Ci si preoccupa del trattamento dei dati personali quando li si raccoglie, li si utilizza e li si deve conservare, ma la corretta gestione della privacy deve considerare anche la possibilità per gli interessati di esercitare i diritti loro riconosciuti dal GDPR.
Diritti degli interessati secondo il GDPR
Il Regolamento (UE) 2016/679 definisce precisi diritti dell’interessato relativamente al trattamento dei suoi dati negli articoli tra il 15 e il 22. Ne riporto di seguito un sintesi.
Diritto di accesso
Secondo l’art. 15 del GDPR l’interessato ha il diritto di avere conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in caso affermativo, di ottenere l’accesso ai dati personali e a specifiche informazioni (ex. categorie dei dati, finalità del trattamento, tempi di conservazione),
Diritto di rettifica
Secondo l’art. 16 del GDPR l’interessato ha il diritto di richiedere la correzione dei dati inesatti o di integrare quelli mancanti.
Diritto alla cancellazione
L’art. 17 del GDPR individua casi specifici previsti (ex. è terminato il trattamento, l’interessato abbia revocato il consenso espresso in precedenza, i dati siano stati trattati illecitamente) in cui l’interessato ha diritto di richiedere la cancellazione dei propri dati al titolare.
Diritto di limitazione del trattamento
L’art. 18 del GDPR individui casi specifici (ex. se si contesta l’esattezza dei dati e il titolare ha necessità di tempo per fare verifiche) in cui l’interessato può richiedere al titolare di limitare il trattamento dei suoi dati.
Diritto alla portabilità dei dati
Secondo l’art. 20 del GDPR, in caso di trattamenti basati sul consenso o automatizzati, l’interessato ha la possibilità di ricevere in un formato adeguato tutti i dati affidati a un titolare per trasferirli a un altro e anche di richiedere il trasferimento diretto da un titolare all’altro.
Diritto di opposizione
Secondo l’art. 21 del GDPR “l’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano“.
Diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato
Questa è la disposizione dell’art. 22 del GDPR. Più precisamente “l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona“.
La procedura dal lato dell’interessato
Il Garante privacy ha messo a disposizione un modello attraverso il quale l’interessato può esercitare i propri diritti: l’interessato compila il modello e lo trasmette al titolare (anche per il tramite del Responsabile della Protezione dei Dati , nei casi in cui sia stato designato dal titolare).
Il titolare del trattamento è tenuto a rispondere alla richiesta nel termine di 1 mese, dandole un riscontro oppure segnalando un ritardo nel riscontro in caso di richieste numerose e/o complesse. In ogni caso il titolare deve dare riscontro alla richiesta nel termine massimo di 2 mesi.
Se la risposta non perviene nei tempi indicati o l’interessato non la ritiene soddisfacente, può rivolgersi al Garante per la protezione dei dati personali, presentando un reclamo o una segnalazione, oppure all’autorità giudiziaria.
La procedura dal lato del titolare
Gli articoli del GDPR relativi ai diritti degli interessati contengono dettagli che devono essere presi in considerazione dal titolare durante la fase di definizione delle modalità di trattamento. In altre parole: i titolari devono garantire la tutela dei diritti da parte degli interessati e non solo la possibilità che loro li esercitino.
L’attenzione ai diritti degli interessati è necessaria a partire dalla definizione dell’informativa al trattamento dei dati che è il primo strumento attraverso il quale fornire all’interessato le indicazioni in merito alla tutela dei suoi diritti e alle modalità con cui li può esercitare.