I diritti a natura “conoscitiva”

Come già detto, i diritti a natura conoscitiva permettono all’interessato di avere le informazioni in merito al trattamento. Permetto, infatti, all’individuo di sapere da chi, su quali basi, da dove, per quali scopi e per quanto tempo i dati personali saranno trattati, nonché i relativi diritti in relazione al trattamento medesimo, che dovranno essere indicati in modo esplicito.

2.2.1.1 Il diritto di informazione

L’informativa svolge un ruolo molto importante nell’ambito della normativa sulla protezione dei dati personali58_{, essendo funzionale al}

rispetto dell’autodeterminazione della persona fisica, ovvero alla consapevolezza che l’individuo deve poter avere al fine di gestire le proprie informazioni in modo cosciente. Unitamente al consenso, questo diritto dovrebbe permettere un penetrante controllo nei

57 _{Pelino, E., I diritti dell’interessato, in L. Bolognini, E. Pelino, C. Bistolfi, Il} Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Op. cit.

58 _{Ceraolo, N., Informativa all’interessato, in Libera circolazione e protezione dei} dati personali, Panetta, R. (a cura di), Giuffrè, Milano 2006, p. 917 e ss.

CAPITOLO IV

93

confronti dei detentori (rectius, titolari) dei dati personali.59

L’art. 13 del D.Lgs. 196/2003 rubricato “Informativa”, dispone che prima della raccolta dei dati personali debba essere data adeguata informativa, sia che essi siano reperiti presso l’interessato che presso terzi. In quest’ultimo caso, l’interessato viene informato al momento della registrazione dei dati o comunque, non oltre la prima comunicazione60_{. Le informazioni da inserire nell’informativa sono}

dettagliatamente disciplinate dal comma 161_{. Mentre al comma 5 sono}

previste tre ipotesi derogative dell’informativa diretta all’interessato, quando i dati sono raccolti presso terzi62_.

59 _{Si veda a tal proposito, European Data Protection Supervisor, Opinion} 7/2015, Meeting the challenges of big data. A call for transparency, user control, data protection by design and accountability, del 19 novembre 2015.

60 _{Comma 4, del citato articolo: “Se i dati personali non sono raccolti presso}

l'interessato, l'informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all'atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione”.

61 _{Comma 1, articolo citato: “a) le finalità e le modalità del trattamento cui}

sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi; e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile”.

62 _{Comma 5, articolo citato: “a) i dati sono trattati in base ad un obbligo}

previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; c) l'informativa all'interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari

CAPITOLO IV

94

Il nuovo Regolamento divide le fattispecie della raccolta (presso l’interessato e presso terzi) in due articoli: l’articolo 13, relativo ai dati personali “raccolti presso l’interessato”, e l’art. 14 relativo ai dati non “ottenuti presso l’interessato”, in quest’ultimo caso la particolarità di rilievo risiede nella necessaria dichiarazione, da parte del titolare, della fonte dei dati e delle categorie di dati trattati. La continuità di questi articoli rispetto alla previgente disciplina contenuta nella Direttiva 95/46/CE è notevole, ma contiene, in aggiunta, una disposizione relativa all’informativa cd. “ulteriore”, ovvero una nuova informativa in caso di modifiche delle finalità del trattamento.63

È importante sottolineare come il legislatore abbia positivizzato il principio di trasparenza nell’art. 12 del Regolamento, indicata come norma di riferimento per le informazioni e le comunicazione fatte dal titolare, nonché per l’esercizio dei diritti dell’interessato, imponendo al titolare di adottare misure appropriate a tal fine. Indubbia è la finalità “strutturale” di questo principio, che si riverbera nella dimensione “individuale”, nella fase “conoscitiva”.

Pertanto, l’interessato avrà diritto di essere informato “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori”.

manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile”.

CAPITOLO IV

95 2.2.1.2 Il diritto di accesso

Secondo il l’art. 7 del Codice della Privacy64_{, l’interessato ha il diritto}

di accesso, cioè il diritto di essere informato della presenza o meno di dati personali che lo riguardano, ancorché non ancora registrati. Ciascuno può dunque verificare direttamente se e quali dati personali sono trattati da qualunque titolare del trattamento.

Il nuovo Regolamento europeo, prevede il diritto di accesso all’art. 15, che costituisce una declinazione del diritto conoscitivo garantito con l’informativa, anche se l’azione propulsiva di tale diritto deriva dall’interessato e non dal titolare che, in questo caso, è il soggetto passivo.

A seguito della richiesta di accesso, all’interessato deve essere fornita indicazione dei dati personali trattati dal titolare nonché le informazioni previsti dell’art. 1565_.

64 _{Art. 7, commi 1-2, D.Lgs. 196/2003: “1. L'interessato ha diritto di ottenere}

la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile. 2. L'interessato ha diritto di ottenere l'indicazione: a) dell'origine dei dati personali; b) delle finalità e modalità del trattamento; c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici; d)degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2; e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati”.

65 _{Paragrafi 1 e 2 del citato articolo: “1. L'interessato ha il diritto di ottenere}

dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni: a) le finalità del trattamento; b) le categorie di dati personali in questione; c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali; d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; e)

CAPITOLO IV

96

2.2.1.3 Il diritto alla notificazione di violazione dei dati personali

In merito alla violazione dei dati personali e alla relativa notifica è già stata fatta una sommaria disamina trattando della sicurezza dei dati66_.

In questa sede, preme sottolineare che tale istituto ha la funzione di informare l’interessato di eventuali violazioni della sicurezza dei dati (si pensi ad esempio ad un accesso abusivo al sistema), con potenziale perdita o diffusione non autorizzata.

La notificazione all’interessato però è soggetta a determinate condizioni, sottoposte alla valutazione, preliminarmente, del titolare, il quale dovrà valutare se la violazione presenti “un rischio elevato per i diritti e le libertà delle persone fisiche”67_{, successivamente, in}

caso di inerzia del titolare, dall’Autorità Garante, che potrà richiedere la notifica, sempre a condizione che sussista il “rischio elevato”68_.

Alla valutazione di cui sopra, sussistono delle deroghe all’obbligo di notifica, ai sensi del paragrafo 3 dell’art. 34, lettere a) e b), ovvero quando i dati personali siano “incomprensibili” a chi vi ha avuto accesso senza autorizzazione (richiamando la possibilità di

l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento; f) il diritto di proporre reclamo a un'autorità di controllo; g) qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine; h) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato. 2. Qualora i dati personali siano trasferiti a un paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate ai sensi dell'articolo 46 relative al trasferimento”.

66 _{CAPITOLO IV, par. 2.1.1.1 – Data Breach.} 67 _{Art. 34, par. 1, Regolamento.}

CAPITOLO IV

97

cifratura)69_{, nonché quando il titolare ha adottato misure “atte a}

scongiurare il sopraggiungere di un rischio elevato”70 _{(si pensi al caso}

di sottrazione delle credenziali per accedere al sistema di “Home banking”, a cui consegue l’azione tempestiva del titolare atta a bloccare l’accesso con le credenziali sottratte e conseguentemente comunicandone di nuove all’interessato).