Quando si parla di diritti in ambito privacy, non può non menzionarsi la grande rivoluzione portata dall’avvento dal Regolamento 679/16 – GDPR, in quanto lo stesso ha portato non solo la miglior definizione di alcuni diritti già esistenti sotto la vigenza del vecchio codice privacy ma ha anche introdotto nuovi diritti, primo far tutti quello della portabilità, o dato regime prescrittivo ad alcuni diritti per il soggetto interessato affermati, prima del GDPR, solo a livello giurisprudenziale, come il famoso diritto all’oblio.
Gli artt. 11 e 12 del GDPR aprono a questo argomento definendo le modalità e la tempistica per l’esercizio in concreto di tali diritti.
Tutti i diritti accordati dalla Legge sono esercitabili sempre gratuitamente presso il Referente Data Protection designato dal Titolare previo invio della relativa richiesta.
Il riscontro alle richieste degli Interessati avviene nel termine di 30 giorni dal ricevimento dell’istanza dell’interessato ritualmente presentata oppure nel termine superiore pari a 90 giorni dandone previa comunicazione all’interessato nel caso in cui per garantire un integrale riscontro occorra realizzare operazioni di particolare complessità oppure al ricorrere di altro giustificato motivo.
Spetta al titolare valutare la complessità del riscontro all´interessato e stabilire l´ammontare dell´eventuale contributo da chiedere all´interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive)(art. 12.5), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice, ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3); in quest´ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all’interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l´accessibilità; può essere dato oralmente solo se così richiede l´interessato stesso (art. 12, paragrafo 1; si veda anche art. 15, paragrafo 3).
I diritti esercitabili dall’interessato, disciplinati dagli artt. 15 – 22 GDPR, sono i seguenti:
1) diritto di ottenere informazioni su quali dati sono trattati dal titolare (diritto di informazione);
2) diritto di chiedere ed ottenere in forma intellegibile i dati in possesso del titolare (diritto di accesso);
3) diritto di ottenere l’aggiornamento o la rettifica dei dati conferiti;
4) diritto di ottenere la cancellazione dei dati in possesso del titolare (oblio);
5) esercitare l’opposizione al trattamento in tutto o in parte (diritto di opposizione);
6) diritto di revocare il consenso in qualsiasi momento;
7) diritto di opporsi ai trattamenti automatizzati e a non essere assoggettati a trattamenti basati esclusivamente su decisioni automatizzate compreso la profilazione;
8) diritto di chiedere ed ottenere trasformazione in forma anonima dei dati;
9) diritto di chiedere ed ottenere il blocco o la limitazione dei dati trattati in violazione di legge e quelli dei quali non è più necessaria la conservazione in relazione agli scopi del trattamento;
10) diritto alla portabilità dei dati.
L’interessato deve ricevere una risposta “intelligibile”, concisa, trasparente e facilmente accessibile e il Titolare inoltre deve utilizzare un linguaggio semplice e chiaro e adottare ogni misura (tecnica e organizzativa) per facilitare il riscontro di tali diritti.
E´ opportuno infatti che i Titolari di trattamento adottino le misure tecniche e organizzative eventualmente necessarie per favorire l´esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che – a differenza di quanto attualmente previsto – dovrà avere per impostazione predefinita forma scritta (anche elettronica).
Se il primo ad attivarsi nel dare riscontro all’interessato è il Titolare del trattamento, anche il Responsabile è tenuto a collaborare con il titolare ai fini dell´esercizio dei diritti degli interessati (art. 28, paragrafo 3, lettera e) .
Sono ammesse deroghe ai diritti riconosciuti dal regolamento, ma solo sul fondamento di disposizioni normative nazionali, ai sensi dell’articolo 23 nonché di altri articoli relativi ad ambiti specifici (si vedano, in particolare, art. 17, paragrafo 3, per quanto riguarda il diritto alla cancellazione/”oblio”, art. 83 – trattamenti di natura giornalistica e art. 89 – trattamenti per finalità di ricerca scientifica o storica o di statistica).
E’ bene inoltre evidenziare che l’interessato può esercitare i suoi diritti anche in un momento successivo a quello in cui ha prestato il consenso, potendo così revocare un consenso già prestato.