Gli articoli da 15 a 22 del GDPR elencano i diritti che ogni interessato può esercitare nei confronti di chi tratta i suoi dati personali. Sono diritti azionabili direttamente, senza dover passare prima dal Garante: l'interessato si rivolge al titolare, che ha un termine preciso per rispondere. Contenuto informativo: la gestione delle richieste degli interessati richiede sempre procedure interne definite con l'assistenza di un DPO o di un legale specializzato.
Conoscere questi diritti serve sia a chi li vuole esercitare sia alle aziende che devono predisporre processi interni per gestirli correttamente: una risposta tardiva o incompleta è di per sé una violazione, indipendentemente dal merito della richiesta.
I diritti principali: accesso, rettifica, cancellazione
Il diritto di accesso (art. 15) permette all'interessato di ottenere conferma che i suoi dati sono trattati, e di ricevere una copia dei dati insieme a informazioni su finalità, categorie di dati, destinatari e periodo di conservazione. Il diritto di rettifica (art. 16) consente di correggere dati inesatti o incompleti. Il diritto alla cancellazione, o diritto all'oblio (art. 17), permette di chiedere la rimozione dei dati quando non sono più necessari per le finalità per cui erano stati raccolti, quando il consenso viene revocato senza altra base giuridica, o quando il trattamento risulta illecito.
Nessuno di questi diritti è assoluto: la cancellazione, ad esempio, cede davanti a obblighi legali di conservazione (i dati contabili devono essere conservati per legge per un certo numero di anni, indipendentemente dalla richiesta dell'interessato) o all'esercizio del diritto di difesa in giudizio.
Limitazione, opposizione e portabilità
Il diritto di limitazione (art. 18) permette di "congelare" temporaneamente un trattamento, senza cancellare i dati, ad esempio mentre si verifica l'esattezza di un dato contestato. Il diritto di opposizione (art. 21) consente di opporsi al trattamento basato su interesse legittimo o per finalità di marketing diretto: in questo secondo caso l'opposizione è incondizionata, e il titolare deve interrompere il trattamento per quella finalità non appena riceve la richiesta, senza poter valutare alcuna giustificazione.
Il diritto alla portabilità (art. 20) permette di ricevere i propri dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico (tipicamente CSV o JSON), e di trasmetterli a un altro titolare. Si applica solo ai dati forniti direttamente dall'interessato, trattati con il consenso o in base a un contratto, e trattati con mezzi automatizzati: non si applica quindi, ad esempio, a dati derivati o dedotti dal titolare attraverso analisi proprie.
Il diritto a non essere sottoposti a decisioni automatizzate
L'art. 22 GDPR riconosce il diritto di non essere sottoposti a una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici sulla persona o che la incida significativamente, salvo che sia necessaria per un contratto, autorizzata dalla legge con misure di tutela adeguate, o basata sul consenso esplicito. Anche in questi casi residui, l'interessato ha diritto a ottenere l'intervento umano, a esprimere la propria opinione e a contestare la decisione.
I tempi di risposta e il rifiuto motivato
Il titolare deve rispondere senza ritardo e in ogni caso entro un mese dal ricevimento della richiesta, prorogabile di altri due mesi in caso di particolare complessità o di numero elevato di richieste, a condizione di informare l'interessato della proroga, e dei relativi motivi, entro il primo mese. Il titolare può rifiutare una richiesta solo in casi specifici, ad esempio se è manifestamente infondata o eccessiva (anche per il suo carattere ripetitivo), e il rifiuto deve essere motivato e comunicato nei termini previsti, con l'indicazione del diritto di reclamo al Garante e di ricorso giurisdizionale.
Domande frequenti
- Quanto tempo ha il titolare per rispondere a una richiesta?
Un mese dal ricevimento, prorogabile di altri due mesi in caso di particolare complessità, a condizione che il titolare informi l'interessato della proroga entro il primo mese.
- Cosa comprende il diritto all'oblio?
Permette di chiedere la cancellazione dei dati quando non sono più necessari, quando il consenso viene revocato, o quando il trattamento è illecito. Non è assoluto: cede davanti a obblighi legali di conservazione.
- Come funziona il diritto alla portabilità?
Permette di ricevere i propri dati in formato strutturato e leggibile da dispositivo automatico, e di trasmetterli ad altro titolare. Si applica solo ai dati forniti dall'interessato, trattati con consenso o contratto, in modo automatizzato.
- Il titolare può sempre rifiutare una richiesta?
No, solo in casi specifici: richieste manifestamente infondate o eccessive, oppure quando prevale un'eccezione di legge. Il rifiuto deve essere motivato e comunicato entro il termine previsto.