Il Regolamento Europeo 2016/679 disciplina i diritti del soggetto interessato, il quale può richiederne l’esercizio al titolare del trattamento. Quest’ultimo ha l’obbligo di provvedere entro un mese dalla richiesta dell’interessato, o comunque non oltre due mesi in casi di particolare necessità con apposito avvertimento. Se il titolare non risponde alla richiesta o fornisce una risposta non adeguata, l’interessato potrà rivolgersi al Garante della Privacy o all’autorità giudiziaria al fine di tutelare i suoi diritti.
L’Articolo 23 del GDPR elenca una serie di deroghe riguardo l’obbligo del titolare ad esercitare i diritti dell’interessato. Inoltre, delega agli Stati membri la possibilità di individuare ulteriori restrizioni: in Italia sono disciplinati nell’Articolo 8 del Codice per la protezione dei dati personali 196/2003, modificato dal D.Lgs 101/2018.
MA QUALI SONO QUESTI DIRITTI?
DIRITTO DI INFORMAZIONE. In base al principio di correttezza e trasparenza, il titolare è obbligato, ai sensi dell’art. 12 del GDPR, di comunicare in maniera corretta e completa le informazioni previste dagli articoli 13 e 14 del GDPR, a cui l’interessato ha diritto. La comunicazione deve avvenire tramite un’apposita informativa e deve riguardare, necessariamente, i seguenti punti: i dati del titolare e del DPO (se presente), le categorie di dati personali trattati, le finalità predeterminate e la base giuridica con cui si giustifica il trattamento, la durata del trattamento o i criteri per determinarla, la modalità di trattamento, i destinatari o le categorie di destinatari dei dati, eventuale esistenza di un processo decisionale automatizzato, eventuale trasferimento ad un paese non appartenente all’Unione Europea e, infine, i diritti dell’interessato e la modalità di esercizio.
DIRITTO DI ACCESSO (ART. 15). Il Regolamento Europeo 2016/679 disciplina il diritto di accesso ai dati trattati da parte dell’interessato. Quest’ultimo ha il diritto di ottenere, da parte del titolare del trattamento, la conferma che vi sia o meno un trattamento dei dati personali che lo riguardano, di ottenere l’accesso ai dati personali e altre informazioni sul trattamento previste dal diritto di informazione. Qualora il diritto all’accesso possa ledere i diritti o le libertà altrui, creando un pregiudizio effettivo e concreto, oppure l’esecuzione del diritto presuppone un onere sproporzionato per il titolare, la copia dei dati può essere rifiutata.
DIRITTO DI RETTIFICA (ART. 16). Nel caso in cui vengono trattati dati inesatti, l’interessato può richiedere il la rettifica dei propri dati personali, ai sensi dell’art. 16 del GDPR. Inoltre, tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti (con anche dichiarazione integrativa).
DIRITTO ALLA CANCELLAZIONE (“DIRITTO ALL’OBLIO”, ART. 17). L’interessato ha il diritto di ottenere la cancellazione dei dati personali, da parte del titolare, nel caso in cui sussiste uno dei seguenti motivi: i dati non risultano più necessari rispetto alle finalità per il quale sono stati trattati; l’interessato esercita il diritto di revoca del consenso (art. 7, co. 3 del GDPR); l’interessato si oppone al trattamento (ex art. 21 del GDPR); i dati personali sono trattati in modo illecito; i dati devono essere cancellati per adempiere ad un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro; i dati personali sono stati raccolti relativamente all’offerta di servizi. Tenendo conto dei costi di attuazione e della tecnologia disponibile, il titolare ha l’obbligo di cancellare i dati personali, senza ingiustificato ritardo.
Se il trattamento è necessario per l’esercizio del diritto di libertà di espressione o informazione, per l’adempimento di un obbligo giuridico previsto dal diritto Europeo o dallo Stato membro cui è soggetto il titolare, per motivi di interesse pubblico, a fini di archiviazione nel pubblico interesse / ricerca scientifica / storica / statistici o, infine, per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria, il diritto alla cancellazione non si applica.
DIRITTO DI LIMITAZIONE DI TRATTAMENTO (ART. 18). Ai sensi dell’Articolo 18 del GDPR, l’interessato ha il diritto di ottenere la limitazione dei dati personali trattati per: contestazione dell’esattezza dei dati personali, accertare o esercitare o difendere un diritto in sede giudiziaria, se il trattamento è illecito e l’interessato si oppone alla cancellazione, se l’interessato si è opposto al trattamento ai sensi dell’art. 21 del GDPR.
La limitazione avviene soltanto con previo consenso dell’interessato o al fine di accertare, esercitare o difendere un diritto in sede giudiziaria o per tutelare i diritti di un soggetto terzo o per motivi di interesse pubblico. Qualora la limitazione dei dati personali venga revocata, il titolare ha l’obbligo di informare l’interessato.
DIRITTO DI PORTABILITÀ DEI DATI (ART. 20). Il titolare, qualora l’interessato lo richieda, ha l’obbligo di fornire i dati personali ricevuti da quest’ultimo e di non impedire la trasmissione di tali dati ad un altro titolare del trattamento. Ciò può avvenire nell’eventualità che il trattamento si basi sul consenso e venga effettuato con mezzi automatizzati. I dati dovranno essere inviati in un formato strutturato, di uso comune e leggibile da un dispositivo automatico.
L’esercizio del diritto non deve in alcun modo ledere i diritti e le libertà altrui.
DIRITTO DI OPPOSIZIONE (ART. 21). Il soggetto interessato ha il diritto di opporsi al trattamento, in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali legati a ragioni di interesse pubblico o l’esercizio di pubblici poteri. Inoltre, l’interessato può opporsi al trattamento per il proseguimento di legittimi interessi del titolare o di terzi, oltre al trattamento per fini commerciali (es.: marketing diretto o profilazione). A seguito dell’esercizio di tale diritto, il titolare si deve astenere nel trattare ulteriormente i dati personali, a meno che non dimostri l’esistenza di motivi legittimi cogenti che prevalgono sui diritti o per l’accertamento o difesa o esercizio di un diritto in sede giudiziaria.
DIRITTO DI NON ESSERE SOTTOPOSTO A PROCESSI DECISIONALI AUTOMATIZZATI (ART. 22). L’interessato, ai sensi dell’art. 22 del GDPR, ha il diritto di non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione. Il diritto può essere esercitato a meno che la decisone non risulti: necessaria per la conclusione o esecuzione di un contratto, sia autorizzata dal diritto dell’Unione o dallo Stato membro a cui è soggetto il titolare, si basi sul consenso specifico dell’interessato. In ogni caso, se i dati trattati sono dati particolari ex art. 9 e 10 del GDPR, l’interessato ha sempre e comunque il diritto di non essere sottoposto unicamente a tale decisione.
Se hai dubbi sull’argomento, o in generale sulla materia Privacy, contattaci al più presto. Il Team di B&P Solution potrà affiancarti alla scoperta della normativa vigente, aiutandoti ad essere compliance ad essa. Intervieni prima che sia troppo tardi!
Dott.ssa Giada Pongiluppi
Commenti recenti