Il nuovo Regolamento UE sulla privacy ha introdotto alcuni diritti per gli interessati, come quello all’oblio, che hanno suscitato da un lato plauso e dall’altro preoccupazione (sia per l’impegno richiesto ai Titolari per garantirli, sia per il timore che informazioni importanti, ad esempio per la valutazione dell’affidabilità di un creditore, siano perse).
In realtà, già nella normativa attuale gli interessati hanno una nutrita serie di diritti, declinati nel Dlgs 196/03, negli articoli 7, 8, 9 e 10.
In particolare l’articolo 7 elenca i diritti di cui godono gli interessati (e solo loro, essendo esclusi dall’applicazione dalle tutele previste dalla norma altri soggetti quali ad esempio i contraenti).
I successivi articoli 8, 9 e 10 declinano:
- le modalità con cui esercitare i diritti
- i casi nei quali tali diritti non possono essere esercitati
- le modalità con cui il Titolare deve dare riscontro alle richieste degli interessati
La formulazione dei diritti degli interessati è espressa nella norma in forma non particolarmente chiara, ma fortunatamente il Garante ha “tradotto” in forma intellegibile tali diritti, elencandoli nello specifico modulo disponibile sul proprio sito:
Tali diritti comprendono:
- l’accesso ai dati (conferma di esistenza o e/o comunicazione degli stessi in forma intellegibile)
- la conoscenza di alcune notizie sul trattamento (quelle previste nella informativa privacy redatta ai sensi dell’articolo 13)
- l’ intervento sui dati di aggiornamento, rettificazione, integrazione
- l’ intervento sui dati in caso di violazione di legge ( cancellazione, trasformazione in forma anonima, blocco)
- l’ opposizione al trattamento, sia per motivi legittimi, sia per finalità per fini pubblicitari
- l’ attestazione che un intervento richiesto sui dati sia stato portato a conoscenza, anche per quanto riguarda il suo contenuto, di coloro ai quali i dati sono stati comunicati o diffusi.
I diritti degli interessati sono quindi particolarmente ampi.
Alcune formulazioni sono di per sé stesse chiare, quali ad esempio il diritto di opposizione al trattamento per fini pubblicitari.
Più soggettiva è la definizione di quali possano essere i motivi legittimi per i quali ci si possa opporre ad un trattamento; al riguardo è utile riferirsi anche alle pronunce che il Garante ha emesso nel corso degli ultimi anni.
Le possibili violazioni di legge comprendono, ad esempio, un trattamento senza il rilascio di una adeguata informativa o senza una espressione del consenso.
Al riguardo è importante ricordare che tali eventualità non necessariamente riguardano una mancanza totale di informativa e di consenso, quanto più semplicemente un singolo trattamento.
Al riguardo il modulo del Garante aiuta ad individuare specificatamente: i dati personali, le categorie di dati o il trattamento cui si fa riferimento.
E’ utile ricordare che, in base a quanto indicato nel primo comma degli articoli 8 e 9 del Dlgs 196/03 l’esercizio dei diritti può essere esercitato senza formalità e per quanto attiene la richiesta di informazioni o l’accesso ai dati, la richiesta dell’interessato può avvenire anche oralmente.
Il Titolare deve quindi essere adeguatamente preparato per essere in grado di rispondere alle richieste di esercizio dei diritti, deve disporre di appropriate procedure e deve avere adeguatamente formato il proprio personale.
Non va inoltre dimenticato che le attività messe in atto per rispondere alle richieste di un interessato comportano esse stesse un trattamento di dati personali.
Paradossalmente, nel caso di richiesta da parte di un interessato in precedenza sconosciuto ad un Titolare, è proprio tale richiesta che attiva un trattamento.