Dal Garante Privacy un aiuto pratico per comprendere l'esercizio del diritto di accesso ai propri dati personali

Il Garante privacy è uscito con una veloce, chiara e pratica scheda informativa relativa al "Diritto di accesso dell'interessato". L'iniziativa fa parte di un più ampio progetto dell'Autorità garante, che punta ad offrire strumenti per comprendere facilmente quali diritti sono riconosciuti alle persone in materia di protezione dei dati personali, illustrando con un linguaggio semplice e chiaro le modalità per un concreto esercizio di tali diritti.

Ai sensi dell'art. 15, GDPR (General Data Protection Regolation - Regolamento sulla protezione dei dati dell'Unione Europea 2016/679), l'interessato può esercitare il cd. "diritto di accesso", vale a dire la facoltà di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in caso positivo, può averne l'accesso e riceverne copia.

Con il Gdpr l'interessato ha diritto di accedere a tutti i suoi dati personali

In particolare, il titolare del trattamento è tenuto a fornire una copia dei dati personali oggetto di trattamento, in modo gratuito relativamente ad una copia; nel caso di ulteriori copie richieste dall'interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi.

Sempre con riguardo alle copie dei dati, occorre sottolineare che l'interessato ha diritto di ricevere in ogni caso una copia dei dati personali oggetto del trattamento, salvo che tale diritto non leda diritti o libertà altrui.

A questo proposito, il Considerando n. 63, Regolamento Ue, specifica che la possibile lesione di diritti o di libertà altrui comprende sia il segreto industriale e aziendale e la proprietà intellettuale, segnatamente i diritti d'autore che tutelano il software. Tuttavia, il Legislatore europeo, sottolinea che tali considerazioni non dovrebbero condurre a un diniego a fornire all'interessato tutte le informazioni.

Sotto il profilo, invece, della modalità del rilascio della copia, l'art. 15, par. 3, Regolamento Ue prevede che le informazioni sono fornite in un formato elettronico di uso comune se l'interessato presenta la richiesta di accesso ai dati mediante mezzi elettronici, salvo indicazione diversa dell'interessato.

In generale, in virtù dell'art. 12, par. 1, Regolamento Ue, le informative (ex artt. 13 e 14) e le comunicazioni (tra le quali rientrano i riscontri al diritto di accesso) all'interessato devono essere date in forma scritta (oralmente solo se richiesto dall'interessato), in forma concisa, trasparente, intellegibile e con un linguaggio semplice e chiaro.

Inoltre, in base all'art. 15, Regolamento Ue, dedicato specificatamente al diritto di accesso, l'interessato ha accesso anche alle informazioni che riguardano:

- le finalità del trattamento;
- le categorie di dati personali in questione;
- i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di Paesi terzi o organizzazioni internazionali;
- quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
- l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
- il diritto di proporre reclamo a un'autorità di controllo;
- qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;
- l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'art. 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

Qualora i dati personali siano trasferiti a un Paese terzo o a un'organizzazione internazionale, l'interessato ha il diritto di essere informato dell'esistenza di garanzie adeguate ai sensi dell'art. 46, relative al trasferimento.

Dal punto di vista temporale, il termine per la risposta all'interessato è di un mese dalla richiesta, estensibile fino a tre mesi in casi di particolare complessità. Il titolare devo comunque dare un riscontro all'interessato anche in caso di diniego, entro un mese dalla richiesta (art. 12, par. 3, Regolamento Ue).

Se il titolare del trattamento tratta una notevole quantità d'informazioni riguardanti l'interessato, il titolare in questione dovrebbe poter richiedere, prima che siano fornite le informazioni, che l'interessato precisi, i dati o le attività di trattamento cui la richiesta si riferisce (Considerando n. 63, Regolamento Ue).

Il titolare del trattamento dovrebbe adottare tutte le misure ragionevoli per verificare l'identità di un interessato che chieda l'accesso, in particolare nel contesto di servizi online e di identificativi online. Il titolare del trattamento non dovrebbe conservare dati personali al solo scopo di poter rispondere a potenziali richieste (Considerando n. 64, Regolamento Ue).

Tuttavia, l'art. 12, par. 5, Regolamento Ue prevede che nel caso in cui le richieste dell'interessato siano manifestamente infondate o eccessive (ripetitive), il titolare del trattamento possa rifiutare di soddisfare la richiesta oppure possa, come detto sopra nel caso di richiesta nell'ambito del diritto d'accesso delle ulteriori copie di dati personali rispetto alla prima, addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi. L'onere della prova della dimostrazione del carattere manifestamente infondato o eccessivo della richiesta è in capo al titolare del trattamento.

Fonte: Il Sole 24 Ore

Note Autore

FederPrivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected]