Temi

Shape 5 Live Search

logo

L'interessato (data subject) al trattamento è la persona fisica a cui si riferiscono i dati personali

Il concetto di interessato è cambiato rispetto al passato, nel senso che oggi siamo tutti potenzialmente interessati in considerazione del fatto che i trattamenti dei dati personali inglobano l'intera società. Basti pensare alle telecamere di controllo del traffico, le fidelity card, e cosi via, per comprendere che in ogni istante siamo potenziali interessati di un trattamento. Il concetto di interessato, quindi, è dinamico

L'interessato, inoltre, può essere solo una persona fisica, e non una persona giuridica, un ente o un'associazione. 

 

Diritti dell'interessato

La normativa attribuisce specifici diritti all'interessato, il quale, per l'esercizio di tali diritti, può rivolgersi direttamente al titolare del trattamento. L'interessato può esercitare i suoi diritti anche in un momento successivo a quello in cui ha prestato il consenso, potendo così revocare un consenso già prestato. 


I diritti esercitabili dall'interessato sono i seguenti: 

- diritto di ottenere informazioni su quali dati sono trattati dal titolare (diritto di informazione);
- diritto di chiedere ed ottenere in forma intellegibile i dati in possesso del titolare (diritto di accesso); 
- diritto di revocare il consenso in qualsiasi momento;
- esercitare l'opposizione al trattamento in tutto o in parte; 
- diritto di opporsi ai trattamenti automatizzati
- diritto di ottenere la cancellazione dei dati in possesso del titolare; 
- diritto di ottenere l'aggiornamento o la rettifica dei dati conferiti; 
- diritto di chiedere ed ottenere trasformazione in forma anonima dei dati; 
- diritto di chiedere ed ottenere il blocco o la limitazione dei dati trattati in violazione di legge e quelli dei quali non è più necessaria la conservazione in relazione agli scopi del trattamento
- diritto alla portabilità dei dati

 

Diritto di informazione

In base al principio di correttezza e trasparenza, l'interessato al trattamento ha il diritto di ricevere una corretta e completa informazione in relazione a:
- qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine; 
- categorie di dati personali trattate; 
- destinatari dei dati o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali, e le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi; 
- finalità e base giuridica del trattamento
- eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione, nel qual caso il titolare deve informare l'interessato, esplicitando le modalità e le finalità della profilazione, nonché la la logica inerente il trattamento e le conseguenze previste per l'interessato a seguito di tale tipo di trattamento; 
- quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; 
- i diritti previsti dal Regolamento e le modalità per esercitarli, in particolare l'esistenza del diritto di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che riguardano l'interessato o di opporsi al loro trattamento, e l'esistenza del diritto di proporre reclamo a un'autorità di controllo;
- qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate rispetto alla tutela fornita nel paese terzo.
Tutto ciò avviene a mezzo dell'informativa, il cui scopo è, appunto, informare l'interessato. 



Diritto di accesso

L'art. 15 del regolamento europeo prevede il diritto di accesso, cioè il diritto di conoscere quali dati personali relativi all'interessato il titolare sta trattando, con quali finalità (non le modalità invece), e di ricevere eventualmente una copia (gratuita, a parte il costo del supporto) dei dati. I titolari possono eventualmente anche consentire un accesso diretto ai dati da remoto. 

 

Diritto di opposizione

In base all'art. 21 del regolamento europeo, l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano connessi a ragioni di interesse pubblico o all'esercizio di pubblici poteri (ai sensi dell’articolo 6, paragrafo 1, lettera e). Si tratta di un diritto che trova la sua ragione di essere nella tutela dell'individuo dal controllo eccessivo dello Stato. 
L'interessato può opporsi anche al trattamento posto in essere per il perseguimento di legittimi interessi del titolare o di terzi (art. 6, par. 1, lett. f), compresa la profilazione sulla base di tali disposizioni. 

Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. 

L'interessato può opporsi anche al trattamento dei dati per fini commerciali, come marketing diretto e profilazione

L'opposizione al trattamento è operazione diversa dalla cancellazione dei dati. In base ad essa l'interessato può impedire il trattamento che non è compatibile con le finalità del consenso. Nel caso di trattamenti basati sul consenso, comunque, prevale la possibilità di revoca del consenso rispetto al diritto di opposizione. 

  

Diritto di aggiornamento e rettifica

L’interessato (art. 16 GDPR) può rivolgersi al titolare del trattamento per ottenere la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, ha anche il diritto di ottenere l'integrazione dei dati incompleti, eventualmente fornendo una dichiarazione integrativa. 
E' uno dei diritti che consente all'interessato di mantenere un controllo attivo sui propri dati, potendone ottenere la correzione, la modifica, l'aggiornamento e l'integrazione, così evitando che il loro uso, compreso il trasferimento, possa generare dei pregiudizi per l'interessato. 

 

Diritto di limitazione del trattamento

Il diritto di limitazione (art. 18 del regolamento) consente all'interessato di ottenere il blocco del trattamento nelle seguenti ipotesi: 
- l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare per verificare l'esattezza; 
- il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo; 
- benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria; 
l'interessato si è opposto al trattamento ai sensi dell'articolo 21, paragrafo 1, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato. 
In caso di esercizio di tale diritto ogni trattamento, tranne la conservazione, è vietato. Il dato deve essere contrassegnato in attesa delle ulteriori valutazioni da parte del titolare. Il Considerando 67 precisa che "negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe in linea di massima essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato". 

 

Diritto alla cancellazione (oblio)

Il diritto alla cancellazione (anche detto diritto "all'oblio") è un nuovo diritto che consente di ottenere la cancellazione dei propri dati personali in casi particolari. Può essere esercitato anche dopo la revoca del consenso. 

 

Diritto alla portabilità 

Il diritto alla portabilità dei dati è un nuovo diritto previsto dal regolamento europeo. Si applica solo ai trattamenti automatizzati basati sul consenso o sulla necessità contrattuale, e sono previste specifiche condizioni per il suo esercizio.

 

Esercizio dei diritti

L'interessato può rivolgersi direttamente al titolare del trattamento per l'esercizio dei suoi diritti (interpello). Anche se è solo il titolare obbligato a dare riscontro, il responsabile del trattamento è tenuto a collaborare col titolare ai fini dell'esercizio dei diritti.
E' il titolare del trattamento che deve dare riscontro alla richiesta dell'interessato, entro un mese dall'esercizio del diritto. Il termine di un mese può essere esteso a 3 mesi in casi di particolare complessità. In questo caso il titolare del trattamento deve comunque avvertire l'interessato entro il mese. L'unico obbligo per l'interessato è di fornire i dati per la sua identificazione. 

L'esercizio dei diritti è in linea di massima gratuito. Spetta comunque al titolare valutare se la risposta è complessa al punto da dover chiedere un contributo all'interessato, e stabilirne l'ammontare, ma solo se si tratta di richieste manifestamente infondate o eccessive o ripetitive (sul punto il Garante italiano dovrebbe pubblicare delle linee guida, per il momento si può fare riferimento alla delibera del 2004 Contributo spese in caso di esercizio dei diritti dell'interessato). 
La risposta si deve fornire di regola in forma scritta, anche attraverso strumenti elettronici. Può essere orale solo se espressamente richeista in tal senso dal'interessato.  La risposta deve essere chiara, coincisa, e facilmente accessibile e comprensibile. 

 In caso di mancata risposta, o di risposta inadeguata, può rivolgersi all'autorità amministrativa (Garante) o giudiziaria per la tutela dei suoi diritti

 

Deroghe all'esercizio dei diritti

Il regolamento europeo ammette delle deroghe ai diritti riconosciuti all'interessato, da stabilire in base a disposizioni nazionali. In tale prospettiva si ritiene possano essere ancora applicate (in attesa della valutazione del Garante sulla conformità al GDPR) le deroghe stabilire dall'articolo 8 del Codice per la protezione dei dati personali italiano, e cioè nei casi in cui il trattamento dati è effettuato: 

a) in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni, in materia di riciclaggio
b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive modificazioni, in materia di sostegno alle vittime di richieste estorsive
c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione; 
d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità; 
e) ai sensi dell'articolo 24, comma 1, lettera f), limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l'esercizio del diritto in sede giudiziaria
f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata, salvo che possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397; 
g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della magistratura o altri organi di autogoverno o il Ministero della giustizia; 
h) ai sensi dell'articolo 53 (trattamenti da parte di forze di polizia), fermo restando quanto previsto dalla legge 1 aprile 1981, n. 121.