Il diritto di accesso consiste, come previsto dall’art. 15, paragrafo 1 del GDPR, nel diritto in capo al soggetto interessato “di ottenere dal titolare del trattamento la conferma che sia in corso o meno un trattamento dei dati personali che lo riguardano”. In questa ipotesi l’interessato ha il diritto di ottenere l’accesso ai propri dati personali raccolti ed elaborati nell’ambito di quel trattamento e di ricevere dal titolare una serie di informazioni ad esso relative, per capire come quei dati sono stati ricevuti, per quale scopo e come vengono utilizzati. Siccome lo stesso titolare potrebbe trattare anche una notevole quantità di informazioni dello stesso interessato (ad esempio perché i dati sono trattati per numerose finalità distinte), gli è consentito, in questi casi, chiedere delle precisazioni all’interessato così da identificare, prima di procedere, a quali informazioni o a quali attività lo stesso vuole avere accesso.

Il GDPR prevede, in particolare, che l’interessato abbia il diritto di conoscere:

  • le finalità del trattamento;
  • le categorie dei dati personali di cui il titolare è in possesso;
  • i destinatari cui i dati sono stati o saranno comunicati, specificando in particolare se si tratta di soggetti che si trovano in paesi terzi rispetto all’Unione Europea o se si tratta di organizzazioni internazionali. In particolare, qualora ricorra una di queste ultime ipotesi, l’interessato ha anche il diritto di essere informato sull’esistenza di adeguate garanzie concernenti il trasferimento dei suoi dati personali (uscendo in questi casi, almeno parzialmente dalla copertura del GDPR), come precisato nel Capo V del GDPR, dedicato proprio ai trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali;
  • se possibile, la durata prestabilita del periodo di conservazione dei dati o quanto meno i criteri cui il titolare fa riferimento per determinare tale durata;
  • l’esistenza del suo diritto: (a) a chiedere la rettifica o la cancellazione dei dati (quindi la modifica, ad esempio, se i dati raccolti sono errati o sono cambiati rispetto al momento del loro ottenimento oppure la loro eliminazione, come nel caso in cui sia decorso il periodo di conservazione previsto o i dati siano detenuti illegittimamente dal titolare), (b) a chiedere la limitazione del trattamento dei dati personali (quando ne viene fatto un utilizzo che va oltre quanto consentito dall’interessato, ad esempio, perché eccedente rispetto allo scopo comunicato nell’informativa al momento della raccolta o semplicemente perché l’interessato ha avuto un ripensamento – come può accadere quando viene chiesto di non ricevere più determinate comunicazioni commerciali), e (c) di opporsi al loro trattamento, perché ritenuto illegittimo;
  • il diritto di proporre un reclamo all’autorità di controllo (ovvero al Garante per la protezione dei dati personali) quando l’interessato ritiene che vi sia stata violazione dei propri diritti o delle proprie libertà;
  • tutte le informazioni disponibili sull’origine dei dati nel caso in cui non siano stati raccolti presso l’interessato, ma ricevuti da soggetti terzi (ai quali l’interessato potrebbe aver dato il consenso anche a tal fine) oppure ottenuti tramite elenchi pubblici;
  • infine, la logica su cui è basato un processo automatizzato, come ad esempio la profilazione, e il funzionamento di tali meccanismi e le possibili conseguenza del loro utilizzo (ovvero in cosa consistono sostanzialmente, quali dati e come vengono elaborati).

Vista la varietà di informazioni e considerato che alcune di esse possono variare nel corso del tempo (si pensi al periodo di conservazione, se non predeterminato fin dall’inizio del trattamento o all’utilizzo di meccanismi di profilazione), il diritto d’accesso può essere esercitato anche più volte e persino con una cadenza periodica, perché solo mediante un controllo costante l’interessato sarà davvero consapevole delle attività che riguardano i propri dati personali. Addirittura, nella logica del GDPR viene consigliato ai titolari di creare un sistema per consentire all’interessato l’accesso remoto a un sistema sicuro che gli permetta di verificare direttamente i propri dati

Come puntualizzato poi dall’art. 12, paragrafo 3, l’interessato ha il diritto di ricevere dal titolare le informazioni richieste esercitando il proprio diritto di accesso il prima possibile e, comunque, al massimo entro un mese. Soltanto in casi particolari, ad esempio quando le richieste siano molto numerose oppure le informazioni da fornire siano particolarmente complesse, il titolare potrà estendere questo termine ad un periodo massimo di due mesi, informando però, sempre entro un mese dalla sua richiesta, l’interessato della necessità di proroga e dei relativi motivi che l’hanno resa necessaria (per esempio, i tempi tecnici necessari al titolare per reperire le informazioni e per preparare la documentazione). Si configura in questo modo l’obbligo per il titolare (o per il responsabile, se presente) di riscontrare sempre la richiesta dell’interessato entro un mese dalla ricezione, anche nel caso in cui non intenda ottemperare (il comma 4 dell’art. 12 GDPR prevede infatti che “Se non ottempera alla richiesta dell’interessato, il titolare del trattamento informa l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento della richiesta, dei motivi dell’inottemperanza e della possibilità di proporre reclamo a un’autorità di controllo e di proporre ricorso giurisdizionale”).

Le informazioni dovranno essere date a titolo gratuito all’interessato, salvo il caso eccezionale in cui il titolare debba sostenere delle spese tecniche rilevanti per adempiere (ad esempio, qualora siano state richieste più copie, art. 15, co. 3, GDPR) oppure le richieste dell’interessato siano risultate infondate o eccessive (art. 12, co. 5, GDPR): in presenza di simili condizioni, il titolare potrà, quindi, addebitare, entro limiti ragionevoli all’interessato una parte delle spese e richiedergli il versamento di un contributo.

Di norma, poi, la risposta dovrà essere data in forma scritta, assecondando però, per quanto possibile, le eventuali modalità richieste specificamente dall’interessato (ad esempio, se l’interessato chiede che le informazioni siano fornite oralmente). Lo stesso Regolamento, poi, precisa che quando l’interessato avanza delle richieste utilizzando mezzi elettronici, anche le risposte da parte del titolare dovranno fare ricorso alle medesime modalità (art. 15, co. 3, GDPR: “Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune”).

Infine, due precisazioni sono necessarie: per prima cosa, il titolare è tenuto ad adottare anche in questo contesto tutte le misure di sicurezza adeguate, prime tra tutte quelle atte a verificare l’identità di chi chiede l’accesso, con particolare attenzione ai casi in cui ciò avvenga direttamente online. In secondo luogo, l’esercizio del diritto in esame non deve creare delle violazioni a diritti di altri soggetti: il Considerando n. 63, al riguardo, a titolo esemplificativo, fa riferimento ai segreti industriali e ai diritti di proprietà industriale (si pensi alla tutela dei diritti d’autore relativi a software).

Ultimi aggiornamenti

youtube copyright ban strike
Non esiste content creator, youtuber o streamer di Twitch che non abbia mai usato una canzone, una foto, uno spezzone di un film o di un’altra opera di terzi in un proprio video. Eppure, proprio in relazione a questa pratica diffusissima, sono ad oggi innumerevoli i casi […]
Sommario: 1. Premessa 2. PC Gaming e console: sono “apparecchiature” da omologare? Quale legame hanno con la “pubblica sicurezza”? 3. L’impatto sulle sale LAN e sugli esports bar: ma anche su musei e altre attività 4. L’impatto sull’esport 5. La lacuna normativa italiana. Prospettive oltre la […]
server dati cloud azienda
Per un’azienda, è sempre più avvertita la necessità di poter integrare i sistemi di conservazione tradizionale dei dati, con vari tipi di soluzioni tecnologiche. Tra queste, le offerte proposte dal mercato digitale si concentrano principalmente su due tipologie, le soluzioni in cloud e quelle in azienda […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.