Guida VII al Regolamento Privacy UE 2016/679. I diritti dell’interessato
Indice
1. L’esercizio dei diritti dell’interessato
1.1 Novità introdotte dal nuovo Regolamento UE
1.2 Cosa non è cambiato dopo il nuovo Regolamento UE
2. Diritto di accesso diritto di rettifica
3. Diritto all’oblio
4. Diritto di limitazione di trattamento
5. Diritto alla portabilità dei dati
6. Diritto di opposizione al trattamento dei dati
1. L’esercizio dei diritti dell’interessato
Il nuovo Regolamento UE 2016/679, al capo III, articoli 11 e 12, esamina le modalità per l’esercizio dei diritti dell’interessato al trattamento, ossia della persona fisica a cui si riferiscono i dati personali.
1.1 Novità introdotte dal nuovo Regolamento UE
L’articolo 12 del Regolamento introduce ed attribuisce specifici diritti all’interessato, il quale può rivolgersi direttamente al titolare del trattamento per ottenere informazioni, comunicazioni e modalità trasparenti per l’esercizio dei suoi diritti.
Il titolare del trattamento deve adottare le misure appropriate per fornire all’interessato tali informazioni, che devono aversi in forma scritta, anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; queste possono essere fornite oralmente solo se richiesto dall’interessato, purché sia provata la sua identità.
Secondo quanto previsto dal nuovo Regolamento, il titolare del trattamento deve fornire all’interessato le informazioni richieste entro un mese dal ricevimento della richiesta, anche in caso di diniego. In casi particolarmente complessi il termine può essere prorogato di due mesi. Sarà poi cura del titolare del trattamento informare l’interessato di tale proroga e dei motivi del ritardo, entro un mese dal ricevimento richiesta. Le informazioni fornite all’interessato ed eventuali comunicazioni sono in genere gratuite. Ma nel caso in cui le richieste dell’interessato siano infondate o eccessive (anche ripetitive), il titolare del trattamento può addebitare un contributo spese ragionevole, tenendo conto dei costi amministrativi sostenuti per le informazioni, comunicazioni o per intraprendere l’azione richiesta, oppure può rifiutare la richiesta dell’interessato, a differenza di quanto previsto dagli articoli 9, comma 5, e 10, commi 7 e 8 del codice privacy. È a carico del titolare del trattamento l’onere di dimostrare l’infondatezza o il carattere eccessivo della richiesta.
Il Regolamento UE prevede che la risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
1.2 Cosa non è cambiato dopo il nuovo Regolamento UE
Il nuovo Regolamento UE non modifica la parte relativa all’agevolazione dell’esercizio dei diritti da parte dell’interessato.
Il titolare del trattamento deve, quindi, continuare ad adottare ogni misura, tecnica ed organizzativa, idonea ad agevolare l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati. Il responsabile è tenuto a collaborare con il titolare ai fini dell’esercizio dei diritti degli interessati (articolo 28, paragrafo 3, lettera 3): in ogni caso è il solo titolare a dover dare riscontro in caso di esercizio dei diritti.
In linea di principio l’esercizio dei diritti continua ad essere gratuito per l’interessato anche con il nuovo Regolamento, ma possono esservi delle eccezioni, come già indicato nel precedente paragrafo. Il titolare del trattamento, in caso di dubbi circa l’identità dell’interessato, ha il diritto di chiedere informazioni necessarie per confermare la sua identità (articolo 12, paragrafo 6).
2. Diritto di accesso e diritto di rettifica
Nel nuovo Regolamento UE il diritto di accesso dell’interessato al trattamento di dati personali è rafforzato e più ampiamente dettagliato rispetto al passato. Più precisamente, l’articolo 15 del nuovo Regolamento privacy stabilisce che l’interessato ha diritto di richiedere e ottenere dal titolare del trattamento l’accesso ai dati personali che lo riguardano.
In particolare, l’interessato ha il diritto di conoscere:
a) le finalità del trattamento;
b) le categorie di dati personali trattate;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f) il diritto di proporre reclamo a un’autorità di controllo;
g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Qualora i dati personali siano trasferiti a un paese terzo, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate rispetto alla tutela fornita nel paese terzo.
Inoltre, il titolare del trattamento fornisce all’interessato una copia dei dati personali oggetto di trattamento e, in caso di ulteriori copie richieste, il titolare può addebitare un contributo spese ragionevole per costi amministrativi.
Di particolare utilità, con riferimento a tanti servizi on line la previsione secondo cui i titolari possono eventualmente anche consentire agli interessati di consultare direttamente da remoto i propri dati personali (considerando 68).
Per quanto riguarda il diritto di rettifica (articolo 16 del Regolamento UE), l’interessato ha diritto di ottenere dal titolare del trattamento, senza ingiustificato ritardo, la rettifica dei dati inesatti che lo riguardano e, quindi, l’integrazione dei dati personali incompleti.
3. Diritto all’oblio
In questo paragrafo analizzeremo il diritto di cancellazione (diritto all’oblio) dei dati personali dell’interessato, precisando le novità introdotte dal Regolamento privacy UE sul tema.
L’articolo 17 del nuovo Regolamento prevede il diritto dell’interessato ad ottenere la cancellazione dei propri dati personali senza ingiustificato ritardo. Inoltre, il titolare del trattamento, se ha reso pubblici dati personali dell’interessato, ha l’obbligo di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi qualsiasi link, copia o riproduzione dei suoi dati personali (articolo 17, paragrafo 2).
Quindi, il diritto all’oblio, quale diritto dell’interessato alla cancellazione dei propri dati personali, con il nuovo Regolamento privacy UE ha un campo di applicazione più esteso di quello di cui all’articolo 7, comma 3, lettera b) del Codice della Privacy. Infatti, il “nuovo diritto all’oblio”, prevede che l’interessato ha il diritto di richiedere la cancellazione dei propri dati personali, anche dopo la revoca del consenso al trattamento.
4. Diritto di limitazione di trattamento
Quanto al diritto di limitazione di trattamento (articolo 18), si tratta di un diritto più esteso (se non del tutto diverso) rispetto a quello previsto dall’articolo 7, comma 3, lettera b), del Codice privacy (cancellazione, trasformazione in forma anonima o blocco dei dati trattati in violazione di legge).
Con il nuovo Regolamento, l’interessato, ha, infatti, il diritto di ottenere dal titolare un trattamento limitato dei propri dati quando contesta l’esattezza dei dati personali; quando il trattamento è illecito e se l’interessato si è opposto al trattamento, ai sensi dell’articolo 21, paragrafo 1, del Regolamento, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento o dei diritti dell’interessato.
Inoltre, il diritto di limitazione può essere invocato nel caso in cui il titolare del trattamento non abbia più necessità di conservare i dati ai fini del trattamento, ma questi possono essere necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Quindi, se il trattamento è limitato, i dati personali dell’interessato sono trattati, esclusa la conservazione, solo con il suo consenso.
La limitazione può essere revocata e, in tal caso, il titolare del trattamento deve informarne il soggetto interessato.
Sul tema in questione, nelle linee giuda del Garante Privacy emerge una raccomandazione degna di nota, vale a dire: “il diritto alla limitazione prevede che il dato personale sia “contrassegnato” in attesa di determinazioni ulteriori; pertanto, è opportuno che i titolari prevedano nei propri sistemi informativi (elettronici o meno) misure idonee a tale scopo”.
5. Diritto alla portabilità dei dati
Il diritto alla portabilità dei dati è un nuovo diritto, ma non del tutto sconosciuto, introdotto dal Regolamento privacy UE (articolo 20).
Tale diritto consente all’interessato di ricevere i dati personali che lo riguardano forniti a un titolare del trattamento in un formato strutturato, di uso comune e leggibile da dispositivo automatico, in modo che possa trasmetterli a un altro titolare del trattamento senza impedimenti da parte del titolare a cui li ha forniti (quale, ad esempio, un diverso fornitore di servizi). L’esercizio del diritto alla portabilità non deve ledere i diritti e le libertà altrui.
Sono portabili i dati personali che si riferiscono all’interessato. Sono, quindi, esclusi i dati anonimi. Per essere portabili i dati devono essere trattati attraverso strumenti automatizzati. Sono quindi esclusi gli archivi e registri cartacei.
Sono, inoltre, portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato. I dati devono essere stati forniti consapevolmente e in modo attivo dall’interessato (quali ad esempio, i dati di registrazione inseriti compilando un modulo online, ossia nome utente, età, indirizzo email, ecc.).
6. Diritto di opposizione al trattamento dei dati
L’interessato, come nella precedente normativa, gode inoltre del diritto di opposizione.
L’articolo 21 del nuovo Regolamento ha disciplinato tale diritto, il quale per definizione consente all’interessato di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano. In tal senso nulla è cambiato rispetto alla Direttiva 46/95/CE.
Il paragrafo 2 del suddetto articolo dispone che: “nel caso in cui i dati personali siano trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali che lo riguardano effettuato per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale finalità di marketing diretto”.
Qualora i dati personali siano trattati a fini di ricerca scientifica o storica, l’interessato ha il diritto di opporsi al trattamento dei dati personali che lo riguardano, salvo se il trattamento è necessario per l’esecuzione di un compito di interesse pubblico (l’articolo 21, paragrafo 6).
