolare del trattamento. La tua organizzazione è tenuta a farlo solo se tale trasferimento diretto è tecnicamente possibile.
Nella pratica
- La tua organizzazione fornisce servizi di streaming musicale online. I tuoi clienti possono richiedere il trasferimento delle loro liste di canzoni a un altro servizio di streaming musicale.
- Sei una PMI che offre un servizio di webmail. Se il cliente che ha un account di posta elettronica per esigenze puramente personali o domestiche lo richiede, si devono trasferire la sua lista di indirizzi e le sue e-mail a un altro servizio di webmail, a condizione che ciò sia tecnicamente fattibile. Se ciò non è possibile, è necessario fornire l'elenco degli indirizzi e le e-mail al cliente in un formato digitale riutilizzabile.
Diritto di opposizione
Gli interessati possono opporsi al trattamento dei dati personali che li riguardano "per motivi connessi alla loro situazione particolare". Il diritto di opposizione può essere esercitato solo se il trattamento si basa su una delle seguenti basi giuridiche:
- il legittimo interesse dell'organizzazione o di un terzo; oppure
- l'esecuzione di un compito svolto nell'interesse pubblico o nell'esercizio dei pubblici poteri.
In altre situazioni, l'interessato non può avvalersi del diritto di opposizione perché, per le altre basi giuridiche, esistono alternative per raggiungere lo stesso scopo: in caso di consenso, l'interessato può semplicemente revocare il consenso. L'interessato non può opporsi a un trattamento imposto dalla legge.
Quando gli interessati esercitano il loro diritto di opporsi, la tua organizzazione deve equilibrare gli interessi di entrambe le parti. Deve cessare ogni trattamento di questi dati a meno che non possa dimostrare motivi legittimi impellenti che prevalgano sui diritti e sulle libertà dell'interessato (ad esempio, sta avviando un'azione legale). L'organizzazione deve documentare e comunicare tali motivi all'interessato.
Importante da notare
Quando i dati sono trattati per scopi di marketing, l'interessato ha il diritto di opporsi a tale trattamento senza fornire alcun motivo. In questo caso, i motivi per cui la tua organizzazione sta trattando questi dati non sono rilevanti, mentre l'opposizione deve portare all'immediata cessazione del trattamento a tale scopo.
Nella pratica
- Sei una piccola società di marketing di eventi. Quando una persona acquista online un biglietto per il concerto di una band, riceve pubblicità per altri concerti simili. Se la persona desidera smettere di ricevere questo tipo di annunci, l'organizzazione deve interrompere il marketing diretto.
- Sei una PMI attiva nel settore assicurativo. In questo settore i dati personali sono necessari in determinate situazioni per combattere le pratiche di riciclaggio di denaro. Come broker assicurativo, puoi rifiutare di dare seguito a un diritto di opposizione perché le tue leggi nazionali antiriciclaggio ti obbligano a trattare i dati.
Leggi di più
Diritto a non essere soggetto a una decisione basata esclusivamente sul trattamento automatizzato
Una persona ha il diritto a non essere oggetto di una decisione completamente automatizzata (ossia senza alcun intervento umano nel processo decisionale), che abbia effetti giuridici o incida in modo significativo sulla persona in questione.
Il processo decisionale automatizzato va spesso di pari passo con la profilazione, che è definita nel GDPR come "qualsiasi forma di trattamento automatizzato di dati personali consistente nell'uso di dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti le prestazioni della persona fisica sul lavoro, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o i movimenti" (articolo 4, paragrafo 4 del GDPR).
Per esercitare questo diritto, il trattamento automatizzato deve comportare:
- una decisione che si basa esclusivamente sul trattamento automatizzato, senza intervento umano. Ciò significa che nessuna persona fisica ha alcun controllo significativo sulla decisione e non può, ad esempio, modificare o invertire la decisione;
- una decisione che abbia effetti giuridici per gli interessati o che li riguardi in modo significativo.
Nella pratica
- Un esempio di conseguenze giuridiche potrebbe essere la risoluzione automatica di un contratto di telefonia perché il cliente non ha pagato la fattura mensile.
- Una decisione che colpisce in maniera significativa la persona può essere trovata nei seguenti esempi (anche se ovviamente deve sempre essere preso in considerazione il contesto per valutare se l'impatto sull'interessato è rilevante):
- decisioni che incidono sulla situazione finanziaria delle persone, come la loro idoneità a ritirare il credito;
- rifiuto automatico dei richiedenti che presentano domanda tramite una piattaforma online;
- differenziazione dei prezzi in base alla cronologia di navigazione del consumatore e alle abitudini di acquisto;
- decisioni che influenzano l'accesso di un individuo all'istruzione, ad esempio le ammissioni universitarie.
- decisioni che incidono sulla situazione finanziaria delle persone, come la loro idoneità a ritirare il credito;
Ci sono tre situazioni in cui una decisione individuale automatizzata può ancora essere presa:
- se consentita dalla legge (ad es. prevenzione della frode o dell'evasione fiscale);
- se la decisione si basa sul consenso esplicito dell'interessato; oppure
- se necessaria per la conclusione o l'esecuzione di un contratto. Tuttavia, sii consapevole del fatto che in quest'ultima situazione è sempre necessaria una valutazione caso per caso. Non appena sono disponibili metodi meno invasivi per la privacy per concludere o eseguire un contratto, la decisione automatizzata non è più considerata "necessaria".
Se sono coinvolti dati sensibili, il processo decisionale automatizzato è possibile solo sulla base del consenso esplicito o di un interesse pubblico sostanziale ai sensi del diritto dell'Unione o nazionale.