Diritti degli interessati

 

 

Diritti degli interessati

Quali sono i diritti degli interessati

Il GDPR si pone come obiettivo proprio la salvaguardia della riservatezza e la tutela dei diritti e delle libertà fondamentali delle persone fisiche. Pertanto, fornisce strumenti che consentono all’interessato di tenere sotto controllo il trattamento dei dati personali che lo riguardano. Sono confermati i diritti che sinora conosciamo ma se ne sono aggiunti di ulteriori e non di facile gestione. Vediamo nel dettaglio quali sono.

Il diritto di accesso riconosce all’interessato il diritto di sapere se i suoi dati sono trattati e di ottenere informazioni su: (i) finalità del trattamento; (ii) categorie di dati personali; (iii) destinatari o categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di Paesi terzi o organizzazioni internazionali; (iv) periodo di conservazione dei dati personali previsto oppure, se non è possibile indicarlo, criteri utilizzati per determinare tale periodo; (v) diritto di rettifica o cancellazione dei dati personali o limitazione del trattamento dei dati personali o di opporsi al loro trattamento; (vi) diritto di proporre reclamo a un’autorità di controllo; (vii) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine; (viii) esistenza di processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Il diritto di rettifica permette alla persona di ottenere dal titolare la rettifica dei dati personali inesatti «senza ingiustificato ritardo» e, se di interesse, di integrarli se incompleti.

Il diritto alla cancellazione (diritto all’oblio) può concretarsi in diverse richieste. La persona ha il diritto di ottenere la cancellazione dei dati personali «senza ingiustificato ritardo» e il titolare ha l’obbligo di cancellarli «senza ingiustificato ritardo» se i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati. La cancellazione è dovuta poiché l’interessato revoca il consenso e non sussiste altro fondamento giuridico per il trattamento. Allo stesso modo, la cancellazione dei dati è dovuta se l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento. Tale diritto è esercitato dalla persona che si oppone al trattamento per finalità di marketing, anche con profilazione. Chiaramente, la cancellazione si applica in caso di dati personali trattati illecitamente, nonché nel caso in cui i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare. Il diritto all’oblio attiene ai dati personali raccolti relativamente all’offerta di servizi della società dell’informazione a favore di un minore (16 anni per il GDPR; 14 anni per la normativa nazionale italiana) in virtù del consenso prestato. Se i dati sono stati resi pubblici, il titolare è obbligato a cancellarli e, se possibile, deve informare i titolari che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei dati stessi.

Grazie al diritto di limitazione di trattamento, la persona ha il diritto di richiedere che i dati siano trattati entro determinati limiti, se l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare per verificare l’esattezza di tali dati personali. Il diritto di limitazione di trattamento può essere esercitato quando il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo. La limitazione del trattamento è applicabile anche se il titolare non ha più bisogno dei dati personali ai fini del trattamento, ma sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. In ultimo, ma non per importanza, la persona si è opposta al trattamento ed è in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare rispetto a quelli dell’interessato.

L’obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento impone al titolare di comunicare a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento richieste dalla persona, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare è obbligato a indicare all’interessato tali destinatari qualora l’interessato lo richieda.

Il diritto alla portabilità dei dati era previsto soltanto rispetto a determinate categorie di attività dei titolari. Il GDPR estende il diritto della persona a prescindere dall’attività del titolare. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare e ha il diritto di trasmettere tali dati a un altro titolare senza impedimenti da parte del titolare cui li ha forniti. Questo diritto è esercitabile soltanto se il trattamento è basato sul consenso o su un contratto e, contemporaneamente, i dati sono trattati con strumenti elettronici. La persona può richiedere la trasmissione diretta dei dati da un titolare all’altro, se tecnicamente possibile e, ovviamente, la trasmissione dei dati non deve ledere diritti altrui. Ciò significa che il trasferimento deve escludere dati di altre persone.

Sicuramente conosciuto è il diritto di opposizione. L’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali, compresa la profilazione. Il titolare non deve trattare ulteriormente i dati personali salvo che dimostri l’esistenza di motivi legittimi per continuare il trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Se i dati sono trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati svolto per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. Se l’interessato si oppone al trattamento dei dati per fini di marketing diretto, il titolare non può più trattare i dati per tale finalità. Il diritto di opposizione deve essere presentato alla persona chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l’interessato.

Infine, il GDPR stabilisce il diritto di opporsi a un processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione. Per la precisione, l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Questo diritto non può essere esercitato se la profilazione è necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare o se è autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare o se basata sul consenso esplicito dell’interessato. La persona ha il diritto di ottenere l’intervento umano da parte del titolare, di esprimere la propria opinione e di contestare la decisione.

La gestione dei diritti degli interessati

Il GDPR ha per obiettivo la tutela dei diritti e delle libertà fondamentali della persona e deve garantire che l’interessato possa facilmente controllare il trattamento eseguito sui dati. In questo contesto, il titolare deve porre in essere misure adeguate a facilitare l’esercizio dei diritti rispetto alla protezione dei dati personali e a comunicare tutte le informazioni richieste dall’interessato. Tutte le comunicazioni sulle informazioni richieste devono essere rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informazioni sono fornite per iscritto o con altri mezzi, anche elettronici. Se l’interessato presenta la richiesta con mezzi elettronici (es.: per e-mail), le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato medesimo. Se richiesto dalla persona, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato, a meno che il titolare non dimostri di non essere in grado di identificare la persona. Se non è in grado di identificare la persona, il titolare può richiedere di esibire informazioni aggiuntive allo scopo.

Tutte le richieste sono gratuite e non devono avere particolari forme di presentazione.

Il titolare deve rispondere alle richieste e comunicare le azioni intraprese «senza ingiustificato ritardo» e, comunque, «entro un mese dal ricevimento della richiesta» stessa. Questo termine può essere prorogato «fino a un massimo di tre mesi» e soltanto nel caso in cui la richiesta sia particolarmente complessa oppure quando le richieste sono numerose. Nel caso di riscontro prorogato, il titolare ha l’obbligo di avvertire l’interessato, comunque «entro un mese», spiegando le motivazioni del ritardo nel fornire risposta. Inoltre, se non evade la richiesta, il titolare informa l’interessato «senza ritardo», e «al più tardi entro un mese» dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di presentare reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.

Rappresenta buona prassi dotarsi di una procedura di gestione dei diritti degli interessati, affinché tutte le domande poste abbiano esauriente risposta, possibilmente esponendo le risposte seguendo l’elenco delle richieste della persona, onde evitare il rischio di omettere informazioni espressamente richieste. Al contempo, l’archivio dovrà essere implementato con procedure che permettano di registrare le richieste e le azioni intraprese.

Il diritto di proporre reclamo all’autorità di controllo e ricorso all’autorità giurisdizionale

La persona che ritenga che il trattamento dei dati sia eseguito in violazione del GDPR ha diritto di proporre reclamo ad un’autorità di controllo. Il GDPR chiarisce che l’interessato può avanzare il reclamo all’autorità di controllo ove risiede oppure lavora oppure dove ritiene sia stata effettuata la violazione. Quindi, non necessariamente, la persona che risiede in Italia deve rivolgersi al Garante italiano: per esempio, se ritiene che la violazione sia stata commessa in Francia, il diritto può essere esercitato nei confronti dell’autorità di controllo francese. Questa modalità è ispirata alla collaborazione tra le autorità di controllo dell’Unione europea che è altamente espressa e disciplinata dal GDPR.

Il Garante ha messo a disposizione degli interessati un modello per presentare il reclamo: è disponibile all’URL https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524&zx=e0yn0riezmmw ed è da inviare all’e-mail protocollo@pec.gpdp.it.

L’autorità di controllo ha l’obbligo di informare il reclamante dello stato o dell’esito del reclamo «entro tre mesi», compresa la possibilità di un ricorso giurisdizionale. Infatti, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo.

In alternativa al reclamo al Garante, l’interessato può esercitare ricorso amministrativo o giurisdizionale. Inoltre, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo nei confronti del titolare o del responsabile qualora ritenga che i diritti siano stati violati a seguito di un trattamento.

Il diritto di risarcimento del danno

È importante segnalare che l’interessato che abbia subito un danno materiale o immateriale da un trattamento non conforme al GDPR ha il diritto di ottenere il risarcimento dal titolare o dal responsabile. Ogni titolare coinvolto nel trattamento è responsabile delle violazioni commesse direttamente. Il responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del GDPR specificatamente diretti ai responsabili o ha agito in modo difforme o contrario rispetto alle lecite istruzioni del titolare. Il titolare o il responsabile è esonerato se dimostra che l’evento dannoso non gli è in alcun modo imputabile: questo rilievo non è di secondaria importanza, giacché richiama alla necessità – oltre che all’obbligo – di attenersi al principio di «accountability», che impone di aderire a tutti i principi applicabili al trattamento e di darne dimostrazione attraverso processi e procedure appropriatamente documentate. Ciò facilita sicuramente l’esibizione di elementi e di documenti utili a difendere la propria posizione in caso di controversie con l’interessato ma anche e soprattutto in fase investigativa da parte delle autorità di controllo.

Il titolare o il responsabile è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.

Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti (Stato membro in cui il titolare o il responsabile ha uno stabilimento o in cui l’interessato risiede abitualmente).

 

Per approfondire, clicca qui oppure consulta le FAQ oppure contattatami.

 

Privacy Policy - Cookie Policy - Condizioni uso sito - Website map


Tiziana Minella - Via Vittoria Colonna, 32 - 10155 Torino (TO) - P.I. 03152590018 - mob. 366.4761338 - 338.6626635