GDPR e diritti dell’interessato, il vademecum da seguire

Con il nuovo Regolamento Ue in materia di protezione dei dati personali (2016/679) viene disciplinato all’art 15 il diritto di accesso dell’interessato.

Uno dei fondamentali diritti dell’interessato garantiti dal GDPR è sicuramente il diritto di accesso che viene disciplinato dall’art. 15 laddove viene sancito che l’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, se è in corso tale trattamento, l’accesso ai dati e alle seguenti informazioni:

a) le finalità del trattamento;

b) le categorie di dati personali in questione;

c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare questo periodo;

e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

f) il diritto di proporre reclamo ad un’autorità di controllo;

g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;

h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Il titolare del trattamento deve fornire all’interessato le informazioni relative all’azione intrapresa riguardo ad una richiesta di accesso, ai sensi degli articoli da 15 a 20, senza ingiustificato ritardo e al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato per un massimo di altri due mesi, se necessario, tenuto conto della complessità della richiesta e del numero di richieste.

Qualora si applichi la proroga, l’interessato è informato dei motivi del ritardo entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta in formato elettronico, le informazioni sono fornite, ove possibile, in formato elettronico, salvo indicazione diversa dell’interessato.

Se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.

Appare evidente che tale diritto non rappresenti una novità rispetto alla precedente normativa ed anche gli artt. 16, 17 e 18 del Regolamento (sul tema, leggi anche: eBook – Regolamento europeo n. 2016/679 e Data Protection Officer – Istruzioni operative di Michele Iaselli, 2017) prevedono ulteriori importanti diritti dell’interessato che già sono pacifici nel nostro ordinamento, quali il diritto dei rettifica, il diritto di cancellazione (e del diritto all’oblio) e il diritto di limitazione del trattamento, quando naturalmente ricorrono determinati casi.

Con il diritto di rettifica l’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa.

L’interessato ha, invece, il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle seguenti ipotesi:

a) l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;

b) il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;

c) benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;

d) l’interessato si è opposto al trattamento ai sensi dell’articolo 21, paragrafo 1, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.

Se il trattamento è limitato i dati personali sono trattati, salvo che per la conservazione, soltanto con il consenso dell’interessato o per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria oppure per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.

Con il riconoscimento del diritto alla cancellazione ed all’oblio l’interessato deve avere il diritto di chiedere che siano cancellati e non più sottoposti a trattamento i propri dati personali che non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando abbia ritirato il consenso o si sia opposto al trattamento dei dati personali che lo riguardano o quando il trattamento dei suoi dati personali non sia altrimenti conforme al Regolamento.

Tale diritto è particolarmente rilevante se l’interessato ha dato il consenso quando era minore, e quindi non pienamente consapevole dei rischi derivanti dal trattamento, e vuole successivamente eliminare questo tipo di dati personali, in particolare da Internet.

Tuttavia, dovrebbe essere lecita l’ulteriore conservazione dei dati qualora sia necessaria per esercitare il diritto alla libertà di espressione e di informazione, per adempiere un obbligo legale, per eseguire un compito di interesse pubblico o nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento, per motivi di interesse pubblico nel settore della sanità pubblica, per finalità di archiviazione nel pubblico interesse, per finalità di ricerca scientifica e storica o finalità statistiche o per accertare, esercitare o difendere un diritto in sede giudiziaria.

Per rafforzare il “diritto all’oblio” nell’ambiente on line, è opportuno che il diritto di cancellazione sia esteso in modo da obbligare il titolare del trattamento che ha pubblicato dati personali a informare i responsabili del trattamento che stanno trattando tali dati affinché cancellino qualsiasi link verso tali dati personali o copia o riproduzione di detti dati.

Viene ribadito nel Regolamento anche il diritto di opposizione dell’interessato, sempre nell’ottica della nuova dimensione acquisita dal diritto alla riservatezza, che, non viene, infatti, più inteso in un senso puramente negativo, come facoltà di ripulsa delle intromissioni di estranei nella vita privata, o di rifiutare il consenso alla diffusione di informazioni sul proprio conto, di rinuncia alla partecipazione nella vita sociale; ma in senso positivo, come affermazione della libertà e dignità della persona, e come potere di limitare il potere informatico, controllandone i mezzi ed i fini.

L’art. 21 attribuisce però a tale diritto una rilevanza autonoma sancendo che l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, paragrafo 1, lettere e) o f), compresa la profilazione sulla base di tali disposizioni. Il titolare del trattamento non tratta più i dati personali salvo che egli dimostri l’esistenza di motivi legittimi preminenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

Leggi l’articolo originale Privacy: i diritti dell’interessato nell’ottica del GDPR

Fonte: Altalex | di Michele Iaselli

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL