Siamo tutti interessati al trattamento dati. Ma quali diritti abbiamo in tal senso? Vediamo i più importanti: accesso, modifica e cancellazione.
Il noto filosofo Herbert Spencer fu cresciuto senza convinzioni dogmatiche definite ricevendo dal padre un forte sentimento di opposizione a tutte le forme di autoritarismo. L’atteggiamento antidogmatico e antiaccademico sarà una costante della sua vita e tra le sue frasi spicca quella secondo cui “Se è un dovere rispettare i diritti degli altri, è anche un dovere far rispettare i propri”.
Ecco: questo aspetto è cruciale nel far valere i propri diritti quando si è interessati dei dati personali. Nella società digitale, ogni giorno lasciamo tracce delle nostre informazioni: quando utilizziamo social network, acquistiamo online, ci registriamo a un servizio o semplicemente navighiamo su un sito web.
Ed è proprio in questo contesto che la normativa europea ha introdotto strumenti giuridici molto importanti per garantire il controllo dei cittadini sui propri dati. Il principale riferimento normativo è il Regolamento generale sulla protezione dei dati (GDPR), adottato dall’Unione Europea nel 2016 ed entrato pienamente in vigore nel 2018.
Tra i diritti più rilevanti riconosciuti agli interessati vi sono il diritto di accesso, il diritto di rettifica (o modifica) e il diritto alla cancellazione dei dati personali, spesso chiamato anche “diritto all’oblio”. Questi strumenti consentono ai cittadini di conoscere quali informazioni vengono raccolte su di loro, di correggerle se inesatte e, in determinati casi, di chiederne l’eliminazione. Tuttavia, non sempre gli utenti sono consapevoli delle modalità con cui questi diritti possono essere concretamente esercitati. Vediamolo insieme.
Il diritto di accesso
Il diritto di accesso rappresenta il punto di partenza per il controllo dei propri dati personali. L’articolo 15 del GDPR stabilisce che ogni persona ha il diritto di ottenere dal titolare del trattamento la conferma dell’esistenza o meno di dati personali che la riguardano. Qualora tali dati siano trattati, l’interessato può chiedere di ricevere informazioni su diversi aspetti: le finalità del trattamento, le categorie di dati trattati, i destinatari a cui i dati possono essere comunicati, il periodo di conservazione e l’esistenza di eventuali processi decisionali automatizzati.
Questo diritto è fondamentale perché permette all’utente di comprendere in modo trasparente come vengono utilizzate le proprie informazioni. Nella pratica, la richiesta di accesso può essere inviata tramite email, modulo online o raccomandata al titolare del trattamento. Non è necessario utilizzare formule particolarmente complesse: è sufficiente indicare chiaramente la volontà di esercitare il diritto previsto dal GDPR. Il titolare del trattamento ha generalmente trenta giorni per rispondere alla richiesta, salvo casi particolarmente complessi in cui il termine può essere prorogato.
Il diritto di rettifica
Accanto al diritto di accesso troviamo il diritto di rettifica, disciplinato dall’articolo 16 del GDPR. Questo diritto consente all’interessato di ottenere la correzione dei dati personali inesatti o l’integrazione di quelli incompleti. In un contesto digitale in cui molte decisioni possono essere basate su dati automatizzati, l’accuratezza delle informazioni assume un’importanza decisiva. Un dato errato potrebbe infatti influire su valutazioni economiche, contrattuali o amministrative.
La rettifica può essere richiesta quando, ad esempio, un indirizzo è stato registrato in modo sbagliato, quando un numero di telefono non è più aggiornato oppure quando alcune informazioni risultano incomplete. Anche in questo caso, il titolare del trattamento è tenuto a intervenire senza ritardo e a comunicare l’avvenuta correzione. Inoltre, se i dati sono stati condivisi con altri soggetti, il titolare dovrebbe informare anche questi ultimi della modifica, affinché i dati inesatti non continuino a circolare.
Diritto alla cancellazione
Il terzo diritto fondamentale è quello alla cancellazione dei dati personali, previsto dall’articolo 17 del GDPR e comunemente definito “diritto all’oblio”. Questo diritto permette all’interessato di ottenere la cancellazione dei propri dati quando non sono più necessari rispetto alle finalità per cui sono stati raccolti, quando il consenso è stato revocato oppure quando il trattamento è avvenuto in modo illecito.
Il diritto all’oblio ha assunto particolare rilevanza nel contesto di Internet e dei motori di ricerca. Uno dei casi più noti in materia è quello deciso dalla Corte di giustizia dell’Unione europea nel procedimento Google Spain SL e Google Inc. contro Agencia Española de Protección de Datos e Mario Costeja González del 2014. In quella decisione, la Corte ha riconosciuto che gli utenti possono chiedere ai motori di ricerca la rimozione di determinati risultati associati al proprio nome, quando le informazioni risultano non più pertinenti o eccessive rispetto alle finalità per cui erano state pubblicate.
Questa sentenza ha avuto un impatto enorme sul diritto alla privacy in Europa, perché ha affermato che anche i motori di ricerca svolgono un ruolo attivo nel trattamento dei dati personali e sono quindi tenuti a rispettare le norme sulla protezione dei dati.
all’oblio nel caso dei motori di ricerca, ai sensi del RGPD
Fonte: European Data Protection Board
Controllo sui diritti degli interessati
In Italia, l’autorità competente a vigilare sull’applicazione della normativa è il Garante per la protezione dei dati personali. L’Autorità interviene sia attraverso provvedimenti sanzionatori sia tramite linee guida e pareri interpretativi che chiariscono come devono essere applicate le regole del GDPR.
Il Garante ha più volte sottolineato che i diritti degli interessati devono essere esercitati in modo semplice e accessibile. In diversi provvedimenti l’Autorità ha ricordato che le aziende non possono creare ostacoli ingiustificati all’esercizio di tali diritti, ad esempio imponendo procedure eccessivamente complesse o richiedendo informazioni non necessarie.
Secondo l’Autorità, il principio di trasparenza implica che gli utenti debbano poter contattare facilmente il titolare del trattamento e ricevere risposte chiare e comprensibili.
Un esempio significativo riguarda alcuni provvedimenti in cui il Garante ha sanzionato società che non avevano risposto alle richieste di accesso degli utenti oppure che avevano fornito risposte incomplete. In questi casi l’Autorità ha ribadito che il diritto di accesso rappresenta uno strumento essenziale per garantire il controllo sui propri dati e che il mancato riscontro alle richieste degli interessati costituisce una violazione della normativa europea.
Dal punto di vista pratico, per esercitare i propri diritti è sufficiente inviare una richiesta al titolare del trattamento indicando chiaramente quale diritto si intende esercitare. Non è necessario rivolgersi immediatamente a un avvocato o utilizzare formule giuridiche particolarmente complesse. Molte aziende mettono a disposizione moduli specifici oppure indirizzi email dedicati alla gestione delle richieste relative ai dati personali.
Se il titolare del trattamento non risponde entro i termini previsti oppure se la risposta viene considerata insoddisfacente, l’interessato può presentare un reclamo al Garante della privacy. L’Autorità ha il potere di avviare istruttorie, ordinare la cancellazione o la modifica dei dati e, nei casi più gravi, applicare sanzioni amministrative anche molto elevate. Il termine per la risposta all´interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibili fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all´interessato entro 1 mese dalla richiesta, anche in caso di diniego.
Fonte : Garante della Protezione dei Dati Personali
Spetta al titolare valutare la complessità del riscontro all´interessato e stabilire l´ammontare dell´eventuale contributo da chiedere all´interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art. 12.5), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice, ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3); in quest´ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all´interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l´accessibilità; può essere dato oralmente solo se così richiede l´interessato stesso (art. 12, paragrafo 1; si veda anche art. 15, paragrafo 3).
La risposta fornita all´interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
In un’epoca in cui i dati personali costituiscono una risorsa economica di enorme valore, il diritto di accedere alle proprie informazioni, correggerle e chiederne la cancellazione rappresenta uno dei pilastri della tutela della persona. L’evoluzione della giurisprudenza europea e nazionale, insieme all’attività del Garante per la protezione dei dati personali, dimostra come la protezione dei dati sia ormai diventata una componente essenziale dei diritti fondamentali nella società digitale.
© RIPRODUZIONE RISERVATA
