L’impresa e il rispetto dei diritti dell’interessato

I diritti dell’interessato rappresentano uno dei cardini del nuovo impianto sulla protezione dei dati personali. L’interessato puo/ rivolgersi direttamente al titolare del trattamento, anche in un momento successivo al consenso. Nello specifico l’interessato puo/ chiedere: informazioni su quali dati sono trattati dal titolare; di accedere ai dati in possesso del titolare (diritto di accesso); la revoca del consenso prestato, l’opposizione ai trattamenti automatizzati, l’esercizio dell’opposizione al trattamento, la cancellazione dei dati in possesso del titolare, l’aggiornamento o la rettifica dei dati conferiti; la trasformazione in forma anonima dei dati, il blocco o la limitazione dei dati trattati, la portabilita/ dei dati. In questo paragrafo ci si soffermera/ su alcuni di questi diritti e in particolare sulle novita/ introdotte dal testo del regolamento.

Per quanto riguarda la modalita/ di esercizio di tali diritti, il titolare del trattamento ha l’obbligo di fornire all’interessato le informazioni relative all’azione intrapresa senza ingiustificato ritardo e comunque entro un mese dalla richiesta. Tale termine puo/ essere prorogato solo nel caso in cui la richiesta presenti un elevato grado di complessita/194_{(art. 12 par. 3 GDPR).}

Il rilascio di informazioni da parte del titolare e/ a titolo gratuito, a meno che il titolare non dimostri che le richieste dell’interessato siano manifestamente infondate, ripetitive o eccessive: in questo caso puo/ essere addebitato all’interessato un contributo spese ragionevole o puo/ essere respinta la richiesta (art. 12 par. 5 GDPR). Ad ogni modo la risposta fornita all’interessato deve avvenire in forma scritta o elettronica, mentre la possibilita/ di rilasciare una risposta orale puo/ accettarsi solo qualora la richiesta dell’interessato lo preveda. Seguendo le stesse logiche impartite per la realizzazione dell’informativa sul consenso, il regolamento prevede che la risposta fornita all’interessato debba essere intellegibile, concisa, trasparente e che utilizzi un linguaggio semplice e chiaro.

Per quanto riguarda il diritto di accesso previsto dall’articolo 15 GDPR, esso presenta alcune piccole novita/ rispetto alla precedente normativa. In primo luogo, il diritto di accesso prevede che in qualsiasi caso all’interessato venga rilasciata una copia dei propri dati personali oggetto del trattamento. In secondo luogo, viene chiesto al titolare di indicare il periodo di conservazione previsto, o laddove non fosse possibile, di rendere noti i criteri usati per la definizione di tale periodo.

L’articolo 18 rappresenta un’estensione rispetto all’articolo 7, comma 3 del Codice della privacy, che prevedeva il blocco del trattamento. Si introduce un diritto alla limitazione del trattamento, tale per cui l’interessato ha diritto di ottenere che i suoi dati vengano utilizzati limitatamente a quanto sia necessario ai fini della conservazione (specifica introdotta dal GDPR). Si tratta quindi di una sorta di sospensione temporanea del trattamento in corso che puo/ verificarsi qualora si verifichi una delle seguenti circostanze: l’interessato contesta l’esattezza dei dati personali; il trattamento e/ illecito e l’interessato si oppone alla cancellazione dei dati personali e richiede invece che ne sia limitato l’utilizzo; il titolare non necessiti piu/ di questi dati, ma l’interessato ne abbia necessita/ per l’accertamento o la difesa di un diritto in sede giudiziaria; l’interessato si sia opposto al trattamento e sia in attesa di capire se i motivi legittimi del titolare del trattamento prevalgano su quelli dell’interessato. Sul punto il considerando 67 riporta anche alcuni esempi non tassativi per far comprendere cosa debba intendersi per limitazione del trattamento: ad esempio rendere inaccessibili agli utenti i dati personali dell’interessato o rimuovendo temporaneamente i dati pubblicati in una pagina web.

L’articolo 20 infine introduce un vero e proprio nuovo diritto: il diritto alla portabilita/ dei dati195_{. Esso consente all’interessato di ricevere i dati personali dal}

titolare del trattamento e di trasferirli senza alcun impedimento a un diverso titolare. Si tratta indubbiamente di uno strumento essenziale nella prospettiva della libera circolazione dei dati personali nell’UE e quindi in ragione di una libera concorrenza fra le imprese in un’ottica di creazione di nuovi servizi all’interno del mercato unico digitale. Tramite l’introduzione di questo diritto si cerca quindi di riequilibrare il

195In realta/ si tratta di un diritto gia/ conosciuto dai consumatori all’interno dei servizi di telefonia: si pensi infatti alla portabilita/ del proprio numero telefonico da un operatore all’altro.

rapporto fra interessati e titolari del trattamento, stimolando di fatto gli interessati a un controllo piu/ stringente sui dati che li riguardano196_.

I dati resi all’interessato devono essere resi in un formato strutturato, di uso comune e leggibile elettronicamente. Per tale ragione i dati portabili devono essere stati trattati attraverso strumenti automatizzati (non registri cartacei) e devono essere stati forniti consapevolmente dall’interessato e trattati sulla base del suo consenso o in forza di un contratto (art. 20 par.1 GDPR). Sono ricompresi anche i dati osservati forniti dall’interessato mediante l’utilizzo di un dispositivo o la fruizione di un servizio (es. la cronologia delle ricerche web).

In tutto questo, l’esercizio del diritto ex art. 20 non deve ledere i diritti e le liberta/ altrui. Tale ipotesi si verificherebbe ad esempio nell’ambito del trasferimento della rubrica contatti e dei relativi messaggi di un soggetto da un servizio di posta elettronica ad un altro nel caso in cui il secondo titolare del trattamento che riceve i dati dell’interessato, utilizza i dati afferenti persone terze per finalita/ diverse da quelle per cui le conserva (es. marketing).

Ne consegue che i titolari del trattamento, e quindi le imprese, dovrebbero elaborare dei meccanismi in grado di consentire agli interessati che richiedono la portabilita/, di selezionare quali dati desiderano trasmettere e quali dati di terzi preferiscono escludere. Allo stesso modo, sarebbe auspicabile l’implementazione di un sistema per la raccolta del consenso da parte di altri interessati coinvolti nel processo di portabilita/, in modo da rendere piu/ celere e agevolata la trasmissione dei dati nel caso in cui tali soggetti terzi si dicano favorevoli al trasferimento (basti pensare ai social network)197_.

4.7 In particolare GDPR e Oblio: un bilanciamento tecnico nelle mani delle