GDPR: Cosa comporta il diritto di accesso (Guida al GDPR 3.2)

Il diritto di accesso consiste, come previsto dall’art. 15, paragrafo 1 del GDPR, nel diritto in capo al soggetto interessato “di ottenere dal titolare del trattamento la conferma che sia in corso o meno un trattamento dei dati personali che lo riguardano”. In questa ipotesi l’interessato ha il diritto di ottenere l’accesso ai propri dati personali raccolti ed elaborati nell’ambito di quel trattamento e di ricevere dal titolare una serie di informazioni ad esso relative, per capire come quei dati sono stati ricevuti, per quale scopo e come vengono utilizzati. Siccome lo stesso titolare potrebbe trattare anche una notevole quantità di informazioni dello stesso interessato (ad esempio perché i dati sono trattati per numerose finalità distinte), gli è consentito, in questi casi, chiedere delle precisazioni all’interessato così da identificare, prima di procedere, a quali informazioni o a quali attività lo stesso vuole avere accesso.

Il GDPR prevede, in particolare, che l’interessato abbia il diritto di conoscere:

  • le finalità del trattamento;
  • le categorie dei dati personali di cui il titolare è in possesso;
  • i destinatari cui i dati sono stati o saranno comunicati, specificando in particolare se si tratta di soggetti che si trovano in paesi terzi rispetto all’Unione Europea o se si tratta di organizzazioni internazionali. In particolare, qualora ricorra una di queste ultime ipotesi, l’interessato ha anche il diritto di essere informato sull’esistenza di adeguate garanzie concernenti il trasferimento dei suoi dati personali (uscendo in questi casi, almeno parzialmente dalla copertura del GDPR), come precisato nel Capo V del GDPR, dedicato proprio ai trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali;
  • se possibile, la durata prestabilita del periodo di conservazione dei dati o quanto meno i criteri cui il titolare fa riferimento per determinare tale durata;
  • l’esistenza del suo diritto: (a) a chiedere la rettifica o la cancellazione dei dati (quindi la modifica, ad esempio, se i dati raccolti sono errati o sono cambiati rispetto al momento del loro ottenimento oppure la loro eliminazione, come nel caso in cui sia decorso il periodo di conservazione previsto o i dati siano detenuti illegittimamente dal titolare), (b) a chiedere la limitazione del trattamento dei dati personali (quando ne viene fatto un utilizzo che va oltre quanto consentito dall’interessato, ad esempio, perché eccedente rispetto allo scopo comunicato nell’informativa al momento della raccolta o semplicemente perché l’interessato ha avuto un ripensamento – come può accadere quando viene chiesto di non ricevere più determinate comunicazioni commerciali), e (c) di opporsi al loro trattamento, perché ritenuto illegittimo;
  • il diritto di proporre un reclamo all’autorità di controllo (ovvero al Garante per la protezione dei dati personali) quando l’interessato ritiene che vi sia stata violazione dei propri diritti o delle proprie libertà;
  • tutte le informazioni disponibili sull’origine dei dati nel caso in cui non siano stati raccolti presso l’interessato, ma ricevuti da soggetti terzi (ai quali l’interessato potrebbe aver dato il consenso anche a tal fine) oppure ottenuti tramite elenchi pubblici;
  • infine, la logica su cui è basato un processo automatizzato, come ad esempio la profilazione, e il funzionamento di tali meccanismi e le possibili conseguenza del loro utilizzo (ovvero in cosa consistono sostanzialmente, quali dati e come vengono elaborati).

Vista la varietà di informazioni e considerato che alcune di esse possono variare nel corso del tempo (si pensi al periodo di conservazione, se non predeterminato fin dall’inizio del trattamento o all’utilizzo di meccanismi di profilazione), il diritto d’accesso può essere esercitato anche più volte e persino con una cadenza periodica, perché solo mediante un controllo costante l’interessato sarà davvero consapevole delle attività che riguardano i propri dati personali. Addirittura, nella logica del GDPR viene consigliato ai titolari di creare un sistema per consentire all’interessato l’accesso remoto a un sistema sicuro che gli permetta di verificare direttamente i propri dati

Come puntualizzato poi dall’art. 12, paragrafo 3, l’interessato ha il diritto di ricevere dal titolare le informazioni richieste esercitando il proprio diritto di accesso il prima possibile e, comunque, al massimo entro un mese. Soltanto in casi particolari, ad esempio quando le richieste siano molto numerose oppure le informazioni da fornire siano particolarmente complesse, il titolare potrà estendere questo termine ad un periodo massimo di due mesi, informando però, sempre entro un mese dalla sua richiesta, l’interessato della necessità di proroga e dei relativi motivi che l’hanno resa necessaria (per esempio, i tempi tecnici necessari al titolare per reperire le informazioni e per preparare la documentazione). Si configura in questo modo l’obbligo per il titolare (o per il responsabile, se presente) di riscontrare sempre la richiesta dell’interessato entro un mese dalla ricezione, anche nel caso in cui non intenda ottemperare (il comma 4 dell’art. 12 GDPR prevede infatti che “Se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”).

Le informazioni dovranno essere date a titolo gratuito all’interessato, salvo il caso eccezionale in cui il titolare debba sostenere delle spese tecniche rilevanti per adempiere (ad esempio, qualora siano state richieste più copie, art. 15, co. 3, GDPR) oppure le richieste dell’interessato siano risultate infondate o eccessive (art. 12, co. 5, GDPR): in presenza di simili condizioni, il titolare potrà, quindi, addebitare, entro limiti ragionevoli all’interessato una parte delle spese e richiedergli il versamento di un contributo.

Di norma, poi, la risposta dovrà essere data in forma scritta, assecondando però, per quanto possibile, le eventuali modalità richieste specificamente dall’interessato (ad esempio, se l’interessato chiede che le informazioni siano fornite oralmente). Lo stesso Regolamento, poi, precisa che quando l’interessato avanza delle richieste utilizzando mezzi elettronici, anche le risposte da parte del titolare dovranno fare ricorso alle medesime modalità (art. 15, co. 3, GDPR: “Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune”).

Infine, due precisazioni sono necessarie: per prima cosa, il titolare è tenuto ad adottare anche in questo contesto tutte le misure di sicurezza adeguate, prime tra tutte quelle atte a verificare l’identità di chi chiede l’accesso, con particolare attenzione ai casi in cui ciò avvenga direttamente online. In secondo luogo, l’esercizio del diritto in esame non deve creare delle violazioni a diritti di altri soggetti: il Considerando n. 63, al riguardo, a titolo esemplificativo, fa riferimento ai segreti industriali e ai diritti di proprietà industriale (si pensi alla tutela dei diritti d’autore relativi a software).

FocusGDPRNormativaPrivacy e sicurezza Informatica
marzo 19, 2018
gdprprivacyRegolamento europeo
logo fclex nero

Scopri anche

aliexpress dropshipping

Il Dropshipping su AliExpress: Tutela del Consumatore e Obblighi del Venditore 

9 Mag
Leggi tutto
intelligenza artificiale settimana lavorativa

Rivoluzione Lavorativa: Intelligenza Artificiale e Settimana da 4 Giorni – Implicazioni Giuridiche

28 Mar
Leggi tutto
linee guida agcom influencer

Nuove Linee guida AGCOM per Influencer e Content Creator: Criticità, multe e sfide nel Contesto Giuridico

17 Gen
Leggi tutto
ecommerce sanzioni direttiva omnibus 2023 omnibus

Nuovi obblighi per gli eCommerce: maggiori responsabilità per le imprese e tutele per i consumatori

14 Apr
Leggi tutto
recesso contratto clausola ecommerce limite

Diritto di recesso dal contratto: limiti e clausola di recesso

6 Apr
Leggi tutto
COME REGISTRARE MARCHIO

Come registrare un marchio? Le 5 domande più frequenti

29 Mar
Leggi tutto

Ultimi aggiornamenti

ai act

AI Act approvato: Cosa devono sapere aziende e consumatori

L’approvazione dell’AI Act da parte dell’Unione Europea rappresenta un passo storico nella regolamentazione dell’intelligenza artificiale (AI). Questo articolo offre un’analisi approfondita del regolamento e delle sue implicazioni per aziende e consumatori. Cos’è e come funziona l’AI Act? L’AI Act è il primo regolamento completo al mondo […]
maggio 29, 2024
Leggi tutto
aliexpress dropshipping

Il Dropshipping su AliExpress: Tutela del Consumatore e Obblighi del Venditore 

AliExpress, gigante dell’e-commerce mondiale, deve il suo successo non solo alla vastità di prodotti a prezzi competitivi, ma anche al modello di vendita in dropshipping. Questo sistema permette a chiunque di aprire un e-commerce senza costi di gestione, vendendo prodotti disponibili su AliExpress senza possederli fisicamente. […]
maggio 9, 2024
Leggi tutto
smartphone geolocalizzato

Smartphone sempre rintracciabili: la nuova frontiera della geolocalizzazione offline

Nell’era digitale, gli smartphone rappresentano dispositivi imprescindibili per la vita quotidiana, fungendo da ponte di connessione con il mondo circostante. In questo scenario, la possibilità di rintracciare un telefono smarrito o rubato assume un’importanza cruciale. Tuttavia, l’implementazione di sistemi di geolocalizzazione per smartphone spenti, introdotta da […]
maggio 2, 2024
Leggi tutto

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.

scopri altri video

Dirittodellinformatica.it è rivista telematica registrata il 08.04.2008 presso il Tribunale di Foggia (n. 10/08 registro periodici, cron. n. 816/08). Proprietari del sito: Gianluigi Fioriglio e Giuseppe Croari. Direttore responsabile: Gerardo Antonio Cavaliere. P.I. Studio Legale Associato Fioriglio-Croari: 02863681207.

Il contenuto del sito è sottoposto a licenza Creative Commons (Attribuzione-Non commerciale-Non opere derivate 3.0 Unported). E' possibile riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare il contenuto del sito purché sia attribuita esplicitamente la paternità di ogni sua singola parte; non sono consentiti utilizzi per fini commerciali, nè alterazioni o trasformazioni del contenuto del sito.

© 2024 dirittodellinformatica.it