Il Regolamento privacy (Regolamento 2016/679, GDPR) applicabile su tutto il territorio europeo dallo scorso 25 maggio prevede una serie di diritti nei confronti del soggetto interessato esercitabili nei confronti del titolare del trattamento in qualunque momento consentendogli di mantenere il controllo sui dati che ha conferito e sul loro utilizzo.
Il Regolamento generale aggiunge alla lista alcuni diritti come: la cancellazione (o diritto all’oblio), il diritto alla portabilità ed il diritto di limitazione del trattamento. Permangono, i diritti già previsti dal Codice privacy, quali ad esempio: il diritto di accesso ai propri dati (l’interessato ha diritto di ottenere la presa visione dei dati che lo riguardano e di una serie di informazioni aggiuntive); il diritto di rettifica (l’interessato può chiedere la correzione o integrazione dei dati comunicati); il diritto di opposizione (l’interessato ha diritto di opporsi al trattamento in corso al ricorrere di specifiche circostanze).
Il diritto all’oblio costituisce il diritto dell’interessato di richiedere al titolare del trattamento la cancellazione dei dati dallo stesso detenuti.
Il diritto all’oblio può essere esercitato solo in presenza di una delle condizioni elencate all’art. 17 del GDPR. Queste ricorrono nel caso in cui:
– i dati eccedono rispetto al perseguimento delle finalità di trattamento;
– si sia revocato il consenso al trattamento o si sia esercitato il diritto di opposizione;
– i dati debbano essere cancellati per adempiere ad un obbligo di legge;
– il trattamento risulti illecito;
– i dati siano stati raccolti nell’ambito di un servizio della società dell’informazione, quando l’interessato era ancora minorenne.
Gli unici limiti al diritto all’oblio sono previsti nel caso in cui il diritto dell’interessato ad ottenere la cancellazione dei suoi dati soccomba di fronte a interessi superiori. È il caso, ad esempio, in cui il trattamento dei dati sia necessario per l’esercizio del diritto alla libertà di espressione e di informazione o, ancora, perché sia richiesto dalla legge o sia necessario al perseguimento di un interesse pubblico. Il diritto all’oblio potrebbe essere negato nel caso in cui la conservazione dei dati sia necessaria per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.
Il diritto alla portabilità dei dati si sostanzia nel diritto dell’interessato di ricevere i dati in un formato strutturato, di uso comune, che sia leggibile da dispositivi automatici. Non vi sono espresse indicazioni sul tipo di formato utilizzabile, ma è evidente che l’obiettivo è quello di garantire che i dati siano forniti in un formato “interoperabile”, che ne consenta il facile riutilizzo da una molteplicità di dispositivi e servizi.
Tale diritto si sostanzia nel trasmettere (ma anche di ottenere la trasmissione diretta) i suoi dati ad un altro titolare del trattamento, senza che il titolare “originario” possa impedirlo.
Il diritto alla portabilità può essere esercitato solo qualora i dati personali rispettino una serie di condizioni, in particolare devono:
– essere dati personali chiaramente riferibili all’interessato (sono esclusi i dati anonimi);
– essere trattati sulla base del consenso preventivo dell’interessato o di un contratto di cui è parte l’interessato;
– essere trattati attraverso strumenti automatizzati;
– essere stati forniti dall’interessato. La presente condizione, però, deve interpretarsi in senso ampio, per cui il diritto non è limitato ai dati forniti consapevolmente e in modo attivo dall’interessato (es. dati raccolti mediante un form di iscrizione) ma si estende anche ai dati forniti attraverso la fruizione di un servizio o l’utilizzo di un dispositivo (es. dati di localizzazione).
L’esercizio da parte dell’interessato del diritto di limitazione del trattamento, gli consente di “limitare” il trattamento dei suoi dati in una serie di situazioni in cui, pur non venendo totalmente meno un interesse al loro trattamento, l’interessato ne richiede una restrizione temporanea.
Il diritto di ottenere una limitazione nel trattamento può essere esercitato ove:
– l’interessato contesta l’esattezza dei dati personali, e richiede quindi una limitazione al loro utilizzo per il periodo necessario al titolare del trattamento per verificare l’esattezza di tali dati personali;
– il trattamento è illecito, ma l’interessato si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
– benché il titolare non ne abbia più bisogno ai fini del trattamento, i dati personali sono necessari all’interessato per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
– l’interessato si è opposto al trattamento, e si attua la limitazione del trattamento in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare del trattamento rispetto a quelli dell’interessato.
Il Regolamento in tema di protezione dei dati personali stabilisce che il termine per la risposta all’interessato è di 1 mese, per tutti i diritti, il quale può essere esteso fino a 3 mesi, in considerazione della complessità e del numero di richieste ricevute. La risposta del Titolare, deve essere data per iscritto, deve essere trasparente, concisa e formulata in un linguaggio semplice e chiaro.
* Cultrice della materia in Informatica Giuridica – Unimi