OLMeet Roma 2019
 

22/01/2019

Share    

Giuseppe Serafini

I diritti dell'interessato nel 'nuovo codice privacy'

Come far rispettare i propri diritti, in particolare per quanto riguarda il diritto all'oblio e la portabilità dei dati.



Dallo scorso 19 settembre è in vigore il D. Lgs. 10 agosto 2018, n. 101, che ha modificato il Codice della Privacy per adeguarlo alle disposizioni del Regolamento UE 2016/679 (GDPR). Ora il Garante Privacy emanerà, sottoponendoli a consultazione pubblica per 60 giorni, alcuni importanti provvedimenti in materia di misure di sicurezza nel trattamento delle categorie particolari di dati personali oltre che di efficacia delle previgenti autorizzazioni generali al trattamento. Tali provvedimenti, che avranno impatti rilevanti anche in materia di completamento delle norme incriminatrici di nuova introduzione, vanno a completare la prima fase del coordinamento del diritto nazionale con le previsioni del GDPR. La disciplina dei diritti dell’interessato dal trattamento dei dati è ora principalmente contenuta nel Regolamento, che attribuisce agli Stati membri di limitare, sussistenti determinate circostanze, l’esercizio dei diritti stessi. A tal fine, provvede il nuovo Codice Privacy, che limita l’esercizio dei diritti dell’interessato quando dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto ad alcuni specifici interessi o alla salvaguardia e l’indipendenza della magistratura.

Quali sono i diritti dell’interessato
Il Capo III del GDPR, in particolare, dedicato ai diritti dell’interessato, si articola in cinque sezioni volte a disciplinare:

la trasparenza e le relative modalità di esercizio;

l’informazione e l’accesso ai dati personali, con particolare riferimento alle informazioni da fornire qualora i dati personali siano raccolti presso l’interessato;

i diritti inerenti la rettifica e la cancellazione;

il diritto di opposizione e il processo decisionale automatizzato relativo alle persone fisiche;

le limitazioni.

In relazione a quanto da ultimo, vale la pena segnalare che l’interessato non potrà esercitare, con richiesta al titolare o al responsabile del trattamento o con reclamo, i diritti sanciti dal Regolamento, qualora dal loro esercizio possa derivare un pregiudizio effettivo e concreto. Ci si riferisce in particolare agli interessi tutelati in base alle disposizioni vigenti in materia di riciclaggio o di sostegno alle vittime di richieste estorsive; all’attività di Commissioni parlamentari d’inchiesta; alle attività svolte da un soggetto pubblico, diverso dagli enti pubblici economici, in base a espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria; al sistema dei pagamenti; al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità; allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria.

Diritto all’oblio
Fra le modifiche più significative introdotte dal Regolamento si segnala l’espressa previsione, sia del diritto all’oblio (ovvero alla cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento), sia del diritto alla portabilità degli stessi. Il diritto all’oblio è definito come il diritto a ottenere la cancellazione dei propri dati personali in presenza di circostanze di varia natura e l’art. 17 del regolamento stabiliscono che “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”.

Tra le circostanze individuate dalla norma richiamata che costituiscono il presupposto del diritto all’oblio si ritrovano fattispecie di natura oggettiva e soggettiva: tra le prime, possono essere considerate quella in cui i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti, quella in cui i dati personali sono stati trattati illecitamente e quella in cui i dati personali devono essere cancellati per adempiere un obbligo legale; fra le seconde, quella in cui l’interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per il trattamento, nonché quella in cui l’interessato si oppone al trattamento (diritto di opposizione).

Diritto alla portabilità dei dati
Il merito al diritto alla portabilità dei dati, l’art. 20, che costituisce in capo al soggetto interessato il diritto di ricevere dal titolare i propri dati personali, allo stesso forniti, in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile al fine di memorizzarli su un dispositivo proprio ed eventualmente trasferirli a un altro titolare, non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei). Sono, inoltre, previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare), e solo i dati che siano stati ‘forniti’ dall’interessato al titolare. Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile.

Come fare valere i propri diritti
L’azionabilità, alternativa, dei diritti di cui sopra, innanzi alle Autorità competenti è disciplinata dalle disposizioni dell’art. 140 bis del vigente Codice Privacy che specifica, al primo comma che, qualora ritenga che i diritti di cui gode sulla base della normativa in materia di protezione dei dati personali siano stati violati, l’interessato può proporre reclamo al Garante o ricorso dinanzi all’autorità giudiziaria e al secondo comma che, il reclamo al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l’autorità giudiziaria. Per quanto riguarda l’esercizio dei diritti in materia di protezione dei dati personali innanzi al Garante, continua ad essere previsto l’istituto della segnalazione e modifica, di cui viene ampliata la portata, nonché la disciplina del reclamo, che sostituisce quella non più vigente, per abrogazione, del ricorso, divenendo, dunque, l’unica forma di tutela diretta che l’interessato può chiedere all’autorità di controllo. Le norme richiamate, inoltre, pongono dei termini, per altro derogabili a discrezione dell’Autorità, per la decisione del reclamo da parte del Garante che, ancor prima di decidere sul reclamo, può intervenire con una ampia serie di poteri correttivi, la cui violazione autorizza la proposizione del ricorso davanti all’autorità giudiziaria.

Quanto, infine, alla tutela giurisdizionale, in riferimento alla quale continuano ad applicarsi le norme in materia di competenza del tribunale, essa può essere attivata nei confronti dell’autorità di controllo in relazione a una decisione giuridicamente vincolante o contro il mancato esame del reclamo, nei confronti del titolare e/o del responsabile del trattamento per violazione della normativa sulla tutela dei dati personali ovvero per la richiesta di risarcimento del danno.

 

TORNA INDIETRO >>