GDPR: I diritti dell’Interessato

Tutela dei dati personali, il Regolamento UE 679/2016.

Gli obblighi e le attività previste dal GDPR disegnano un sistema di regole all’interno del quale devono svolgersi i trattamenti dei dati personali al fine di mediare tra due esigenze apparentemente opposte, ma entrambe fondamentali e meritevoli di garanzie. Da un lato, il rispetto del diritto delle persone fisiche di essere sempre nel pieno controllo dei dati personali che li riguardano e dai quali è possibile desumere identità, abitudini, convinzioni, stato di salute e preferenze di consumo; dall’altro, permettere, in maniera ordinata, la libera circolazione di questi dati che rappresentano oggi un importante fattore di crescita e sviluppo dei mercati e di progresso economico.

In questo sistema di bilanciamento di interessi singoli e comuni, il Regolamento Europeo negli articoli dal 15 al 22 definisce esplicitamente i diritti di cui è portatore l’interessato ponendoli quale fulcro dell’intero sistema di tutela.

I diritti dell’interessato sono:

  • il diritto di ACCESSO (articolo 15 del GDPR) – L’interessato vede garantito il suo diritto di poter ottenere da parte del Titolare l’accesso ai suoi dati personali trattati e di conoscere gli elementi e le informazioni caratterizzanti il trattamento in essere;
  • il diritto di RETTIFICA (articolo 16 del GDPR) – L’interessato ha diritto di ottenere, da parte del Titolare, la correzione dei dati a lui riferiti, senza ingiustificato ritardo, e/o la loro integrazione;
  • il diritto all’OBLIO (articolo 17 del GDPR) – L’interessato ha diritto alla cancellazione dei propri dati da parte del Titolare senza ingiustificato ritardo, mentre il Titolare ha l’obbligo, in determinati casi, di procedere alla cancellazione dei dati senza ingiustificato ritardo;
  • il diritto di LIMITAZIONE del trattamento (articolo 18 del GDPR) – L’interessato ha diritto di ottenere la limitazione del trattamento da parte del Titolare, qualora ricorrano le seguenti condizioni:
    • l’interessato contesta l’esattezza dei dati personali, per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
    • il trattamento è illecito e l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
    • benché il titolare del trattamento non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
    • l’interessato si è opposto al trattamento, in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
  • il diritto di PORTABILITÀ (articolo 20 del GDPR) – L’Interessato ha diritto di ricevere in un formato strutturato di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano detenuti dal Titolare, al quale li ha forniti, e trasferirli ad altro Titolare;
  • il diritto di OPPOSIZIONE (articolo 21 del GDPR) – L’Interessato ha il diritto di opporsi, in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano;
  • il diritto relativo ad un eventuale PROCESSO DECISIONALE AUTOMATIZZATO (articolo 22 del GDPR) – L’Interessato ha il diritto di non essere sottoposto a una decisione basata unicamente su trattamento automatizzato, inclusa la profilazione. Per profilazione si intende “qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica.” (articolo 4, punto 4 del GDPR).
  • Questi diritti, tuttavia, possono trovare, in alcuni casi specifici e ben definiti dal Regolamento Europeo, alcune limitazioni dovute a motivi di interesse generale ritenuti maggiormente vincolanti in ragione della loro capacità di presidio della “sicurezza pubblica”, intesa in un’ampia accezione, quando e se ciò “sia necessario e proporzionato in una società democratica”.

In questa definizione rientrano: “la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, le attività di prevenzione, indagine e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, o di violazioni della deontologia professionale, per la tutela di altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro”.

L’articolo 23 del GDPR riporta l’elenco completo delle fattispecie in cui è possibile, se ricorrano le condizioni indicate in precedenza, per il diritto dell’Unione o di uno Stato membro operare una limitazione dei diritti e degli obblighi normati dal Regolamento negli articoli dal 12 al 22, 34 e 5.

Tali limitazioni possono essere introdotte solo mediante misure “legislative” il cui contenuto minimo è descritto nel paragrafo 2 dell’articolo 23 del Regolamento UE 2016/679, obiettivo del quale è la definizione precisa del perimetro sul quale incide l’eventuale limitazione introdotta sia in termini soggettivi (“indicazione precisa del titolare o della categoria di Titolari”), sia in termini oggettivi (ad esempio: l’indicazione delle “categorie di dati personali”, delle “finalità del trattamento o delle categorie di trattamento”, dei “i rischi per la libertà e i diritti degli interessati”).

Appare opportuno sottolineare come a tutela dei diritti degli interessati il Regolamento non preveda solo i diritti indicati in precedenza, ma ponga una serie di principi (art. 5 Reg. UE 679/2016) ai quali i trattamenti posti in essere si devono conformare in particolare quelli della liceità, correttezza e trasparenza, della c.d. “minimizzazione dei dati”, dell’esattezza di questi, della durata del trattamento che risulti adeguata al tempo necessario al raggiungimento delle finalità dichiarate per il trattamento posto in essere, c.d. “limitazione della conservazione”, della garanzia di aver posto in essere delle adeguate misure di sicurezza finalizzate a limitare al minimo eventuali perdite di dati, ovvero accessi non autorizzati, c.d. “integrità e riservatezza.

Renato Carafa