Se tutto si svolgerà come previsto, il prossimo 19 dicembre, il Garante Privacy emanerà, sottoponendoli a consultazione pubblica per 60 giorni, alcuni importanti provvedimenti in materia di misure di sicurezza nel trattamento delle categorie particolari di dati personali oltre che di efficacia delle previgenti autorizzazioni generali al trattamento.
I provvedimenti appena ricordati, con impatti rilevanti anche in materia di completamento delle norme incriminatrici di nuova introduzione, vanno a completare la prima fase del coordinamento del diritto nazionale con le previsioni del GDPR.
La disciplina dei diritti dell’interessato dal trattamento dei dati è ora principalmente contenuta nel Regolamento, che attribuisce agli Stati membri di limitare, sussistenti determinate circostanze, l’esercizio dei diritti stessi.
A tal fine, provvede il nuovo Codice Privacy, che limita l’esercizio dei diritti dell’interessato quando dall’esercizio di tali diritti possa derivare un pregiudizio effettivo e concreto ad alcuni specifici interessi o alla salvaguardia e l’indipendenza della magistratura.
Il Capo III del GDPR, in particolare, dedicato ai diritti dell’interessato, si articola in cinque sezioni volte a disciplinare: la trasparenza e le relative modalità di esercizio; l’informazione e l’accesso ai dati personali, con particolare riferimento alle informazioni da fornire qualora i dati personali siano raccolti presso l’interessato; i diritti inerenti la rettifica e la cancellazione; il diritto di opposizione ed il processo decisionale automatizzato relativo alle persone fisiche; le limitazioni.
In relazione a quanto da ultimo, vale la pena segnalare che l’interessato non potrà esercitare, con richiesta al titolare o al responsabile del trattamento o con reclamo, i diritti sanciti dal Regolamento, qualora dal loro esercizio possa derivare un pregiudizio effettivo e concreto: agli interessi tutelati in base alle disposizioni vigenti in materia di riciclaggio o di sostegno alle vittime di richieste estorsive; all’attività di Commissioni parlamentari d’inchiesta; alle attività svolte da un soggetto pubblico, diverso dagli enti pubblici economici, in base ad espressa disposizione di legge, per esclusive finalità inerenti alla politica monetaria e valutaria, al sistema dei pagamenti, al controllo degli intermediari e dei mercati creditizi e finanziari, nonché alla tutela della loro stabilità; allo svolgimento delle investigazioni difensive o all’esercizio di un diritto in sede giudiziaria.
Fra le modifiche più significative introdotte dal Regolamento si segnala l’espressa previsione, sia del diritto all’oblio (ovvero alla cancellazione definitiva dei dati trattati e conservati dal titolare del trattamento), sia del diritto alla portabilità degli stessi.
– Il diritto all’oblio è definito come il diritto a ottenere la cancellazione dei propri dati personali in presenza di circostanze di varia natura e l’art. 17 del regolamento stabilisce che “l’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali”.
Tra le circostanze, analiticamente individuate dalla norma richiamata, che costituiscono il presupposto del diritto all’oblio si ritrovano fattispecie di natura oggettiva e soggettiva: fra le prime, possono essere considerate quella in cui i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti, quella in cui i dati personali sono stati trattati illecitamente e quella in cui i dati personali devono essere cancellati per adempiere un obbligo legale; fra le seconde, quella in cui l’interessato revoca il consenso su cui si basa il trattamento e non sussiste altro fondamento giuridico per il trattamento, nonché quella in cui l’interessato si oppone al trattamento (diritto di opposizione).
– Il merito al diritto alla portabilità dei dati, l’art. 20, che costituisce in capo al soggetto interessato, il diritto di ricevere dal titolare i propri dati personali, allo stesso forniti, in un formato strutturato, di uso comune, leggibile da dispositivo automatico e interoperabile al fine di memorizzarli su un dispositivo proprio ed eventualmente trasferirli a un altro titolare, non si applica ai trattamenti non automatizzati (quindi non si applica agli archivi o registri cartacei).
Sono, inoltre, previste specifiche condizioni per il suo esercizio; in particolare, sono portabili solo i dati trattati con il consenso dell’interessato o sulla base di un contratto stipulato con l’interessato (quindi non si applica ai dati il cui trattamento si fonda sull’interesse pubblico o sull’interesse legittimo del titolare), e solo i dati che siano stati “forniti” dall’interessato al titolare. Inoltre, il titolare deve essere in grado di trasferire direttamente i dati portabili a un altro titolare indicato dall’interessato, se tecnicamente possibile.
L’azionabilità, alternativa, dei diritti di cui sopra, innanzi alle Autorità competenti è disciplinata dalle disposizioni dell’art. 140 bis del vigente Codice Privacy che specifica, al primo comma che, qualora ritenga che i diritti di cui gode sulla base della normativa in materia di protezione dei dati personali siano stati violati, l’interessato può proporre reclamo al Garante o ricorso dinanzi all’autorità giudiziaria ed al secondo comma che, il reclamo al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l’autorità giudiziaria.
Per quanto riguarda l’esercizio dei diritti in materia di protezione dei dati personali innanzi al Garante, la novella continua a prevedere l’istituto della segnalazione e modifica, in modo molto significativo, ampliandone la portata, la disciplina del reclamo, che sostituisce quella non più vigente, per abrogazione, del ricorso, divenendo, dunque, l’unica forma di tutela diretta che l’interessato può chiedere all’autorità di controllo.
Le norme richiamate, inoltre, pongono dei termini, per altro derogabili a discrezione dell’Autorità, per la decisione del reclamo da parte del Garante che, ancor prima di decidere sul reclamo, può intervenire con una ampia serie di poteri correttivi, la cui violazione autorizza la proposizione del ricorso davanti all’autorità giudiziaria.
Quanto, infine, alla tutela giurisdizionale, in riferimento alla quale continuano ad applicarsi le norme in materia di competenza del tribunale, essa può essere attivata nei confronti dell’autorità di controllo, in relazione ad una decisione giuridicamente vincolante o contro il mancato esame del reclamo, nei confronti del titolare e/o del responsabile del trattamento per violazione della normativa sulla tutela dei dati personali ovvero per la richiesta di risarcimento del danno.
Avv. Giuseppe Serafini
