I diritti degli interessati: cosa sono e le indicazioni del Garante Privacy per la gestione

A cura del Dott. Marco Miglietta

Il GDPR conferisce ai soggetti interessati una serie di diritti mediante i quali gli interessati possono presentare una richiesta specifica e assicurarsi che i propri dati personali non vengano utilizzati in modo improprio per finalità diverse dallo scopo legittimo per il quale sono stati originariamente forniti.

Uno dei principali obiettivi del GDPR consiste nel garantire la privacy e la protezione dei dati personali degli interessati. Per aiutare gli interessati a garantire la protezione e la riservatezza dei propri dati personali, il GDPR conferisce ai soggetti interessati determinati diritti mediante i quali gli interessati possono presentare una richiesta specifica e assicurarsi che i propri dati personali non vengano utilizzati in modo improprio per finalità diverse dallo scopo legittimo per il quale sono stati originariamente forniti.

Le modalità per l'esercizio di tutti i diritti da parte degli interessati sono stabilite, in via generale, negli artt. 11 e 12 del GDPR:

• Per tutti i diritti il termine per la risposta è 30 giorni, estendibile fino a 3 mesi in casi di particolare complessità. Il titolare deve comunque dare un riscontro all'interessato entro 1 mese dalla richiesta, anche in caso di diniego.

• L'esercizio dei diritti è, in linea di principio, gratuito per l'interessato, ma possono esservi eccezioni. Spetta al titolare valutare la complessità del riscontro all'interessato e stabilire l'ammontare dell'eventuale contributo da chiedere, ma soltanto se si tratta di richieste manifestamente infondate, eccessive o anche ripetitive (art.12, par. 5), o se sono chieste più "copie" dei dati personali nel caso del diritto di accesso (art. 15, par. 3). In quest'ultima ipotesi, il titolare deve tenere conto dei costi amministrativi sostenuti.

• Il riscontro all'interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l'accessibilità. Può essere dato oralmente solo se lo richiede lo stesso interessato (art. 12, par. 1, e art. 15, par. 3).

• La risposta fornita all'interessato non deve essere solo "intelligibile", ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

• Il titolare del trattamento deve agevolare l'esercizio dei diritti da parte dell'interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti (artt. 15-22), il responsabile è tenuto a collaborare con il titolare ai fini dell'esercizio dei diritti degli interessati (art. 28, par. 3, lett. e).

• Il titolare ha il diritto di chiedere informazioni necessarie a identificare l'interessato, e quest'ultimo ha il dovere di fornirle, secondo modalità idonee (si vedano, in particolare, art. 11, par. 2 e art. 12, par. 6).

Sono ammesse deroghe ai diritti riconosciuti dal GDPR, ma solo sul fondamento di disposizioni normative nazionali (art. 23) e ambiti specifici: diritto alla cancellazione/"oblio" (art. 17, par. 3); trattamenti effettuati a scopi giornalistici (art. 85); trattamenti a fini di ricerca scientifica, storica o di statistica (art. 89). Per approfondimenti su tali deroghe si vedano anche l'art. 2- undecies e l'art. 2-duodecies del Codice Privacy.

L'Autorità Garante per la protezione dei dati personali ritiene opportuno che i titolari di trattamento adottino le misure tecniche e organizzative eventualmente necessarie per favorire l'esercizio dei diritti e il riscontro alle richieste presentate dagli interessati. Indicazioni utili sono contenute nelle Linee guida del WP29 e dell'EDPB in materia di trasparenza, nelle Linee guida in materia di portabilità dei dati, nelle Linee guida in materia di diritto all'oblio, nelle Linee guida in materia di diritto di accesso.

Diritto di accesso

Il diritto di accesso (art. 15) prevede in ogni caso il diritto di ricevere copia dei dati personali oggetto di trattamento. Fra le informazioni che il titolare deve fornire non rientrano le "modalità" del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.

Oltre al rispetto delle prescrizioni relative alla modalità di esercizio di questo e degli altri diritti, i titolari possono consentire agli interessati di consultare direttamente, da remoto e in modo sicuro, i propri dati personali (si veda considerando 68).

Diritto di cancellazione ("diritto all'oblio")

Il cosiddetto diritto "all'oblio" si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l'obbligo per i titolari che hanno "reso pubblici" i dati personali dell'interessato, ad esempio pubblicandoli su un sito web, di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi "qualsiasi link, copia o riproduzione" (art. 17, par. 2). Diritto di cancellazione ("diritto all'oblio") (art.17)

L'Autorità Garante sottolinea inoltre che l'interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento (art. 17, par.1).

Diritto di limitazione del trattamento

Il diritto di limitare (ossia, bloccare) il trattamento è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), ma anche nel caso in cui l'interessato chieda la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell'art. 21 del Regolamento (in attesa della valutazione da parte del titolare).

Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato, a meno che ricorrano determinate circostanze (consenso dell'interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).

Il diritto alla limitazione prevede che il dato personale sia "contrassegnato" in attesa di determinazioni ulteriori; pertanto, è opportuno che i titolari prevedano nei propri sistemi informativi (elettronici o meno) misure idonee a tale scopo.

Diritto alla portabilità dei dati

Si tratta di uno dei nuovi diritti previsti dal GDPR, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico).

Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio. In particolare, sono "portabili":

• i dati trattati con il consenso dell'interessato o sulla base di un contratto stipulato con l'interessato (tale diritto quindi non si applica ai dati il cui trattamento si fonda sull'interesse pubblico o sull'interesse legittimo del titolare, per esempio);

• i dati che siano stati "forniti" dall'interessato al titolare (considerando 68 per maggiori dettagli).

Il titolare deve essere inoltre in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall'interessato, se tecnicamente possibile.

Il Gruppo "Articolo 29" ha pubblicato Linee guida specifiche dove sono illustrati e spiegati i requisiti e le caratteristiche del diritto alla portabilità con particolare riguardo ai diritti di terzi interessati i cui dati siano potenzialmente compresi fra quelli "relativi all'interessato" di cui quest'ultimo chiede la portabilità (versione italiana con le relative FAQ qui disponibile: www.gpdp.it/regolamentoue/portabilita). Poiché la trasmissione dei dati da un titolare all'altro prevede che si utilizzino formati interoperabili, i titolari che ricadono nel campo di applicazione di questo diritto devono adottare le misure necessarie a produrre i dati richiesti in un formato interoperabile secondo le indicazioni fornite nel considerando 68 e nelle Linee guida del Gruppo "Articolo 29".