Diritti degli interessati
Quali sono i diritti degli interessati
Il GDPR si pone come obiettivo proprio la salvaguardia della riservatezza e della tutela dei diritti e delle libertà fondamentali delle persone fisiche. Pertanto, fornisce strumenti che consentono all’interessato di tenere sotto controllo il trattamento dei dati personali che lo riguardano. Sono confermati i diritti che sinora conosciamo ma se ne sono aggiunti di ulteriori e non di facile gestione. Vediamo nel dettaglio quali sono, dando alcune esemplificazioni.
Diritto di accesso
L’interessato ha diritto di sapere se i suoi dati sono trattati e di ottenere informazioni su:
a. finalità del trattamento che potrebbero consistere in evasione di ordini o esecuzione di contratti, fini contabili, finalità di marketing, erogazione di servizi sanitari
b. categorie di dati personali, quali i dati di identificazione personale, dati sulla salute
c. destinatari o categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di Paesi terzi o organizzazioni internazionali: i dati potrebbero essere comunicati a enti pubblici per loro finalità istituzionali oppure trasmessi a studi di consulenza del lavoro per il trattamento dei dati dei dipendenti
d. quando possibile, periodo di conservazione dei dati personali previsto oppure, se non è possibile, criteri utilizzati per determinare tale periodo: per esempio, la conservazione di dati di fatturazione è di dieci anni per ottemperare a leggi fiscali
e. esistenza del diritto dell’interessato di chiedere al titolare la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali o di opporsi al loro trattamento: può essere la modifica di dati non aggiornati o non esatti
f. diritto di proporre reclamo a un’autorità di controllo: è un diritto introdotto dal GDPR che consente di rivolgersi direttamente all’autorità di controllo per far valere i propri diritti in materia di protezione dei dati personali, senza dapprima esercitare diritti direttamente al titolare
g. qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine: se i dati sono raccolti, per esempio, da elenchi telefonici oppure forniti da terze parti
h. esistenza di un processo decisionale automatizzato, compresa la profilazione e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato: la profilazione può essere eseguita a fini di marketing tramite l’uso di cookie di profilazione su di un sito Internet.
Diritto di rettifica
La persona ha il diritto di ottenere dal titolare la rettifica dei dati personali inesatti «senza ingiustificato ritardo» e, se di interesse, di integrarli se incompleti.
Diritto alla cancellazione (diritto all’oblio)
La persona ha il diritto di ottenere la cancellazione dei dati personali «senza ingiustificato ritardo» e il titolare ha l’obbligo di cancellarli «senza ingiustificato ritardo» se:
a. i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati: se la persona iscritta a un servizio on-line e ritira la sua iscrizione, non ci sono più motivo per trattare i dati e devono essere cancellati
b. l’interessato revoca il consenso e se non sussiste altro fondamento giuridico per il trattamento: con la revoca del consenso e in assenza di altra base giuridica che rende lecito il trattamento, i dati non possono più essere trattati e devono essere cancellati
c. l’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere al trattamento, oppure si oppone al trattamento per finalità di marketing, anche con profilazione: opponendosi al trattamento, l’interessato manifesta la sua volontà di non accettare più che i suoi dati siano trattati per le finalità per le quali li ha rilasciati e, dunque, il titolare deve cancellarli
d. i dati personali sono stati trattati illecitamente: è evidente che se il trattamento è illecito, i dati non possono in alcun modo essere trattati e devono essere rimossi da qualsiasi archivio disponibile
e. i dati personali devono essere cancellati per adempiere un obbligo legale previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare: la cancellazione è imposta da una legge che il titolare deve rispettare
f. i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione a favore di un minore (16 anni per il GDPR; 14 anni per la normativa nazionale italiana) in virtù del consenso prestato: i dati dei minori non avvalorati dai requisiti prescritti non possono essere trattati.
Se i dati sono stati resi pubblici, il titolare è obbligato a cancellarli e, se possibile, deve informare i titolari che stanno trattando i dati personali della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei dati stessi.
Diritto di limitazione di trattamento
La persona ha il diritto di richiedere che i dati siano trattati entro determinati limiti, se:
a. l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare per verificare l’esattezza di tali dati personali: per il periodo di verifica, i dati non saranno trattati per altre finalità
b. il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo: anche se non è richiesto di cancellare i dati (diritto all’oblio), la persona può imporre che i dati siano trattati soltanto per determinati usi
c. anche se il titolare non ne ha più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria: è tutelato il diritto della persona di difendere i propri diritti, assicurandosi di avere i dati a disposizione. Chiede, perciò, al titolare di non eliminarli dagli archivi ma di conservarli per garantire di esercitare diritti in sede giudiziaria
d. la persona si è opposta al trattamento ed è in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare rispetto a quelli dell’interessato: durante l’indagine, i dati non devono essere trattati fintanto che il titolare indichi quale è il legittimo interesse su cui si basa il trattamento.
Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
Il titolare comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento richieste dalla persona, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare è obbligato a indicare all’interessato tali destinatari qualora l’interessato lo richieda.
Diritto alla portabilità dei dati
In Italia era previsto soltanto rispetto a determinate categorie di attività dei titolari. Il GDPR estende il diritto della persona a prescindere dall’attività del titolare. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare e ha il diritto di trasmettere tali dati a un altro titolare senza impedimenti da parte del titolare cui li ha forniti. Questo diritto è esercitabile soltanto se il trattamento è basato sul consenso o su un contratto e, contemporaneamente, i dati sono trattati con strumenti elettronici. La persona può richiedere la trasmissione diretta dei dati da un titolare all’altro, se tecnicamente possibile e, ovviamente, la trasmissione dei dati non deve ledere diritti altrui. Ciò significa che il trasferimento deve escludere dati di altre persone.
Diritto di opposizione
L’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati personali, compresa la profilazione. Il titolare non deve trattare ulteriormente i dati personali salvo che dimostri l’esistenza di motivi legittimi per continuare il trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. Se i dati sono trattati per finalità di marketing diretto, l’interessato ha il diritto di opporsi in qualsiasi momento al trattamento dei dati svolto per tali finalità, compresa la profilazione nella misura in cui sia connessa a tale marketing diretto. Se l’interessato si oppone al trattamento dei dati per fini di marketing diretto. Il titolare non può più trattare i dati per tale finalità. Il diritto di opposizione deve essere presentato alla persona chiaramente e separatamente da qualsiasi altra informazione al più tardi al momento della prima comunicazione con l’interessato.
Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione
L’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona. Questo diritto non può essere esercitato se la profilazione è necessaria per la conclusione o l’esecuzione di un contratto tra l’interessato e il titolare o se è autorizzata dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare o se basata sul consenso esplicito dell’interessato. La persona ha il diritto di ottenere l’intervento umano da parte del titolare, di esprimere la propria opinione e di contestare la decisione. Questo diritto è spesso congiunto con il diritto di opposizione al trattamento dei dati per fini di marketing diretto eseguito con profilazione.
La gestione dei diritti degli interessati
Il GDPR ha per obiettivo la tutela dei diritti e delle libertà fondamentali della persona e si deve garantire che l’interessato possa facilmente controllare il trattamento eseguito sui dati. In questo contesto, il titolare deve porre in essere misure adeguate a facilitare l’esercizio dei diritti rispetto alla protezione dei dati personali e a comunicare tutte le informazioni richieste dall’interessato. Tutte le comunicazioni sulle informazioni richieste devono essere rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro. Le informazioni sono fornite per iscritto o con altri mezzi, anche elettronici. Se l’interessato presenta la richiesta con mezzi elettronici (es.: per e-mail), le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato medesimo. Se richiesto dalla persona, le informazioni possono essere fornite oralmente, purché sia comprovata con altri mezzi l’identità dell’interessato, a meno che il titolare non dimostri di non essere in grado di identificare la persona: si ricorda che l’unico soggetto che può esercitare i diritti rispetto al trattamento dei dati è la persona cui tali dati sono riferiti, salvo delegare associazioni senza scopo di lucro operanti nel campo della protezione dei dati personali. Quindi, è obbligo del titolare accertare l’identità della persona che intende esercitare i diritti garantiti dal GDPR: se non è in grado di identificare la persona, il titolare può richiedere di esibire informazioni aggiuntive allo scopo.
La previgente normativa dava tempo quindici giorni per dare riscontro alle istanze dell’interessato: il GDPR, invece, dispone che il titolare possa rispondere alle richieste e comunicare le azioni intraprese «senza ingiustificato ritardo» e, comunque, «entro un mese dal ricevimento della richiesta» stessa. Questo termine può essere prorogato «fino a un massimo di tre mesi» e soltanto nel caso in cui la richiesta sia particolarmente complessa oppure quando ci sono numerose richieste. Nel caso di riscontro prorogato, il titolare ha l’obbligo di avvertire l’interessato, comunque «entro un mese», spiegando le motivazioni del ritardo nel fornire risposta. Inoltre, se non evade la richiesta, il titolare informa l’interessato «senza ritardo, e «al più tardi entro un mese» dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di presentare reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale.
Tutte le richieste sono gratuite e non devono avere particolari forme di presentazione. Il titolare può, però, richiedere un contributo spese all’interessato se le sue richieste sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo: il contributo spese deve tenere conto soltanto dei costi amministrativi sostenuti per fornire le informazioni o intraprendere l’azione richiesta. In alternativa, il titolare può rifiutarsi di fornire riscontro. In ottemperanza del principio di «accountability», il titolare ha l’onere di provare l’infondatezza o eccessività della richiesta.
Rappresenta buona prassi dotarsi di una procedura di gestione dei diritti degli interessati, affinché tutte le domande poste abbiano esauriente risposta, possibilmente esponendo le risposte seguendo l’elenco delle richieste della persona, onde evitare il rischio di omettere informazioni espressamente richieste. Al contempo, l’archivio dovrà essere implementato con procedure che permettano di registrare le richieste e le azioni intraprese.
Il diritto di proporre reclamo all’autorità di controllo e ricorso all’autorità giurisdizionale
La persona che ritenga che il trattamento dei dati sia eseguito in violazione del GDPR ha diritto di proporre reclamo ad un’autorità di controllo. Il GDPR chiarisce che l’interessato può avanzare il reclamo all’autorità di controllo ove risiede oppure lavora oppure dove ritiene sia stata effettuata la violazione. Quindi, non necessariamente, la persona che risiede in Italia deve rivolgersi al Garante italiano: per esempio, se ritiene che la violazione sia stata commessa in Francia, il diritto può essere esercitato nei confronti dell’autorità di controllo francese. Questa modalità è ispirata alla collaborazione tra le autorità di controllo dell’Unione europea che è altamente espressa e disciplinata dal GDPR.
Il Garante ha messo a disposizione degli interessati un modello per presentare il reclamo: è disponibile all’URL https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4535524&zx=e0yn0riezmmw ed è da inviare all’e-mail protocollo@pec.gpdp.it.
L’autorità di controllo ha l’obbligo di informare il reclamante dello stato o dell’esito del reclamo «entro tre mesi», compresa la possibilità di un ricorso giurisdizionale.
Infatti, ogni persona fisica o giuridica ha il diritto di proporre un ricorso giurisdizionale effettivo avverso una decisione giuridicamente vincolante dell’autorità di controllo: il ricorso dovrà essere proposto all’autorità giurisdizionale dove è stabilita l’autorità di controllo che ha preso in carico il reclamo ma anche nei confronti dell’autorità giurisdizionale dove l’interessato risiede. Il ricorso giurisdizionale può essere proposto quando l’autorità di controllo non ha preso in carico il reclamo o non ha informato l’interessato sullo stato o sull’esito del reclamo «entro tre mesi».
In alternativa al reclamo al Garante, l’interessato può esercitare ricorso amministrativo o giurisdizionale. Inoltre, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo nei confronti del titolare o del responsabile qualora ritenga che i diritti siano stati violati a seguito di un trattamento. Le azioni nei confronti del titolare o del responsabile sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare o il responsabile ha uno stabilimento. Tali azioni possono anche essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente.
È da notare che la persona ha il diritto di dare mandato a un organismo, un’organizzazione o un’associazione senza scopo di lucro, i cui obiettivi statutari siano di pubblico interesse e che siano attivi nel settore della protezione dei dati personali, di proporre il reclamo per suo conto e di esercitare per suo conto i diritti del GDPR, compreso il diritto al risarcimento.
Il diritto di risarcimento del danno
È importante segnalare che l’interessato che abbia subito un danno materiale o immateriale da un trattamento non conforme al GDPR ha il diritto di ottenere il risarcimento dal titolare o dal responsabile. Ogni titolare coinvolto nel trattamento è responsabile delle violazioni commesse direttamente. Il responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del GDPR specificatamente diretti ai responsabili o ha agito in modo difforme o contrario rispetto alle lecite istruzioni del titolare. Il titolare o il responsabile è esonerato se dimostra che l’evento dannoso non gli è in alcun modo imputabile: questo rilievo non è di secondaria importanza, giacché richiama alla necessità – oltre che all’obbligo – di attenersi al principio di «accountability», che impone di aderire a tutti i principi applicabili al trattamento e di darne dimostrazione attraverso processi e procedure con appropriata documentazione. Ciò facilita sicuramente l’esibizione di elementi e di documenti utili a difendere la propria posizione in caso di controversie con l’interessato ma anche e soprattutto in fase investigativa da parte delle autorità di controllo.
Non è marginale il fatto che, fatto salvo quanto possa esserci già istituito in materia dai singoli ordinamenti nazionali, ai sensi del GDPR è disposto che l’interessato i cui diritti sono stati violati abbia diritto ad ottenere un risarcimento per il danno subito. Il titolare o il responsabile è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato. Tuttavia, il risarcimento può essere ripartito in base alla responsabilità che ricade su ognuno. Il responsabile deve risarcire il danno all’interessato per quanto di sua diretta violazione. Se l’uno dei due ha pagato l’intero risarcimento del danno può successivamente proporre un’azione di regresso contro l’altra parte che sia coinvolta nello stesso trattamento. Per maggiore chiarezza, se un titolare ha corrisposto l’intero risarcimento all’interessato, anche per conto dei danni cagionati direttamente dal responsabile o da altri titolari, avrà diritto di rivalersi sul responsabile o sugli altri titolari per la quota di loro spettanza.
Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti (Stato membro in cui il titolare o il responsabile ha uno stabilimento o in cui l’interessato risiede abitualmente).
Per approfondire, consulta le FAQ o contattatami.