Il Regolamento Generale sulla Protezione dei Dati (GDPR) conferisce agli interessati un insieme di diritti fondamentali sui propri dati personali, rafforzando il loro controllo e garantendo tutele effettive. Il rispetto di tali diritti non è solo un obbligo legale per i titolari del trattamento, ma costituisce anche un elemento cardine per costruire relazioni di fiducia con clienti e utenti.
I diritti degli interessati sono presidi fondamentali per un trattamento dei dati lecito, corretto e trasparente. Il titolare deve istituire processi interni efficaci per riconoscere, gestire e soddisfare le richieste nel rispetto dei termini previsti, documentando le proprie attività per dimostrare la conformità (principio di accountability). La violazione di questi diritti può comportare sanzioni amministrative pecuniarie molto elevate e azioni risarcitorie da parte degli interessati.
1. Diritto di Essere Informati (Artt. 13 e 14)
Prima della raccolta dei dati, il titolare deve fornire all’interessato una serie di informazioni essenziali in forma chiara, concisa e accessibile, tipicamente attraverso un’informativa privacy. Tali informazioni includono, tra le altre:
- L’identità e i dati di contatto del titolare e, ove applicabile, del DPO.
- Le finalità e la base giuridica del trattamento.
- I destinatari dei dati e l’eventuale trasferimento verso Paesi terzi.
- Il periodo di conservazione dei dati.
- I diritti spettanti all’interessato.
- La logica coinvolta in un eventuale processo decisionale automatizzato.
Questo obbligo sussiste sia quando i dati sono raccolti direttamente dall’interessato, sia quando sono ottenuti da fonti terze (in quest’ultimo caso, entro un termine ragionevole, non superante un mese).
2. Diritto di Accesso (Art. 15)
L’interessato ha il diritto di ottenere dal titolare la conferma che siano in corso trattamenti dei suoi dati personali e, in tal caso, di accedere agli stessi e a una serie di informazioni complementari (quelle elencate nell’informativa). Il titolare deve fornire, gratuitamente e senza ingiustificato ritardo (generalmente entro un mese), una copia dei dati in formato elettronico se la richiesta è avvenuta per via telematica.
3. Diritto di Rettifica (Art. 16)
L’interessato può richiedere la correzione dei dati inesatti che lo riguardano e l’integrazione di quelli incompleti. Il titolare deve ottemperare alla richiesta nel più breve tempo possibile, verificando l’effettiva inesattezza ove necessario, nel rispetto del principio di minimizzazione (evitando di richiedere documentazione non strettamente necessaria).
4. Diritto alla Cancellazione (“Diritto all’Oblio”) (Art. 17)
L’interessato ha il diritto di ottenere la cancellazione dei propri dati senza ingiustificato ritardo quando sussiste uno dei seguenti motivi:
- I dati non sono più necessari rispetto alle finalità per cui sono stati trattati.
- Viene revocato il consenso su cui si basava il trattamento e non sussiste altro fondamento giuridico.
- Ci si oppone al trattamento fondato su legittimo interesse e non sussistono motivi legittimi prevalenti.
- I dati sono stati trattati illecitamente.
Questo diritto non è assoluto e deve essere bilanciato con altri diritti fondamentali (es. libertà di espressione) o obblighi legali (es. conservazione di dati per adempimenti di legge).
5. Diritto alla Limitazione del Trattamento (Art. 18)
L’interessato può chiedere che i dati siano contrassegnati per limitarne temporaneamente il trattamento futuro. Ciò avviene in scenari specifici, come durante il periodo di verifica dell’esattezza di dati contestati o quando il trattamento è illecito ma l’interessato si oppone alla cancellazione (ad esempio, per necessità di esercitare un diritto in sede giudiziaria).
6. Diritto alla Portabilità dei Dati (Art. 20)
L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che ha fornito a un titolare, e di trasmetterli a un altro titolare senza impedimenti. Questo diritto si applica esclusivamente quando il trattamento è basato sul consenso o su un contratto ed è effettuato con mezzi automatizzati. Il suo scopo è promuovere la libera circolazione dei dati e favorire la concorrenza.
7. Diritto di Opposizione (Art. 21)
L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei suoi dati fondato su interessi legittimi del titolare o su un compito di interesse pubblico. In tal caso, il titolare deve astenersi dal procedere al trattamento a meno che non dimostri l’esistenza di motivi legittimi cogenti che prevalgano sui diritti dell’interessato.
L’opposizione al trattamento per marketing diretto (inclusa la profilazione correlata) è un diritto assoluto e deve essere immediatamente ottemperata.
8. Diritti in Relazione al Processo Decisionale Automatizzato e alla Profilazione (Art. 22)
L’interessato ha il diritto di non essere sottoposto a una decisione basata esclusivamente sul trattamento automatizzato (inclusa la profilazione) che produca effetti giuridici che lo riguardano o che incida in modo analogamente significativo sulla sua persona. Sono previste tutele specifiche, come il diritto di ottenere l’intervento umano da parte del titolare, di esprimere la propria opinione e di contestare la decisione. I trattamenti di questo tipo richiedono una Valutazione d’Impatto (DPIA).
