Conoscere e comprendere i diritti contenuti nel GDPR per tutelare la nostra privacy ed i nostri dati personali
Quali sono i diritti presenti nel GDPR?
Come noto, il GDPR[1], o Regolamento Generale sulla Protezione dei Dati, ha recentemente modificato la normativa riguardante i dati personali e la tutela della privacy. Accanto ai diritti costituzionali già storicamente più affermati (pensiamo alla libertà sindacale[2] o al diritto di esprimere liberamente la propria opinione[3]) ci sono diritti nel GDPR che possono essere considerati “nuovi”: alcuni sono noti, altri decisamente meno.
Ecco la lista:
- Il diritto di accesso
- Il diritto alla rettifica
- Il diritto all’oblio
- Il diritto alla limitazione del trattamento
- Il diritto alla portabilità dei dati
- Il diritto di opposizione
- Il diritto di non essere sottoposti a processo decisionale individuale automatizzato
- Il diritto di proporre reclamo a un’autorità di controllo
- Il diritto a un ricorso giurisdizionale effettivo contro una decisione di un’autorità di controllo e contro un responsabile del trattamento o responsabile del trattamento
- Il diritto di essere rappresentato da organizzazioni e altri
- Il diritto al risarcimento
Passiamoli in rassegna nei punti fondamentali.
Il diritto di accesso
Gli interessati hanno il diritto di ottenere dai titolari la conferma che sia o meno in corso un trattamento di dati personali che li riguardano e, in caso affermativo, i titolari del trattamento sono tenuti a fornire una copia dei dati personali oggetto di trattamento.
Se la richiesta dell’interessato è stata effettuata con mezzi elettronici, le informazioni sono fornite all’interessato in un formato elettronico di uso comune (a meno che non richieda espressamente diversamente). Per qualsiasi copia aggiuntiva dei dati personali, il responsabile del trattamento può addebitare una tariffa ragionevole sulla base dei costi amministrativi.
È importante sottolineare che questo diritto di ottenere una copia non può pregiudicare i diritti e le libertà degli altri.
I dati personali e le informazioni a cui è possibile accedere sono:
- Le finalità del trattamento;
- Le categorie di dati personali in questione;
- I destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, quali destinatari in paesi terzi o organizzazioni internazionali;
- Se è possibile, il periodo per il quale i titolari intendono conservare i dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- L’esistenza del diritto di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi a tale trattamento;
- Il diritto di proporre reclamo a un’autorità di controllo;
- Se i dati personali non sono raccolti presso l’interessato, ogni informazione disponibile sulla loro fonte;
- L’esistenza di un processo decisionale automatizzato, compresa la profilazione, e, almeno, informazioni significative in questi casi sulla logica utilizzata, l’importanza di tale trattamento per l’interessato e le conseguenze previste.
Il diritto alla rettifica
Tra i diritti contenuti nel GDPR c’è quello alla rettifica, un diritto considerato essenziale. Se i responsabili del trattamento conservano dati personali di persone, queste persone hanno il diritto di chiedere la rettifica senza indebito ritardo le informazioni inesatte che li riguardano. In considerazione delle finalità del trattamento, ogni interessato ha il diritto di ottenere l’integrazione dei propri dati personali, ad esempio fornendo una dichiarazione integrativa.
Il diritto all’oblio
Il diritto all’oblio[4] è uno dei più noti della categoria dei diritti presenti nel GDPR. La definizione con cui ci riferiamo a questo diritto non è tuttavia del tutto precisa: si parla per l’esattezza di diritto alla cancellazione. Una curiosità: tale diritto è stato riconosciuto con il famoso caso Gonzalez v. Google Spain[5] presso la Corte di Giustizia dell’Unione Europea.
Gli interessati hanno il diritto di ottenere dai titolari del trattamento la cancellazione dei dati personali che li riguardano senza ingiustificato ritardo. A questo proposito, i titolari del trattamento sono obbligati a cancellare questi dati personali (sempre senza ingiustificato ritardo) se è applicabile uno dei seguenti motivi:
- I dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o trattati;
- L’interessato revoca il consenso e non sussiste altro fondamento giuridico per il trattamento;
- L’interessato si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per tale trattamento;
- I dati personali sono stati trattati illecitamente;
- I dati personali devono essere cancellati per adempiere un obbligo legale nell’Unione Europea o il diritto degli Stati membri dell’UE cui sono soggetti i titolari del trattamento;
- I dati personali sono stati raccolti in relazione all’offerta di servizi della società dell’informazione ai bambini.
Ciò tuttavia non è applicabile quando il trattamento è necessario:
- Per l’esercizio del diritto alla libertà di espressione e di informazione;
- Per l’adempimento di un obbligo legale del titolare del trattamento che richiede il trattamento da parte dell’Unione Europea o degli Stati membri dell’UE e per l’esecuzione di un compito svolto nell’interesse pubblico o nell’esercizio di pubblici poteri investiti di un titolare del trattamento;
- Per motivi di interesse pubblico nel settore della sanità pubblica;
- Per il raggiungimento di finalità di interesse pubblico, di ricerca scientifica o storica o a fini statistici;
- Per l’accertamento, l’esercizio o la difesa di rivendicazioni legali.
Il diritto alla limitazione del trattamento
Nell’articolo 18 GDPR si trova il diritto alla limitazione del trattamento.
Gli interessati hanno il diritto di ottenere dai titolari del trattamento la limitazione del trattamento quando ricorre una delle seguenti condizioni:
- L’interessato contesta l’esattezza dei propri dati personali, per un periodo che consenta al titolare del trattamento di verificarne l’esattezza;
- Il trattamento è illecito e l’interessato si oppone alla cancellazione dei propri dati personali e chiede invece che ne sia limitato l’uso;
- I titolari del trattamento non hanno più bisogno dei dati personali ai fini del trattamento, ma tali dati sono richiesti dagli interessati per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
- L’interessato si oppone al trattamento in attesa della verifica se i motivi legittimi del titolare prevalgano su quelli degli interessati.
Quando ricorre una delle condizioni di cui sopra e il trattamento è limitato, i dati personali possono ancora essere conservati ma ulteriormente trattati solo:
- con il consenso degli interessati e per una serie di scopi:
- l’inizio, l’esercizio o la difesa di o in procedimenti legali;
- per la tutela dei diritti di altre persone fisiche o giuridiche; o
- per motivi di rilevante interesse pubblico dell’Unione Europea o dei suoi Stati membri.
Quando è stata ottenuta la limitazione del trattamento, i responsabili del trattamento devono informare gli interessati prima che tale limitazione venga revocata.
Il diritto alla portabilità dei dati
Ai sensi dell’articolo 20 GDPR, gli interessati hanno il diritto di ricevere dai responsabili del trattamento i dati personali che li riguardano.
Tali dati devono essere forniti in un formato strutturato, di uso comune e leggibile da dispositivo automatico. Inoltre, gli interessati hanno il diritto di trasmettere i propri dati personali ad altri responsabili.
Tale diritto sussiste quando il trattamento è basato sul consenso o su un contratto e il trattamento è effettuato con mezzi automatizzati. Inoltre, gli interessati che esercitano il diritto alla portabilità dei dati possono far trasmettere i propri dati personali direttamente da un titolare all’altro se ciò è tecnicamente possibile.
Tale diritto può essere esercitato fatto salvo il diritto alla cancellazione. Inoltre, non si applica ai compiti svolti nell’interesse pubblico o nell’esercizio di pubblici poteri dal titolare del trattamento. Infine, non può essere invocato per ledere i diritti e le libertà altrui.
Il diritto di opposizione
Proseguendo con i diritti presenti nel GDPR, incontriamo all’articolo 21 GDPR il diritto di opposizione.
Per l’esattezza, possono sussistere motivi relativi a situazioni particolari delle persone che possono giustificare l’esercizio di tale diritto in relazione al trattamento dei loro dati personali quando tale trattamento è necessario per l’esecuzione di compiti di interesse pubblico o è richiesto nell’esercizio di autorità ufficiale da parte dei titolari del trattamento o quando tale trattamento deve essere effettuato ai fini dei legittimi interessi perseguiti dai titolari o da terzi. Tale diritto sussiste anche quando vengono svolte attività di profilazione in tali situazioni.
Questo diritto può essere esercitato anche quando i dati personali di persone fisiche sono trattati nel contesto del marketing diretto o della profilazione relativa a tale marketing. Può essere fatto in qualsiasi momento. Quando gli interessati si oppongono i loro dati personali non possono più essere trattati per il marketing diretto.
Al momento della prima comunicazione con gli interessati, l’esistenza del diritto di opposizione come precedentemente indicato deve essere indicata agli interessati in modo chiaro e separato da altre informazioni. Questo diritto può essere esercitato dagli interessati – quando ci occupiamo dell’uso dei servizi della società dell’informazione – con mezzi automatizzati utilizzando specifiche tecniche.
È importante sottolineare che il diritto di opposizione esiste anche quando i dati personali delle persone fisiche sono trattati per ricerche scientifiche o storiche e per scopi statistici. Ciò, tuttavia, non è il caso se il trattamento è effettuato per motivi di interesse pubblico.
Il diritto di non essere sottoposti a processo decisionale individuale automatizzato
L’articolo 22 GDPR garantisce a tutti il diritto di non essere soggetti a una decisione basata solo su un trattamento automatizzato[6]. Questa decisione deve incidere in modo significativo su un individuo, ad esempio creando determinati effetti giuridici.
Tuttavia, non sempre è possibile avvalersi di questo diritto: in determinate situazioni non si applica.
Questo è il caso quando una tale decisione individuale automatizzata è necessaria per stipulare un contratto o eseguire un contratto tra l’interessato e un responsabile del trattamento. Inoltre, il diritto dell’Unione Europea o dei suoi Stati membri può autorizzare l’adozione di tale decisione. Al riguardo, deve altresì prevedere adeguate garanzie per la tutela dei diritti, delle libertà e dei legittimi interessi degli interessati.
Infine, quando tale decisione si basa su un consenso esplicito degli interessati, questo diritto non si applica. Nel primo e nel secondo tipo di situazioni, i responsabili del trattamento svolgono un ruolo importante nella tutela dei diritti, delle libertà e dei legittimi interessi degli interessati: devono garantire il diritto di attuare l’intervento umano da parte dei titolari, di esprimere punti di vista o per impugnare la decisione.
Queste tre tipologie di decisioni, alle quali non si applica il diritto di non essere sottoposti a processo decisionale individuale automatizzato, non possono basarsi sulle tipologie più delicate di dati personali salvo che sia stato acquisito il consenso degli interessati o che il trattamento sia necessario per ragioni di interesse pubblico. Dovrebbero inoltre essere previste misure volte a salvaguardare i diritti, le libertà e gli interessi legittimi degli interessati.
Il diritto di proporre reclamo a un’autorità di controllo
Ogni interessato ha un diritto fondamentale: quello di proporre reclamo a un’autorità di controllo se ritiene che il trattamento dei propri dati personali violi il GDPR. Questo è previsto dall’articolo 77 GDPR.
Ciò può essere fatto negli Stati membri di residenza abituale, nei luoghi di lavoro e nei luoghi di presunta violazione. Successivamente l’autorità di controllo sarà tenuta ad informare gli interessati che presentano i loro reclami sullo stato di avanzamento e l’esito dei loro reclami.
Il diritto a un ricorso giurisdizionale effettivo contro una decisione di un’autorità di controllo e contro un responsabile del trattamento o responsabile del trattamento
Inoltre, è possibile che determinate persone abbiano diritto a rimedi giurisdizionali effettivi contro le decisioni delle autorità di controllo come previsto dall’articolo 78 GDPR.
Al riguardo, la disposizione riconosce tale diritto non solo alle persone fisiche, ma anche alle persone giuridiche. Il ricorso di cui devono disporre è necessario che sia effettivo al fine di affrontare le decisioni giuridicamente vincolanti emesse dalle autorità di controllo nei loro confronti.
Inoltre, gli interessati hanno il diritto a un ricorso giurisdizionale effettivo quando le autorità di controllo non affrontano i ricorsi o non informano gli interessati sull’andamento dell’esito dei reclami.
Occorre ricordare che il ricorso giurisdizionale effettivo come qui inteso può essere ottenuto dai giudici degli Stati membri in cui ha sede l’autorità di controllo in questione.
Inoltre, esiste il diritto a un ricorso giurisdizionale effettivo contro titolari e responsabili del trattamento ai sensi dell’articolo 79 GDPR. Quando gli interessati ritengono che i loro diritti tutelati dal GDPR siano violati a seguito del trattamento dei loro dati personali, possono avviare un procedimento contro un titolare del trattamento o un responsabile del trattamento in questione dinanzi a un tribunale dello Stato membro là dove vi sia la sede del titolare o del responsabile del trattamento. In alternativa, gli interessati possono avviare un procedimento anche nello Stato membro in cui hanno la residenza abituale, a meno che il titolare del trattamento o il responsabile del trattamento non sia un’autorità pubblica dello Stato membro e eserciti i pubblici poteri.
Il diritto di essere rappresentato da organizzazioni e altri
In base all’articolo 80 GDPR, è possibile per gli interessati consentire a enti, organizzazioni o associazioni senza scopo di lucro di proporre direttamente ricorso per tutti i diritti sopra esposti e richiamati dagli artt. 77, 78 e 79 del GDPR[7].
A seconda della legislazione degli Stati membri, tali enti, organizzazioni e associazioni possono altresì proporre ricorso all’autorità di controllo indipendentemente dall’incarico conferito dall’interessato e esercitare i diritti ex artt. 78 e 79 GDPR concernenti il diritto ad un’azione giurisdizionale effettiva rimedio se ritengono che i diritti dell’interessato siano stati violati a seguito del trattamento dei dati personali.
Il diritto al risarcimento
L’articolo 82 GDPR stabilisce che le persone che hanno subito un danno materiale o immateriale in conseguenza di una violazione del GDPR hanno il diritto di ottenere un risarcimento dal responsabile del trattamento in questione.
Come previsto dall’articolo 80 GDPR, tale diritto può essere esercitato anche da enti, organizzazioni e associazioni per conto degli interessati. I procedimenti per l’esercizio del diritto al risarcimento dovrebbero essere proposti dinanzi ai tribunali competenti in base al diritto di uno Stato membro in questione.
Informazioni
General Data Protection Regulation – reperibile nella rete interconnessa
Case C-131/12, Google Spain SL v. Agencia Española de Protección de Datos (May 13, 2014). Link: http://curia.europa.eu/juris/document/document.jsf?text=&docid=138782&doclang=EN
[1] Per comprendere funzioni e cambiamenti apportati dal GDPR rinvio a quest’altro articolo che ho scritto: http://www.dirittoconsenso.it/2021/11/26/il-gdpr/
[2] Per un approfondimento si rimanda all’articolo di Valeriya Topolska sulla libertà sindacale: http://www.dirittoconsenso.it/2020/11/21/la-liberta-sindacale/
[3] Per un approfondimento si rimanda all’articolo di Gennaro De Lucia sull’articolo 21 della Costituzione: http://www.dirittoconsenso.it/2020/06/08/art-21-cost-libera-manifestazione-pensiero/
[4] Per un approfondimento su un diritto sì noto ma comunque recente si rinvia all’articolo di Serena Greco: http://www.dirittoconsenso.it/2021/01/27/diritto-oblio-europa-quando-il-passato-non-passa/
[5] Per ripercorrere l’intero caso: Case C-131/12, Google Spain SL v. Agencia Española de Protección de Datos (May 13, 2014). Link: http://curia.europa.eu/juris/document/document.jsf?text=&docid=138782&doclang=EN
[6] Il che include anche la profilazione.
[7] Tali disposizioni riguardano il diritto di proporre ricorso a un’autorità di controllo e i diritti a un ricorso giurisdizionale effettivo avverso le decisioni delle autorità di controllo e dei titolari o incaricati del trattamento.

Lorenzo Venezia
Ciao, sono Lorenzo. Laureato in giurisprudenza presso l’Università degli Studi di Milano Bicocca con una tesi sul recupero dei beni culturali nel diritto internazionale e sul ruolo dell'INTERPOL e con il master "Cultural property protection in crisis response" all'Università degli Studi di Torino, sono interessato ai temi della tutela dei beni culturali nel diritto internazionale, del traffico illecito di beni culturali e dei fenomeni di criminalità organizzata e transnazionale.