Il diritto alla protezione dei dati personali è un fondamentale diritto individuale sancito dalla Carta dei diritti fondamentali dell'Unione europea (art. 8) e tutelato principalmente dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, noto come GDPR. Tale diritto è sostenuto da varie normative nazionali e internazionali, compreso il Codice in materia di protezione dei dati personali.
Portata del Regolamento (UE) 2016/679
Il Regolamento (UE) 2016/679 stabilisce le regole per il trattamento dei dati personali, indipendentemente dalla loro localizzazione geografica o dal soggetto coinvolto nel trattamento. Si applica a tutte le attività di trattamento che coinvolgono individui all'interno dell'Unione europea o che influenzano le persone all'interno dell'UE.
Ampliamento dei Diritti dell'Interessato
Il GDPR ha esteso i diritti riconosciuti all'interessato riguardo ai dati che lo riguardano, rendendoli più incisivi in un contesto sempre più influenzato dalle nuove tecnologie e dall'uso della rete.
Diritti dell'Interessato
Diritto di Accedere ai Propri Dati Personali
L'interessato ha il diritto di richiedere al titolare del trattamento informazioni riguardo al trattamento dei propri dati personali, inclusi dettagli sulle finalità, sulle categorie di dati, sui destinatari e sulla durata del trattamento.
Esercizio dei Diritti: Rettifica, Cancellazione, Limitazione del Trattamento, Portabilità dei Dati Personali
Il GDPR amplia i diritti dell'interessato consentendogli di richiedere la rettifica, la cancellazione, la limitazione del trattamento e la portabilità dei propri dati personali.
Diritto di Opposizione
L'interessato può opporsi al trattamento dei propri dati personali per motivi legittimi, inclusi quelli relativi al marketing diretto.
Procedure per l'Esercizio dei Diritti
L'interessato può esercitare i suoi diritti presentando un'istanza al titolare del trattamento, senza formalità particolari. Il titolare deve rispondere entro un determinato periodo, eventualmente prorogabile in base alla complessità della richiesta.
Rimedi in Caso di Violazione dei Diritti
In caso di violazione dei propri diritti o di risposte insoddisfacenti, l'interessato può rivolgersi all'autorità giudiziaria o al Garante per la protezione dei dati personali.
Strumenti di Tutela
Il Reclamo
Il reclamo al Garante è un atto mediante il quale si segnala una violazione della normativa sulla protezione dei dati personali. Segue un'istruttoria preliminare che può portare a provvedimenti amministrativi.
La Segnalazione
Chiunque può segnalare al Garante una presunta violazione della normativa sulla protezione dei dati, che potrebbe essere valutata per l'adozione di provvedimenti.
Entriamo nel dettaglio
Cosa è il diritto alla protezione dei dati personali?
Il diritto alla protezione dei dati personali è un diritto fondamentale dell'individuo ai sensi della Carta dei diritti fondamentali dell'Unione europea (art. 8). Oggi è tutelato, in particolare, dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), oltre che da vari altri atti normativi italiani e internazionali e dal Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), adeguato alle disposizioni del Regolamento (UE) 2016/679 tramite il Decreto legislativo 10 agosto 2018, n. 101.
In particolare, il Regolamento (UE) 2016/679 disciplina il trattamento dei dati personali indipendentemente dal fatto che questo sia effettuato o meno nell'Unione europea, sia quando svolto da titolari o responsabili stabiliti in Ue o in un luogo soggetto al diritto di uno Stato membro dell'Ue in virtù del diritto internazionale pubblico (per esempio l'ambasciata o la rappresentanza consolare di uno Stato membro), sia quando il titolare o il responsabile non è stabilito nell'Unione europea ma le attività di trattamento riguardano:
- l'offerta di beni o la prestazione di servizi ai suddetti interessati nell'Unione europea, indipendentemente dall'obbligatorietà di un pagamento dell'interessato;
- il monitoraggio del loro comportamento nella misura in cui tale comportamento ha luogo all'interno dell'Unione europea.
Il Regolamento (UE) 2016/679 ha ampliato i diritti riconosciuti all'interessato con riferimento ai dati che lo riguardano, rendendoli maggiormente incisivi in una realtà permeata sempre più dal ricorso alle nuove tecnologie e all'utilizzo della rete.
Diritto di accedere ai propri dati personali
L'interessato ha il diritto di chiedere al titolare del trattamento (soggetto pubblico, impresa, associazione, partito, persona fisica, ecc.) se è in corso o meno un trattamento di dati personali che lo riguardano e, qualora il trattamento sia confermato:
- di ottenere una copia di tali dati;
- di essere informato su:
a) le finalità del trattamento;
b) le categorie di dati personali trattate;
c) i destinatari dei dati;
d) il periodo di conservazione dei dati personali;
e) quale sia l'origine dei dati personali trattati;
f) gli estremi identificativi di chi tratta i dati (titolare, responsabile, rappresentante designato nel territorio dello Stato italiano, destinatari);
g) l'esistenza di un processo decisionale automatizzato, compresa la profilazione;
h) i diritti previsti dal Regolamento.
Come si esercita questo diritto?
Diritto alla rettifica, alla cancellazione, alla limitazione del trattamento, alla portabilità dei dati personali
Il Regolamento (UE) 2016/679 (articoli da 15 a 22) ha ampliato i diritti riconosciuti all'interessato con riferimento ai dati che lo riguardano, rendendoli maggiormente incisivi nella nostra realtà permeata sempre più dal ricorso alle nuove tecnologie e all'utilizzo della rete. L'interessato può richiedere a chi sta trattando i suoi dati personali che questi siano:
- rettificati (perché inesatti o non aggiornati), eventualmente integrando informazioni incomplete;
- cancellati, se:
- i dati non sono più necessari ai fini del perseguimento delle finalità per le quali sono stati raccolti o trattati;
- l'interessato revoca il consenso o si oppone al trattamento; oppure
- i dati sono trattati illecitamente o devono essere cancellati per adempiere a un obbligo legale;
e se non vi sono altri trattamenti per i quali i dati sono considerati necessari (libertà di espressione e informazione, svolgimento di compiti nel pubblico interesse, trattamenti connessi alla sanità pubblica, ecc.).
- limitati nel relativo trattamento, se:
- i dati non sono esatti o sono trattati illecitamente e l'interessato si oppone alla loro cancellazione;
- nonostante il titolare non ne abbia più bisogno ai fini del trattamento, i dati sono necessari all'interessato per fare valere un diritto in sede giudiziaria;
- trasferiti ad un altro titolare (c.d. diritto alla portabilità), se il trattamento si basa sul consenso o su un contratto stipulato con l'interessato e viene effettuato con mezzi automatizzati.
Nota: Il titolare del trattamento, se ha reso pubblici dati personali ed è obbligato a cancellarli, tenendo conto della tecnologia disponibile e dei costi di attuazione adotta le misure ragionevoli, anche tecniche, per informare i titolari del trattamento che stanno trattando i dati personali della richiesta dell'interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali.
Come si esercita questo diritto?
Diritto di opposizione
È possibile opporsi al trattamento dei propri dati personali:
- per motivi connessi alla situazione particolare dell'interessato, da specificare nella richiesta;
- (senza necessità di motivare l'opposizione) quando i dati sono trattati per finalità di marketing diretto.
Come si esercita questo diritto?
Ogni persona può tutelare i propri dati personali, in primo luogo, esercitando i diritti previsti dagli articoli da 15 a 22 del Regolamento (UE) 2016/679.
Come?
L'interessato può presentare un'istanza al titolare, senza particolari formalità (ad esempio, mediante lettera raccomandata, telefax, posta elettronica, ecc.).
Su questo sito è disponibile un modulo che si può utilizzare per esercitare i predetti diritti.
L'istanza può essere riferita, a seconda delle esigenze dell'interessato, a specifici dati personali, a categorie di dati o ad un particolare trattamento, oppure a tutti i dati personali che lo riguardano, comunque trattati.
All'istanza il titolare, deve fornire idoneo riscontro, ossia:
- senza ingiustificato ritardo, al più tardi entro 1 mese dal suo ricevimento;
- tale termine può essere prorogato di 2 mesi, qualora si renda necessario tenuto conto della complessità e del numero di richieste. In tal caso, il titolare deve comunque darne comunicazione all'interessato entro 1 mese dal ricevimento della richiesta.
Cosa fare se ritengo che il trattamento dei dati che mi riguardano non sia corretto o se la risposta ad un'istanza per l'esercizio dei diritti previsti dagli articoli 15-22 del Regolamento (UE) 2016/679 non perviene nei tempi indicati o non è soddisfacente?
Se ritiene che il trattamento dei dati che lo riguardano non è conforme alla disposizioni vigenti ovvero se la risposta ad un'istanza con cui esercita uno o più dei diritti previsti dagli articoli 15-22 del Regolamento (UE) 2016/679 non perviene nei tempi indicati o non è soddisfacente, l'interessato può rivolgersi all'autorità giudiziaria o al Garante per la protezione dei dati personali, in quest'ultimo caso mediante un reclamo ai sensi dell'articolo art. 77 del Regolamento (UE) 2016/679.
Il Regolamento europeo non prevede più l'istituto del ricorso per fare valere i diritti di accesso ai dati personali (che pertanto non è più esperibile davanti al Garante a partire dal 25 maggio 2018).
Strumenti di tutela
IL RECLAMO
Il reclamo al Garante è un atto circostanziato con il quale si rappresenta una violazione della disciplina rilevante in materia di protezione dei dati personali (articolo 77 del Regolamento UE 679/2016) e artt. da 140-bis a 143 del Codice.
Al reclamo segue un'istruttoria preliminare e un eventuale successivo procedimento amministrativo formale che può portare all'adozione dei provvedimenti di cui all'articolo 58 del Regolamento.
Avverso la decisione del Garante è ammesso il ricorso giurisdizionale ai sensi degli articoli 143 e 152 del Codice e dell'articolo 78 del Regolamento.
La presentazione del un reclamo è gratuita.
Per approfondimenti: pagina informativa e modello sul reclamo
LA SEGNALAZIONE
Chiunque può rivolgere, ai sensi dell'art. 144 del Codice, una segnalazione che il Garante può valutare anche ai fini dell'emanazione dei provvedimenti di cui all'art. 58 del Regolamento (indirizzo).
Cosa intendiamo per dati personali?
Sono dati personali le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc..
Particolarmente importanti sono:
- i dati che permettono l'identificazione diretta - come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. - e i dati che permettono l'identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l'indirizzo IP, il numero di targa);
- i dati rientranti in particolari categorie: si tratta dei dati c.d. "sensibili", cioè quelli che rivelano l'origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all'orientamento sessuale;
- i dati relativi a condanne penali e reati: si tratta dei dati c.d. "giudiziari", cioè quelli che possono rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
Con l'evoluzione delle nuove tecnologie, altri dati personali hanno assunto un ruolo significativo, come quelli relativi alle comunicazioni elettroniche (via Internet o telefono) e quelli che consentono la geolocalizzazione, fornendo informazioni sui luoghi frequentati e sugli spostamenti.
LE PARTI IN GIOCO
Interessato è la persona fisica alla quale si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l'indirizzo, il codice fiscale, ecc. di Mario Rossi, questa persona è l'"interessato" (articolo 4, paragrafo 1, punto 1), del Regolamento UE 2016/679);
Titolare è la persona fisica, l'autorità pubblica, l'impresa, l'ente pubblico o privato, l'associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento (articolo 4, paragrafo 1, punto 7), del Regolamento UE 2016/679);
Responsabile è la persona fisica o giuridica alla quale il titolare richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati (articolo 4, paragrafo 1, punto 8), del Regolamento UE 2016/679). Il Regolamento medesimo ha introdotto la possibilità che un responsabile possa, a sua volta e secondo determinate condizioni, designare un altro soggetto c.d. "sub-responsabile" (articolo 28, paragrafo 2).
Aggiornato nel Novembre 2019
* (Scheda di sintesi redatta dall'Ufficio del Garante a mero scopo divulgativo. Per un quadro completo della materia, si rimanda alla legislazione in tema di protezione dei dati personali e ai provvedimenti dell'Autorità. Per dubbi e domande si suggerisce di contattare l'Urp del Garante)
Glossario Tecnico
- Dati personali: Informazioni che identificano o sono riconducibili a una persona fisica identificata o identificabile.
- Dati sensibili: Informazioni che rivelano l'origine razziale o etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l'appartenenza sindacale, lo stato di salute o la vita sessuale di una persona.
- Dati biometrici: Caratteristiche biologiche o comportamentali uniche che possono essere utilizzate per l'identificazione di una persona.
- Trattamento dei dati: Qualsiasi operazione o insieme di operazioni effettuate su dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento, la modifica, l'estrazione, la consultazione, l'uso, la divulgazione per diffusione o qualsiasi altra forma di messa a disposizione, l'adattamento o la combinazione, il blocco, l'eliminazione o la distruzione.
- Interessato: La persona fisica cui si riferiscono i dati personali.
- Titolare del trattamento: La persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento dei dati personali.
- Responsabile del trattamento: La persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che tratta i dati personali per conto del titolare del trattamento.
- Sub-responsabile: La persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che tratta i dati personali per conto del responsabile del trattamento e su istruzioni di quest'ultimo.
- Autorità di controllo: Un'autorità pubblica indipendente responsabile del monitoraggio dell'applicazione delle normative sulla protezione dei dati personali.
- Privacy by design: Un approccio di progettazione dei sistemi informatici e dei processi che integra la protezione della privacy fin dalla fase di progettazione iniziale.
- Privacy by default: Impostazioni predefinite dei sistemi e dei servizi che garantiscono la massima protezione dei dati personali, senza richiedere l'intervento dell'utente.
- Consenso: Manifestazione di volontà libera, specifica, informata e inequivocabile con cui l'interessato accetta il trattamento dei suoi dati personali.
- Violazione dei dati personali: Una violazione della sicurezza che comporta la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso non autorizzato a dati personali trasmessi, conservati o altrimenti trattati.
