L’Interessato del trattamento
L’interessato (data subject) al trattamento è la persona fisica a cui si riferiscono i dati personali.
L’interessato è una persona fisica identificata o identificabile, cioè che può essere identificata anche in modo indiretto, facendo riferimento a informazioni o elementi caratteristici, o tramite l’incrocio di più dati personali. L’interessato deve essere necessariamente una persona fisica. Per quanto riguarda l’Italia, il Decreto Legge 6/12/2011 n. 201(decreto Salva Italia del governo Monti) ha chiarito che le imprese e gli enti non possono più essere considerati interessati al trattamento, per cui non potranno esercitare i relativi diritti.
Diritti dell’interessato
La normativa attribuisce specifici diritti all’interessato, il quale, per l’esercizio di tali diritti, può rivolgersi direttamente al titolare del trattamento. L’interessato può esercitare i suoi diritti anche in un momento successivo a quello in cui ha prestato il consenso, potendo così revocare un consenso già prestato.
I diritti esercitabili dall’interessato sono i seguenti:
– esercitare l’opposizione al trattamento in tutto o in parte;
– ottenere la cancellazione dei dati in possesso del titolare;
– ottenere l’aggiornamento o la rettifica dei dati conferiti;
– chiedere ed ottenere in forma intellegibile i dati in possesso del titolare (diritto di accesso);
– chiedere ed ottenere trasformazione in forma anonima dei dati;
– chiedere ed ottenere il blocco o la limitazione dei dati trattati in violazione di legge e quelli dei quali non è più necessaria la conservazione in relazione agli scopi del trattamento.
Diritto di opposizione
L’interessato ha il diritto di opporsi, in qualsiasi momento al trattamento dei dati che lo riguardano (Art. 21 GDPR). L’interessato può opporsi anche ai trattamenti connessi a ragioni di interesse pubblico o posti in essere per il perseguimento di interessi legittimi del titolare del trattamento o di terzi. Si tratta di un diritto che trova la sua ragione di essere nella tutela dell’individuo dal controllo eccessivo dello Stato.
L’interessato può opporsi anche al trattamento dei dati per fini commerciali, come marketing diretto e profilazione.
L’opposizione al trattamento è operazione diversa dalla cancellazione dei dati. In base ad essa l’interessato può impedire il trattamento che non è compatibile con le finalità del consenso.
E’ il titolare del trattamento che deve dare riscontro alla richiesta dell’interessato, entro un mese dall’esercizio del diritto. In casi particolarmente complessi la risposta può essere fornita entro 3 mesi. La risposta deve aversi in forma scritta, anche in formato elettronico, tranne nel caso in cui l’interessato la richieda oralmente. La risposta deve essere coincisa, accessibile ed intellegibile. L’unico obbligo per l’interessato è di fornire i dati per la sua identificazione. La risposta in genere dovrebbe essere senza costi, tranne l’eventuale rimborso del costo del supporto utilizzato.
Diritto di informazione
L’interessato al trattamento ha innanzitutto il diritto a ricevere una corretta informazione in relazione ai dati raccolti e trattati, alle finalità del trattamento, alla base giuridica del trattamento e ai diritti che gli sono attribuiti, nonché le modalità per esercitarli. Tutto ciò avviene a mezzo dell’informativa, il cui scopo è informare l’interessato che così possa rendere un valido consenso.
Nel caso in cui ai dati sia applicato un trattamento automatizzato comprendente profilazione il titolare deve informare l’interessato, esplicitando le modalità e le finalità della profilazione, nonché la la logica inerente il trattamento e le conseguenze previste per l’interessato a seguito di tale tipo di trattamento.
Diritto di accesso
L’art. 15 del regolamento generale europeo prevede il diritto di accesso, cioè il diritto di conoscere quali dati personali relativi all’interessato il titolare sta trattando, con quali finalità (non le modalità invece), e di ricevere una copia (gratuita) dei dati. I titolari possono eventualmente anche consentire un accesso diretto ai dati da remoto.
L’interessato ha il diritto di conoscere:
– le finalità del trattamento;
– le categorie di dati personali trattate;
– i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali, e le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi;
– quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
– l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
– l’esistenza del diritto di proporre reclamo a un’autorità di controllo;
– qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
– l’esistenza di un processo decisionale automatizzato, compresa la profilazione, e informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate rispetto alla tutela fornita nel paese terzo.
Diritto di limitazione del trattamento
Il diritto di limitazione (art. 18 del Regolamento) consente all’interessato di ottenere il blocco del trattamento in caso di violazione dei presupposti di liceità (quale alternativà alla cancellazione dei dati stessi), ma anche se l’interessato chiede la rettifica dei dati (in attesa della rettifica) o si oppone al loro trattamento (in attesa della decisione del titolare). In caso di esercizio di tale diritto ogni trattamento, tranne la conservazione, è vietato.
Il dato deve essere contrassegnato in attesa delle ulteriori valutazioni.
Diritto alla cancellazione (oblio)
Il diritto di cancellazione (anche detto diritto “all’oblio”) è il diritto di ottenere la cancellazione dei propri dati personali in casi particolari. Può essere esercitato anche dopo la revoca del consenso.
Diritto alla portabilità
Il diritto alla portabilità dei dati è un nuovo diritto previsto dal regolamento europeo. Si applica solo ai trattamenti automatizzati, e sono previste specifiche condizioni per il suo esercizio.
Esercizio dei diritti
L’interessato può rivolgersi direttamente al titolare del trattamento per l’esercizio dei suoi diritti (interpello). Anche se è solo il titolare obbligato a dare riscontro, il responsabile del trattamento è tenuto a collaborare col titolare ai fini dell’esercizio dei diritti.
In caso di mancata risposta, o di risposta inadeguata, può rivolgersi all’autorità amministrativa (Garante) o giudiziaria per la tutela dei suoi diritti.
Il termine per la risposta è di 1 mese per tutti i diritti. Tale termine può essere esteso a 3 mesi in casi di partiolare complessità. In questo caso il titolare del trattamento deve comunque avvertire l’interessato entro il mese.
L’esercizio dei diritti è in linea di massima gratuito. Spetta comunque al titolare valutare se la risposta è complessa al punto da dover chiedere un contributoall’interessato, e stabilirne l’ammontare, ma solo se si tratta di richieste manifestamente infondate o eccessive o ripetitive (sul punto il Garante italiano dovrebbe pubblicare delle linee guida, per il momento si può fare riferimento alla delibera del 2004 Contributo spese in caso di esercizio dei diritti dell’interessato).
La risposta si deve fornire di regola in forma scritta, anche attraverso strumenti elettronici. Può essere orale solo se espressamente richeista in tal senso dal’interessato. La risposta deve essere chiara, coincisa, e facilmente accessibile e comprensibile.
Il titolare può chiedere informazioni all’interessato al fine di identificarlo, e l’interessato è obbligato a fornire tali informazioni.
Deroghe ell’esercizio dei diritti
Il regolamento europeo ammette delle deroghe ai diritti riconosciuti all’interessato, da stabilire in base a disposizioni nazionali. In tale prospettiva si ritiene possano essere ancora applicate (in attesa della valutazione del Garante sulla conformità al GDPR) le deroghe stabilire dall’articolo 8 del Codice per la protezione dei dati personali italiano, e cioè nei casi in cui il trattamento dati è effettuato:
a) in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni, in materia di riciclaggio;
b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive modificazioni, in materia di sostegno alle vittime di richieste estorsive;
c) da Commissioni parlamentari d’inchiesta istituite ai sensi dell’articolo 82 della Costituzione;
d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità;
e) ai sensi dell’articolo 24, comma 1, lettera f), limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l’esercizio del diritto in sede giudiziaria;
f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata, salvo che possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397;
g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della magistratura o altri organi di autogoverno o il Ministero della giustizia;
h) ai sensi dell’articolo 53 (trattamenti da parte di forze di polizia), fermo restando quanto previsto dalla legge 1 aprile 1981, n. 121.