Temi

Shape 5 Live Search

logo

L'interessato (data subject) al trattamento è la persona fisica a cui si riferiscono i dati personali

Il concetto di interessato è cambiato rispetto al passato, nel senso che oggi siamo tutti potenzialmente interessati in considerazione del fatto che i trattamenti dei dati personali inglobano l'intera società. Basti pensare alle telecamere di controllo del traffico, le fidelity card, e cosi via, per comprendere che in ogni istante siamo potenziali interessati di un trattamento. Il concetto di interessato, quindi, è dinamico

L'interessato, inoltre, può essere solo una persona fisica, e non una persona giuridica, un ente o un'associazione, come chiarito dal Considerando 14 del GDPR. Anche se ciò non necessariamente significa che una persona giuridica non possa subire dei danni a seguito di un trattamento di dati. Nel qual caso potrà intentare azione di risarcimento del danno ai sensi delle norme del codice civile (art. 2043 c.c.) senza però potersi avvaleri dei vantaggi della disciplina di cui al GDPR (art. 2050 c.c.). 

 

Diritti dell'interessato

La normativa attribuisce specifici diritti all'interessato, il quale, per l'esercizio di tali diritti, può rivolgersi direttamente al titolare del trattamento. L'interessato può esercitare i suoi diritti anche in un momento successivo a quello in cui ha prestato il consenso, potendo così revocare un consenso già prestato. 


I diritti esercitabili dall'interessato sono i seguenti: 

1) diritto di ottenere informazioni su quali dati sono trattati dal titolare (diritto di informazione);
2) diritto di chiedere ed ottenere in forma intellegibile i dati in possesso del titolare (diritto di accesso); 
3) diritto di ottenere l'aggiornamento o la rettifica dei dati conferiti; 
4) diritto di ottenere la cancellazione dei dati in possesso del titolare; 
5) esercitare l'opposizione al trattamento in tutto o in parte; 
6) diritto di revocare il consenso in qualsiasi momento;
7) diritto di opporsi ai trattamenti automatizzati e a non essere assoggettati a trattamenti basati esclusivamente su decisioni automatizzate compreso la profilazione; 
8) diritto di chiedere ed ottenere trasformazione in forma anonima dei dati; 
9) diritto di chiedere ed ottenere il blocco o la limitazione dei dati trattati in violazione di legge e quelli dei quali non è più necessaria la conservazione in relazione agli scopi del trattamento
10) diritto alla portabilità dei dati.  

 

Diritto di informazione e accesso

In base al principio di correttezza e trasparenza, l'interessato, ai sensi dell'art. 12 del GDPR ha il diritto di ricevere una corretta e completa informazione in relazione a:
- qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine; 
- le categorie di dati personali trattate; 
- i destinatari dei dati o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali, e le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi; 
- le finalità (non le modalità) e base giuridica del trattamento
- l'eventuale esistenza di un processo decisionale automatizzato, compresa la profilazione, nel qual caso il titolare deve informare l'interessato, esplicitando le modalità e le finalità della profilazione, nonché la la logica inerente il trattamento e le conseguenze previste per l'interessato a seguito di tale tipo di trattamento; 
- quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; 
- i diritti previsti dal Regolamento e le modalità per esercitarli, in particolare l'esistenza del diritto di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che riguardano l'interessato o di opporsi al loro trattamento, e l'esistenza del diritto di proporre reclamo a un'autorità di controllo;
- qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate rispetto alla tutela fornita nel paese terzo.
Tutto ciò avviene a mezzo dell'informativa, il cui scopo è, appunto, informare l'interessato. 

L'art. 15 del regolamento europeo prevede il diritto di accesso, cioè il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle informazioni di cui all'art. 12. In particolare l'interessato ha il diritto di ricevere eventualmente una copia gratuita (a parte il costo del supporto) dei dati trattati. I titolari possono eventualmente anche consentire un accesso diretto ai dati da remoto. 

 

Diritto di aggiornamento e rettifica

L’interessato (art. 16 GDPR) può rivolgersi al titolare del trattamento per ottenere la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, ha anche il diritto di ottenere l'integrazione dei dati incompleti, eventualmente fornendo una dichiarazione integrativa. 
E' uno dei diritti che consente all'interessato di mantenere un controllo attivo sui propri dati, potendone ottenere la correzione, la modifica, l'aggiornamento e l'integrazione, così evitando che il loro uso, compreso il trasferimento, possa generare dei pregiudizi per l'interessato. 

 

Diritto di opposizione

In base all'art. 21 del regolamento europeo, l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano connessi a ragioni di interesse pubblico o all'esercizio di pubblici poteri (ai sensi dell’articolo 6, paragrafo 1, lettera e). Si tratta di un diritto che trova la sua ragione di essere nella tutela dell'individuo dal controllo eccessivo dello Stato. 
L'interessato può opporsi anche al trattamento posto in essere per il perseguimento di legittimi interessi del titolare o di terzi (art. 6, par. 1, lett. f), compresa la profilazione sulla base di tali disposizioni. 

Il titolare del trattamento si astiene dal trattare ulteriormente i dati personali salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria. 

L'interessato può opporsi anche al trattamento dei dati per fini commerciali, come marketing diretto e profilazione

L'opposizione al trattamento è operazione diversa dalla cancellazione dei dati. In base ad essa l'interessato può impedire il trattamento che non è compatibile con le finalità del consenso. Nel caso di trattamenti basati sul consenso, comunque, prevale la possibilità di revoca del consenso rispetto al diritto di opposizione. 

   

Diritto di limitazione del trattamento

Il diritto di limitazione (art. 18 del regolamento) consente all'interessato di ottenere il blocco del trattamento nelle seguenti ipotesi: 
- l'interessato contesta l'esattezza dei dati personali, per il periodo necessario al titolare per verificare l'esattezza; 
- il trattamento è illecito e l'interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l'utilizzo; 
- benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all'interessato per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria; 
l'interessato si è opposto al trattamento ai sensi dell'articolo 21, paragrafo 1, in attesa della verifica in merito all'eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell'interessato. 
In caso di esercizio di tale diritto ogni trattamento, tranne la conservazione, è vietato. Il dato deve essere contrassegnato in attesa delle ulteriori valutazioni da parte del titolare. Il Considerando 67 precisa che "negli archivi automatizzati, la limitazione del trattamento dei dati personali dovrebbe in linea di massima essere assicurata mediante dispositivi tecnici in modo tale che i dati personali non siano sottoposti a ulteriori trattamenti e non possano più essere modificati. Il sistema dovrebbe indicare chiaramente che il trattamento dei dati personali è stato limitato". 

 

Diritto alla cancellazione (oblio)

Il diritto alla cancellazione (anche detto diritto "all'oblio") è un nuovo diritto che consente di ottenere la cancellazione dei propri dati personali in casi particolari. Può essere esercitato anche dopo la revoca del consenso. 

 

Diritto alla portabilità 

Il diritto alla portabilità dei dati è un nuovo diritto previsto dal regolamento europeo. Si applica solo ai trattamenti automatizzati basati sul consenso o sulla necessità contrattuale, e sono previste specifiche condizioni per il suo esercizio.

 

Esercizio dei diritti

L'interessato può rivolgersi direttamente al titolare del trattamento per l'esercizio dei suoi diritti (interpello). Anche se è solo il titolare obbligato a dare riscontro, il responsabile del trattamento è tenuto a collaborare col titolare ai fini dell'esercizio dei diritti.
E' il titolare del trattamento che deve dare riscontro alla richiesta dell'interessato, entro 30 giorni dall'esercizio del diritto. Il termine può essere esteso a 3 mesi in casi di particolare complessità, ma il titolare del trattamento deve comunque avvertire l'interessato entro i 30 giorni. L'unico obbligo per l'interessato è di fornire i dati per la sua identificazione. 

L'esercizio dei diritti è in linea di massima gratuito. Spetta comunque al titolare valutare se la risposta è complessa al punto da dover chiedere un contributo all'interessato, e stabilirne l'ammontare, ma solo se si tratta di richieste manifestamente infondate o eccessive o ripetitive (sul punto il Garante italiano dovrebbe pubblicare delle linee guida, per il momento si può fare riferimento alla delibera del 2004 Contributo spese in caso di esercizio dei diritti dell'interessato). 
La risposta si deve fornire di regola in forma scritta, anche attraverso strumenti elettronici. Se la richiesta avviene tramite strumenti elettronici la risposta deve essere con lo stesso mezzo. Può essere orale solo se espressamente richiesta in tal senso dal'interessato. La risposta deve essere chiara, coincisa, e facilmente accessibile e comprensibile. 

 In caso di mancata risposta, o di risposta inadeguata, l'interessato può rivolgersi all'autorità amministrativa (Garante) o giudiziaria per la tutela dei suoi diritti

 

Deroghe all'esercizio dei diritti

L'articolo 23 del GDPR consente agli Stati membri di limitare i diritti degli interessati, per diversi motivi tra cui la sicurezza nazionale e pubblica, per motivi di interesse generale e così via. Tali restrizioni devono rispettare l'essenza dei diritti e delle libertà fondamentali e devono essere a misura necessaria e proporzionata in una società democratica. 

Tali limitazioni devono essere previste dalle disposizioni nazionali. In tale prospettiva si ritiene possano essere ancora applicate le deroghe stabilire dall'articolo 8 del Codice per la protezione dei dati personali italiano, e cioè nei casi in cui il trattamento dati è effettuato: 

a) in base alle disposizioni del decreto-legge 3 maggio 1991, n. 143, convertito, con modificazioni, dalla legge 5 luglio 1991, n. 197, e successive modificazioni, in materia di riciclaggio
b) in base alle disposizioni del decreto-legge 31 dicembre 1991, n. 419, convertito, con modificazioni, dalla legge 18 febbraio 1992, n. 172, e successive modificazioni, in materia di sostegno alle vittime di richieste estorsive
c) da Commissioni parlamentari d'inchiesta istituite ai sensi dell'articolo 82 della Costituzione; 
d) da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità; 
e) ai sensi dell'articolo 24, comma 1, lettera f), limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l'esercizio del diritto in sede giudiziaria
f) da fornitori di servizi di comunicazione elettronica accessibili al pubblico relativamente a comunicazioni telefoniche in entrata, salvo che possa derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397; 
g) per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o il Consiglio superiore della magistratura o altri organi di autogoverno o il Ministero della giustizia; 
h) ai sensi dell'articolo 53 (trattamenti da parte di forze di polizia), fermo restando quanto previsto dalla legge 1 aprile 1981, n. 121.