Il diritto di accesso: le novità introdotte dal regolamento UE 679/2016 (GDPR)

accesso dati

Tra i diritti contemplati dal Regolamento UE 679/2016 (GDPR), il diritto di accesso ex art. 15 del Regolamento, riveste senza dubbio una rilevanza fondamentale.

Tale diritto è, in aggiunta, preso in considerazione dai Considerando 63 e 64 secondo i quali l’interessato ha il diritto di poter accedere ai dati personali raccolti, che lo riguardano, facilmente e ad intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità. Inoltre, il titolare del trattamento dovrebbe fornire all’interessato l’opportunità di poter accedere ai propri dati personali direttamente, senza violare ulteriori diritti e libertà altrui, con l’obbligo di adottare tutte le misure idonee a verificare l’identità di un interessato che eserciti il diritto di accesso (in particolare se il diritto in parola viene esercitato in un contesto online).

Ai sensi della citata disposizione, l’interessato ha il diritto di ottenere risposta, da parte del titolare, sulla presenza o meno di dati che lo riguardano, nell’ambito del trattamento dei propri dati.

Esattamente come era concesso sotto la vigenza del D.Lgs. n. 196/2003 “codice privacy”, l’interessato può interpellare il Titolare del trattamento e nello specifico ottenere l’accesso ai dati personali e una serie di informazioni riguardanti:

a) le finalità del trattamento;

b) le categorie di dati personali in questione;

c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati

d) il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e) la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei propri dati personali o di opporsi al loro trattamento;

f) il diritto di proporre reclamo a un’autorità di controllo;

L’interessato, inoltre, può invocare l’art 15 GDPR per conoscere tutte le informazioni disponibili sull’origine dei dati, qualora non siano raccolti presso l’interessato oppure se è o è stato posto in essere un processo decisionale automatizzato, compresa la profilazione ex art. 22, paragrafi 1 e 4 GDRP, e reperire informazioni sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

Compito del Titolare del trattamento è quello di coadiuvare l’interessato nell’esercizio di tale diritto applicando misure di sicurezza, sia tecniche sia di tipo organizzativo che possano agevolare il reperimento e la comunicazione di tali informazioni a favore del soggetto richiedente.

In generale, non si dimentichi, sul punto, che anche il Responsabile del trattamento è tenuto a collaborare con il titolare nel riscontrare l’esercizio dei diritti ex artt. 15-22 GDPR; il loro esercizio è per definizione gratuito.

 

COSA CAMBIA CON IL GDPR?

La prima differenza rispetto alla normativa del nostro codice privacy ante GDPR riguarda l’obbligo, per il titolare, di comunicare, quando possibile, anche i tempi di conservazione dei dati personali.

Non solo; anche l’informare il soggetto interessato di poter proporre un eventuale reclamo all’Autorità Garante costituisce un’ulteriore novità.

Tra le informazioni oggetto del diritto in esame, compare al par. 1, lett. h) quella riguardante un eventuale processo decisionale automatizzato (ossia un meccanismo che assume decisioni in maniera automatica mediante un algoritmo, in assenza dell’intermediazione umana) in cui possa incorrere il soggetto interessato.

Tra i processi di tal genere si annovera a titolo di esempio la cd. profilazione, la quale comporta, sulla base di un processo di tal genere, valutazioni relative alla sfera professionale, personale, comportamentale, economica, allo stato di salute o alle propensioni personali proprie di un determinato soggetto.

Con riferimento alle modalità di esercizio del diritto di accesso, Il GDPR non prescrive particolari mezzi o strumenti di legittimità da utilizzare da parte dell’interessato.

Ha rilievo in ogni caso la mole di dati che il titolare del trattamento pone come oggetto della sua attività, e quindi la complessità delle informazioni richieste nonché i motivi per cui vengono sottoposti a trattamento. A titolo esemplificativo, una richiesta di accesso effettuata a mezzo email equivale a quella inviata in formato cartaceo; lo stesso in caso il diritto sia fatto valere mediante  social network o modelli precompilati, eventualmente inseriti all’interno di pagine web (contenenti tutte le informazioni prescritte da parte dei considerando 63, 64, e dell’art. 15 del GDPR).

Inoltre, possono essere previste ulteriori richieste di verifica, a tutela dell’interessato, in relazione alla titolarità del diritto d’accesso, come la presentazione di documenti che attestino la non violazione di diritti altrui (si veda nel proseguo il riferimento al par. 4, art. 15 del GDPR).

Ecco perchè il titolare può prevedere diversi canali di comunicazione per facilitare, appunto, l’esercizio del diritto d’accesso da parte dell’interessato ma, si badi bene, l’interessato, nel rispetto dei diritti altrui non è assolutamente vincolato all’utilizzo di particolari modelli di richiesta, anche se predisposti dal titolare.

Come per ogni altro diritto, l’interessato ha diritto di ottenere esplicita risposta entro 30 giorni o massimo entro 3 mesi in casi di particolare complessità come previsto espressamente dall’art. 12 GDRP.

Nell’ambito della richiesta di poter accedere ai propri dati, spetta al titolare valutare la complessità nel dare riscontro all’interessato potendo, diversamente dall’anzidetto principio generale di gratuità nell’esercitare i diritti previsti dal Regolamento UE, stabilire l’ammontare dell’eventuale contributo da chiedere allo stesso, qualora si trovi a gestire richieste manifestatamente infondate o eccessive.

Una novità contenuta nel GDPR, rispetto a quella prevista dal vecchio codice privacy è proprio la possibilità per il Titolare di prevedere l’addebitamento, nei confronti dell’interessato, di spese amministrative scaturenti dalla produzione di più copie dei dati richiesti.

La risposta fornita all’interessato non deve essere intellegibile, concisa, trasparente e facilmente accessibile, nonché redatta in un linguaggio semplice e chiaro.

 

ESISTONO LIMITI ALL’ESERCIZIO DEI DIRITTI PREVISTI DAL REGOLAMENTO (GDPR)?

La risposta positiva deriva dalla presenza di disposizioni normative nazionali, ex art. 23 GDPR, nonché in relazione ad ambiti specificatamente previsti quali quelli ex art. 17, paragrafo 3, per quanto riguarda il diritto all’oblio, nonché ex art. 83 in caso di trattamenti di natura giornalistica o ancora ex art. 89 che disciplina trattamenti di dati per finalità di ricerca scientifica o storica o di statistica.

Con l’entrata in vigore del D.Lgs. 101/2018, ai sensi dell’art. 2-undecies, del novellato Codice Privacy, sono inoltre previste specifiche ipotesi di limitazione nell’esercizio dei diritti, da parte dell’interessato.

Sempre il D.Lgs. 101/2018 ha abrogato l’art. 9, del previgente Codice Privacy, concernente le modalità di esercizio dei diritti dell’interessato, rinviandosi a tal fine alla generale disciplina prevista dal GDPR.

Il paragrafo 4 dell’art. 15 del GDPR stabilisce che l’interessato ha il diritto di “ottenere copia dei dati personali oggetto del trattamento e quindi delle relative informazioni purché non si ledano i diritti e le libertà altrui“.

Pertanto, la valutazione di eventuali limiti per valutare la legittimità della richiesta d’accesso e se questa possa essere accolta o meno potrebbe dipendere dalla natura dati personali di cui si richiede l’accesso (ad es. dati di natura giudiziaria o dati riguardanti soggetti terzi).

Ed invero, qualora i dati richiesti contengano anche riferimenti a soggetti terzi rispetto all’interessato, il titolare dovrà valutare se la comunicazione degli stessi potrebbe ledere i diritti di libertà dei soggetti terzi.

In caso il Titolare ritenga possibile una simile ipotesi, dovrà adottare ogni misura più idonea a scongiurare il rischio di una simile lesione (es. oscurando i dati relativi a terzi).

Infine, nell’ambito dell’esercizio dei diritti previsti dagli artt. da 15 a 22 del GDPR, è opportuno evidenziare che sempre l’art. 2-undecies del novellato  Codice Privacy, prevede una serie di limitazioni, applicabili ai diritti dell’interessato in materia di: antiriciclaggio, sostegno delle vittime di atti estorsivi, attività delle commissioni parlamentari d’inchiesta, politica monetaria e valutaria o controllo dei mercati creditizi e finanziari, esercizio di diritti in sede giudiziaria per ragioni di giustizia, tutela della riservatezza dell’identità del dipendente che dovesse segnalare un illecito (c.d. whistleblowing).

GRAZIE PER LA TUA RICHIESTA.

Contattaci tramite email, telefono
o compila il form così da capire come aiutarti al meglio.