DIRITTI DEGLI INTERESSATI. Guida all’applicazione del Regolamento europeo in materia di protezione dei dati personali

DIRITTI DEGLI INTERESSATI

 

 

Modalità per l’esercizio
dei diritti

Le modalità per l’esercizio di tutti i diritti da parte degli interessati sono stabilite, in via generale, negli artt. 11 e 12 del regolamento
Cosa cambia? Il termine per la risposta all’interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibili fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all’interessato entro 1 mese dalla richiesta, anche in caso di diniego.

 

Spetta al titolare valutare la complessità del riscontro all’interessato e stabilire l’ammontare dell’eventuale contributo da chiedere all’interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art. 12.5), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice, ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3); in quest’ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l’accessibilità; può essere dato oralmente solo se così richiede l’interessato stesso (art. 12, paragrafo 1; si veda anche art. 15, paragrafo 3).

 

La risposta fornita all’interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

 

Cosa non cambia?  

Il titolare del trattamento deve agevolare l’esercizio dei diritti da parte dell’interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti (artt. 15-22), il responsabile è tenuto a collaborare con il titolare ai fini dell’esercizio dei diritti degli interessati (art. 28, paragrafo 3, lettera e) ).

 

L’esercizio dei diritti è, in linea di principio, gratuito per l’interessato, ma possono esservi eccezioni (si veda il paragrafo “Cosa cambia”). Il titolare ha il diritto di chiedere informazioni necessarie a identificare l’interessato, e quest’ultimo ha il dovere di fornirle, secondo modalità idonee (si vedano, in particolare, art. 11, paragrafo 2 e art. 12, paragrafo 6).

 

Sono ammesse deroghe ai diritti riconosciuti dal regolamento, ma solo sul fondamento di disposizioni normative nazionali, ai sensi dell’articolo 23 nonché di altri articoli relativi ad ambiti specifici (si vedano, in particolare, art. 17, paragrafo 3, per quanto riguarda il diritto alla cancellazione/”oblio”, art. 83 – trattamenti di natura giornalistica e art. 89 – trattamenti per finalità di ricerca scientifica o storica o di statistica).

In questo senso, in via generale, possono continuare a essere applicate tutte le deroghe previste dall’art. 8, comma 2, del Codice in quanto compatibili con le disposizioni citate. Al riguardo, il Garante sta valutando la piena rispondenza delle disposizioni citate in tale articolo del Codice con i requisiti fissati per la legislazione nazionale dall’articolo 23, paragrafo 2, del regolamento.

 

 

 

RACCOMANDAZIONI
E’ opportuno che i titolari di trattamento adottino le misure tecniche e organizzative eventualmente necessarie per favorire l’esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che – a differenza di quanto attualmente previsto – dovrà avere per impostazione predefinita forma scritta (anche elettronica). Potranno risultare utili le indicazioni fornite dal Garante nel corso degli anni con riguardo all’intelligibilità del riscontro fornito agli interessati e alla completezza del riscontro stesso [si vedano varie decisioni relative a ricorsi contenute nel Bollettino dell’Autorità pubblicato qui: http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/766652, e più recentemente, fra molti, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1449401 in materia di dati sanitari, ovvero http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1290018 in materia di dati telematici].

 

Quanto alla definizione eventuale di un contributo spese da parte degli interessati, che il regolamento rimette al titolare del trattamento, l’Autorità intende valutare l’opportunità di definire linee-guida specifiche (anche sul fondamento delle determinazioni assunte sul punto nel corso degli anni: si veda in particolare la Deliberazione n. 14 del 23 dicembre 2004 – http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1104892, di concerto con le altre autorità Ue, alla luce di quanto prevede l’Art. 70 del regolamento con riguardo ai compiti del Board.

 

Diritto di accesso
(art. 15)
Cosa cambia?  

Il diritto di accesso prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento.

 

Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.

 

 

 

RACCOMANDAZIONI
Oltre al rispetto delle prescrizioni relative alla modalità di esercizio di questo e degli altri diritti (si veda “Modalità per l’esercizio dei diritti”),  i titolari possono consentire agli interessati di consultare direttamente, da remoto e in modo sicuro, i propri dati personali (si veda considerando 68).

 

Diritto di cancellazione (diritto all’oblio) (art.17) Cosa cambia?  

Il diritto cosiddetto “all’oblio” si configura come un diritto alla cancellazione dei propri dati personali in forma rafforzata. Si prevede, infatti, l’obbligo per  i titolari (se hanno “reso pubblici” i dati personali dell’interessato: ad esempio, pubblicandoli su un sito web) di informare della richiesta di cancellazione altri titolari che trattano i dati personali cancellati, compresi “qualsiasi link, copia o riproduzione” (si veda art. 17, paragrafo 2).

 

Ha un campo di applicazione più esteso di quello di cui all’art. 7, comma 3, lettera b), del Codice, poiché  l’interessato ha il diritto di chiedere la cancellazione dei propri dati, per esempio, anche dopo revoca del consenso al trattamento (si veda art. 17, paragrafo 1).

 

Diritto di limitazione
del trattamento (art. 18)
Cosa cambia?  

Si tratta di un diritto diverso e più esteso rispetto al “blocco” del trattamento di cui all’art. 7, comma 3, lettera a), del Codice: in particolare, è esercitabile non solo in caso di violazione dei presupposti di liceità del trattamento (quale alternativa alla cancellazione dei dati stessi), bensì  anche se l’interessato chiede la rettifica dei dati (in attesa di tale rettifica da parte del titolare) o si oppone al loro trattamento ai sensi dell’art. 21 del regolamento (in attesa della valutazione da parte del titolare).

 

Esclusa la conservazione, ogni altro trattamento del dato di cui si chiede la limitazione è vietato  a meno che ricorrano determinate circostanze (consenso dell’interessato, accertamento diritti in sede giudiziaria, tutela diritti di altra persona fisica o giuridica, interesse pubblico rilevante).

 

 

RACCOMANDAZIONI
Il diritto alla limitazione prevede che il dato personale sia “contrassegnato” in attesa di determinazioni ulteriori; pertanto, è opportuno che i titolari prevedano nei propri sistemi informativi (elettronici o meno) misure idonee a tale scopo.

 

Diritto alla portabilità
dei dati (art. 20)
Cosa cambia?  

Si tratta di uno dei nuovi diritti previsti dal regolamento, anche se non è del tutto sconosciuto ai consumatori (si pensi alla portabilità del numero telefonico).

 

Non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei) e sono previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare, per esempio), e solo i dati che siano stati “forniti” dall’interessato al titolare (si veda il considerando 68 per maggiori dettagli).

 

Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile.

 

 

RACCOMANDAZIONI
Il Gruppo “Articolo 29” ha pubblicato recentemente linee-guida specifiche dove sono illustrati e spiegati i requisiti e le caratteristiche del diritto alla portabilità con particolare riguardo ai diritti di terzi interessati i cui dati siano potenzialmente compresi fra quelli “relativi all’interessato” di cui quest’ultimo chiede la portabilità (http://ec.europa.eu/newsroom/document.cfm?doc_id=44099 con le relative FAQ http://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp242_annex_en_40854.pdf; versione italiana per adesso disponibile sul sito del Garante: http://www.garanteprivacy.it/garante/document?ID=6058842 con le relative FAQ http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/6058857).

 

Al riguardo, si ricordano i numerosi provvedimenti con cui l’Autorità ha indicato criteri per il bilanciamento fra i diritti e le libertà fondamentali di terzi e quelli degli interessati esercitanti i diritti di cui all’art. 7 del Codice (si vedano, fra molti, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/3251012 e, con riguardo all’attività bancaria in generale, http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1457247).

Poiché la trasmissione dei dati da un titolare all’altro prevede che si utilizzino formati interoperabili, i titolari che ricadono nel campo di applicazione di questo diritto dovrebbero adottare sin da ora le misure necessarie a produrre i dati richiesti in un formato interoperabile secondo le indicazioni fornite nel considerando 68 e nelle linee-guida del Gruppo “Articolo 29”.

Fonte: Garante privacy