L'interessato al trattamento (data subject) è la persona fisica a cui si riferiscono i dati personali.
Il concetto di interessato è cambiato nel tempo, nel senso che oggi siamo tutti potenzialmente "interessati" in considerazione del fatto che i trattamenti dei dati personali inglobano l'intera società. Basti pensare alle telecamere di controllo del traffico, alle fidelity card, ma in particolare ad internet e ai social media, per comprendere che in ogni istante siamo potenziali interessati di un trattamento. Il concetto di interessato, quindi, è dinamico.
L'interessato, inoltre, può essere solo una persona fisica, e non una persona giuridica, un ente o un'associazione (Considerando 14 GDPR). Ciò vuol dire che una persona giuridica non può esercitare i diritti di cui al GDPR, ma ciò non significa che non possa subire dei danni a seguito di un trattamento di dati. In questo caso, però, dovrà intentare l'azione di risarcimento ai sensi delle norme del codice civile (art. 2043 c.c.) senza poter avvalersi dei vantaggi delle tutele tutele previste dalla normativa in materia di protezione dei dati personali e in particolare del regolamento europeo.
Diritti dell'interessato
La normativa (artt. 15-22 GDPR) attribuisce specifici diritti all'interessato il quale, per l'esercizio di tali diritti, può rivolgersi direttamente al titolare del trattamento. L'interessato può esercitare i suoi diritti anche in un momento successivo a quello in cui ha prestato il consenso, potendo così revocare un consenso già prestato.
I diritti esercitabili dall'interessato sono:
1) diritto di ottenere informazioni su quali dati sono trattati dal titolare (diritto di informazione);
2) diritto di chiedere ed ottenere in forma intellegibile i dati in possesso del titolare (diritto di accesso);
3) diritto di ottenere l'aggiornamento o la rettifica dei dati conferiti;
4) diritto di ottenere la cancellazione dei dati in possesso del titolare;
5) esercitare l'opposizione al trattamento in tutto o in parte;
6) diritto di revocare il consenso in qualsiasi momento;
7) diritto di opporsi ai trattamenti automatizzati e a non essere assoggettati a trattamenti basati esclusivamente su decisioni automatizzate compreso la profilazione;
8) diritto di chiedere ed ottenere trasformazione in forma anonima dei dati;
9) diritto di chiedere ed ottenere il blocco o la limitazione dei dati trattati in violazione di legge e quelli dei quali non è più necessaria la conservazione in relazione agli scopi del trattamento;
10) diritto alla portabilità dei dati.
Diritto di informazione
Innanzitutto, in base al principio di correttezza e trasparenza, l'interessato, ai sensi dell'art. 12 del GDPR ha il diritto di ricevere una corretta e completa informazione (principalmente tramite l'informativa) con l'indicazione di tutte le informazioni previste dagli articoli 13 e 14 del GDPR, tra cui:
- qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;
- le categorie di dati personali trattate;
- i destinatari dei dati o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali, e le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi;
- le finalità (non le modalità) e base giuridica del trattamento;
- l'eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione, nel qual caso il titolare deve informare l'interessato, esplicitando le modalità e le finalità della profilazione, nonché la la logica inerente il trattamento e le conseguenze previste per l'interessato a seguito di tale tipo di trattamento;
- quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- i diritti previsti dal Regolamento e le modalità per esercitarli, in particolare l'esistenza del diritto di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che riguardano l'interessato o di opporsi al loro trattamento, e l'esistenza del diritto di proporre reclamo a un'autorità di controllo;
- qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate rispetto alla tutela fornita nel paese terzo.
Tutto ciò avviene a mezzo dell'informativa, il cui scopo è, appunto, informare l'interessato.
Diritto di accesso (art. 15)
L'art. 15 del Regolamento europeo attribuisce all'interessato il diritto di accesso, cioè il diritto di ottenere dal titolare del trattamento:
- la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano;
- in caso positivo, l'accesso ai suoi dati personali;
- e l'accesso alle informazioni sul trattamento, quali: finalità, categorie di dati e destinatari, periodo di conservazione, diritti dell’interessato e presenza di garanzie adeguate in caso di trasferimenti verso Paesi terzi, cioè in sostanza quelle previste dal diritto all'informazione.
L'interessato ha anche il diritto di ricevere una copia gratuita (a parte il costo del supporto) dei suoi dati trattati. I titolari possono eventualmente anche consentire un accesso diretto ai dati da remoto (tramite download). In proposito la Corte di Giustizia europea (sentenza n. 487/21 del 04/05/2023) ha stabilito che gli utenti non devono solo ricevere una copia dei loro dati grezzi, ma anche il contesto dei dati in modo comprensibile. Cioè devono essere posti in condizione di capire cosa viene memorizzato dei loro dati, ma anche se i dati sono manipolati, incoerenti o forniti solo parizlamente. Questo può includere anche la riproduzione fedele dei documenti. Questo è particolarmente importante per i dati generati da altri dati, come ad esempio i punteggi di credito calcolati in base ai dati raccolti dall'interessato.
Ovviamente l'accesso dell'interessato non deve ledere i diritti e le libertà altrui o, ad esempio, causare un pregiudizio effettivo e concreto allo svolgimento di indagini difensive o all'esercizio di un diritto in sede giudiziaria, oppure ledere la proprietà intellettuale altrui. Inoltre la copia dei dati può essere rifiutata se rappresenta un onere sproporzionato per il titolare (ad esempio la copia del log del sistema).
L'EDPB il 28 marzo 2023 ha adottato le linee guida sul diritto di accesso.
Il diritto di accesso in materia di protezione dei dati personali è diritto distinto dal diritto di accesso disciplinato da altre norme quali, ad esempio, quelle sulla trasparenza amministrativa oppure ai sensi del Testo Unico Bancario.
Diritto di aggiornamento e rettifica
L’interessato (art. 16 GDPR) può rivolgersi al titolare del trattamento per ottenere la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, ha anche il diritto di ottenere l'integrazione dei dati incompleti, eventualmente fornendo una dichiarazione integrativa. E' uno dei diritti che consente all'interessato di mantenere un controllo attivo sui propri dati, potendone ottenere la correzione, la modifica, l'aggiornamento e l'integrazione, così evitando che il loro uso, compreso il trasferimento, possa generare dei pregiudizi per l'interessato.
Diritto di opposizione
In base all'art. 21 del regolamento europeo, l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano connessi a ragioni di interesse pubblico o all'esercizio di pubblici poteri (ai sensi dell’articolo 6, paragrafo 1, lettera e). Si tratta di un diritto che trova la sua ragione di essere nella tutela dell'individuo dal controllo eccessivo dello Stato, e presuppone che il titolare stia trattando lecitamente i dati.
L'interessato può opporsi anche al trattamento posto in essere per il perseguimento di legittimi interessi del titolare o di terzi (art. 6, par. 1, lett. f), compresa la profilazione sulla base di tali disposizioni. L'interessato può opporsi anche al trattamento dei dati per fini commerciali, come marketing diretto e profilazione.
L'opposizione al trattamento è operazione diversa dalla cancellazione dei dati. In base ad essa l'interessato può impedire il trattamento che non è compatibile con le finalità del consenso. Nel caso di trattamenti basati sul consenso, comunque, prevale la possibilità di revoca del consenso rispetto al diritto di opposizione.
Una volta esercitato tale diritto, il titolare del trattamento si deve astenere dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per continuare il trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Diritto di limitazione del trattamento
Il diritto di limitazione (art. 18 del regolamento) consente all'interessato di ottenere il blocco del trattamento nelle seguenti ipotesi:
- l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare per verificare l'esattezza (quindi il trattamento viene congelato);
- il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo;
- benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria;
- l'interessato si è opposto al trattamento ai sensi dell'articolo 21, paragrafo 1, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato.
In caso di esercizio di tale diritto ogni trattamento, tranne la conservazione (e l'uso in sede giudiziaria da parte dell'interessato nel caso specifico), è vietato. Il dato non viene cancellato ma deve essere contrassegnato in attesa delle ulteriori valutazioni da parte del titolare. Il Considerando 67 precisa che "negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe in linea di massima essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato".
Diritto alla cancellazione (oblio)
Il diritto alla cancellazione (anche detto diritto "all'oblio") è un nuovo diritto che consente di ottenere la cancellazione dei propri dati personali in casi particolari. Può essere esercitato anche dopo la revoca del consenso.
Diritto alla portabilità
Il diritto alla portabilità dei dati è un nuovo diritto previsto dal regolamento europeo. Si applica solo ai trattamenti automatizzati basati sul consenso o sulla necessità contrattuale, e sono previste specifiche condizioni per il suo esercizio.
Esercizio dei diritti
L'interessato può rivolgersi direttamente al titolare del trattamento per l'esercizio dei suoi diritti (interpello). Anche se è solo il titolare obbligato a dare riscontro, il responsabile del trattamento è tenuto a collaborare col titolare ai fini dell'esercizio dei diritti.
E' il titolare del trattamento che deve dare riscontro alla richiesta dell'interessato, entro un mese dall'esercizio del diritto. Il termine può essere prorogato di ulteriori 2 mesi in casi di particolare complessità, ma il titolare del trattamento deve comunque avvertire l'interessato entro il mese dalla richiesta. L'unico obbligo per l'interessato è di fornire i dati per la sua identificazione.
L'esercizio dei diritti è in linea di massima gratuito. Spetta comunque al titolare valutare se la risposta è complessa al punto da dover chiedere un contributo all'interessato, e stabilirne l'ammontare, ma solo se si tratta di richieste manifestamente infondate o eccessive o ripetitive (sul punto il Garante italiano dovrebbe pubblicare delle linee guida, per il momento si può fare riferimento alla delibera del 2004 Contributo spese in caso di esercizio dei diritti dell'interessato).
La risposta si deve fornire di regola in forma scritta, anche attraverso strumenti elettronici. Se la richiesta avviene tramite strumenti elettronici la risposta deve essere con lo stesso mezzo. Può essere orale solo se espressamente richiesta in tal senso dal'interessato. La risposta deve essere chiara, coincisa, e facilmente accessibile e comprensibile.
In caso di mancata risposta, o di risposta inadeguata, l'interessato può rivolgersi all'autorità amministrativa (Garante) o giudiziaria per la tutela dei suoi diritti.
Deroghe all'esercizio dei diritti
L'articolo 23 del GDPR consente agli Stati membri di limitare i diritti degli interessati, per diversi motivi tra cui la sicurezza nazionale e pubblica, per motivi di interesse generale e così via. Tali restrizioni devono rispettare l'essenza dei diritti e delle libertà fondamentali e devono essere a misura necessaria e proporzionata in una società democratica.
Tali limitazioni devono essere previste dalle disposizioni nazionali. In tale prospettiva si ritiene possano essere ancora applicate le deroghe stabilire dall'articolo 8 del Codice per la protezione dei dati personali italiano, e cioè nei casi in cui il trattamento dati è effettuato:
a) in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni, in materia di riciclaggio;
b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive modificazioni, in materia di sostegno alle vittime di richieste estorsive;
c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione;
d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità;
e) ai sensi dell'articolo 24, comma 1, lettera f), limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l'esercizio del diritto in sede giudiziaria;
f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata, salvo che possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397;
g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della magistratura o altri organi di autogoverno o il Ministero della giustizia;
h) ai sensi dell'articolo 53 (trattamenti da parte di forze di polizia), fermo restando quanto previsto dalla legge 1 aprile 1981, n. 121.