Il GDPR riconosce diritti esclusivamente all’interessato, al c.d. “data subject”.
Nessun diritto è riconosciuto al titolare del trattamento che, insieme alle entità strumentali a gestire la sua “responsabilità generale” (responsabile del trattamento ed autorizzati) è chiamato solo ad adempiere gli obblighi correlati ai diritti dell’interessato nonché quelli funzionali a gestire le responsabilità e i rischi connessi ai trattamenti dei dati personali.
Nemmeno al terzo è riconosciuto alcun diritto, fatto salvo il legittimo interesse.
Indice
1. La centralità degli interessati nel GDPR
Il GDPR fissa principi e requisiti volti a creare, in tutti gli Stati membri dell’UE, un contesto di elevata affidabilità che induca le persone fisiche a conferire con fiducia, a pubbliche amministrazioni e ad imprese, i loro dati personali.
Un tale scenario è funzionale a realizzare una effettiva libera circolazione dei dati personali che possono così alimentare il sistema economico europeo che, per crescere e prosperare, ha bisogno del “nuovo petrolio”, i.e. di quella preziosa materia prima che è costituita dai dati personali.
Questa considerazione fa ben comprendere il motivo per cui l’ecosistema privacy, disegnato dal GDPR, è tutto “con-centrato” a presidiare le fonti del “nuovo petrolio”, i.e. gli interessati (i cc.dd. “data subjects”).
2. L’ecosistema privacy riconosce diritti esclusivamente all’interessato
Quindi, l’intero corpus normativo introdotto dal GDPR, al fine di creare un clima di fiducia che agevoli la libera circolazione dei dati personali, stabilisce norme che hanno come unico ed esclusivo oggetto di tutela l’interessato, il c.d. “data subject”.
Infatti, nell’art. 1 del GDPR, rubricato “oggetto e finalità”, si legge che lo stesso GDPR:
- stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali;
- protegge i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali.
La centralità del data subject è confermata dal riconoscimento esclusivo di una gamma di diritti fissati nel Capo III del GDPR.
E’ particolarmente significativa la circostanza che tutti gli articoli da 15 a 22 del GDPR hanno come incipit “l’interessato ha il diritto di..”.
Nessun diritto è quindi riconosciuto agli altri Players del sistema (il titolare, il responsabile del trattamento e l’autorizzato) i quali sono chiamati solo ad adempiere, a vario titolo, gli obblighi:
- correlati ai diritti dell’interessato;
- funzionali a gestire responsabilità e rischi connessi ai trattamenti dei dati personali.
Peraltro, tutti i diritti riconosciuti/attribuiti, in via esclusiva all’interessato, possono anche essere visti come una declinazione del diritto fondamentale alla protezione dei dati personali che, in concreto, consiste nel diritto al pieno controllo dei propri dati personali con la contestuale possibilità di seguire i dati nella loro circolazione. In tal senso, ogni persona per tale finalità ha il diritto di:
- ricevere tutte le informazioni (di cui agli artt. 13 e 14 del GDPR) e le comunicazioni (di cui agli artt. 15-22 e 34 del GDPR) relative al trattamento, in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro;
- ottenere dal titolare del trattamento:
- la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso a tali dati (art. 15 del GDPR);
- la rettifica dei dati personali inesatti che lo riguardano (art. 16 del GDPR);
- la cancellazione o il congelamento (rectius: la limitazione del trattamento) dei suoi dati personali per determinati specifici motivi (artt. 17 e 18 del GDPR);
- ottenere la trasmissione diretta dei dati personali da un titolare del trattamento all’altro, se tecnicamente fattibile (art.20 del GDPR);
- opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano (art.21 del GDPR);
- ottenere, nell’ambito di un processo decisionale automatizzato, l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione (art.22 del GDPR).
3. Al terzo non sono riconosciuti diritti ma solo legittimi interessi
Tra gli attori dell’ecosistema privacy, il GDPR, prevede anche la figura del “terzo”, il quale è un soggetto che, in specifiche situazioni, non è né un interessato né un titolare del trattamento, un responsabile del trattamento o un dipendente/autorizzato.
Si tratta di un concetto relazionale, nel senso che rimanda a una relazione con un titolare o con un responsabile del trattamento da una prospettiva specifica. Così, ad esempio, il titolare del trattamento può assumere un responsabile del trattamento e incaricarlo di trasferire dati personali a un “terzo”. Tale terzo sarà quindi considerato titolare a tutti gli effetti del trattamento che effettua per le proprie finalità[1].
A differenza di quanto avviene per il titolare e il responsabile del trattamento, il regolamento non stabilisce obblighi o responsabilità specifici per i terzi ma, contestualmente, nemmeno attribuisce loro alcun diritto.
Questa particolare situazione va tenuta ben presente quando bisogna trovare soluzioni adeguate a problemi che si prospettano nella realtà concreta.
Così, ad esempio, il terzo che abbia necessità di accedere ai dati di un interessato, per poter accertare esercitare o difendere un diritto in sede giudiziaria, non può rivendicare il relativo diritto di accesso che, come si è detto, è riconosciuto esclusivamente all’interessato.
In questo caso, bisogna anche considerare però che lo stesso “terzo”, nell’ambito dell’ecosistema privacy, se da un lato non ha alcun diritto, dall’altro, può risultare titolare di un legittimo interesse.
Infatti l’art. 6, paragrafo 1 lettera f) del GDPR prevede come condizione di liceità del trattamento proprio il legittimo interesse non solo del titolare del trattamento ma anche di terzi.
Va sottolineato che il legittimo interesse è comunque sempre sottoposto alla condizione che non prevalgano gli interessi o i diritti e le libertà fondamentali dell’interessato che richiedono la protezione dei dati personali, in particolare se l’interessato è un minore. Quindi, sarebbe sempre conveniente valutare l’opportunità di eseguire una L.I.A.(Legitimate Interests Assessment).
Orbene, può risultare utile segnalare che la sentenza della CGUE n. C 13/16 Rigas Satiksme sancisce che il riconoscimento di un legittimo interesse del terzo (fissato dall’art. 6, paragrafo 1 lettera f) del GDPR) non impone ad un titolare del trattamento l’obbligo di comunicare dati personali a un terzo al fine di consentirgli, ad esempio, di proporre un ricorso per risarcimento dinanzi a un giudice civile per un danno causato da un data subject. La stessa CGUE afferma che tuttavia una tale comunicazione potrebbe essere comunque effettuata sulla base del diritto nazionale.
Un caso come quello riportato nella citata sentenza della CGUE, calato nel nostro ordinamento nazionale, riferito ad una pubblica amministrazione nel ruolo di titolare del trattamento, potrebbe essere risolto facendo ricorso dell’art. 24 comma 7 della legge 241/1990. Così, ad esempio, qualora i dati personali, che il terzo ha necessità di acquisire, siano incorporati in documenti, in applicazione della citata norma “deve comunque essere garantito [ai terzi] richiedenti l’accesso ai documenti amministrativi [contenenti i dati personali del data subject] la cui conoscenza sia necessaria per curare o per difendere i propri interessi giuridici”.
Comunque, anche in questo caso, la centralità del “data subject” non viene meno, poiché qualora i documenti richiesti in ostensione contengano dati particolari e giudiziari, l’accesso è consentito nei limiti in cui sia strettamente indispensabile e nei termini previsti dall’articolo 60 del codice privacy novellato, nel caso di dati idonei a rivelare lo stato di salute e la vita sessuale.
Vale a dire che, quando il trattamento concerne dati genetici, relativi alla salute, alla vita sessuale o all’orientamento sessuale del “data subject” l’accesso ai documenti è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi, è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale.
[1] Così ai punti 85 e 89 delle Linee Guida EDPB 7/2020 versione 2.0, sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR.
Privacy e GDPR: Manuale applicativo con esempi e casistiche settoriali
Il volume si distingue per il suo carattere multidisciplinare ponendosi quale strumento pratico e immediato per rispondere in modo corretto alle finalità della legge.Per ogni tipologia di attività, dalla sanità, alle assicurazioni, dalle banche, alle PMI fino ad arrivare al settore scolastico, il manuale diventa uno strumento per interpretare in modo efficace, il quadro regolatorio in materia di protezione dei dati personali e le sue indicazioni pratiche, riescono a dare criteri precisi su come applicarlo. Il manuale oltre a contenere le disposizioni della legge, è dotato di un formulario che permette un’analisi accurata della situazione in cui il soggetto si trova e, con chek-list, fac-simili, lettere di nomina, informative, istruzioni operative a tutto quello che occorre, permette di riuscire ad avere in breve tempo, una soluzione a tutte le problematiche che il GDPR ha introdotto. Il manuale può essere utilizzato, non solo a chi la legge la deve applicare, ma anche a quei soggetti, certificatori e verificatori delle norme UNI EN ISO, che sono preposti alla valutazione per i sistemi di qualità.Sistemi che oggi sono fondamentali per porre le aziende nella condizione di trovarsi, in un mercato concorrenziale, pronte a soddisfare le sempre più esigenti richieste di tutti gli stakeholder. Il volume affronta, in particolare, i seguenti settori:- banche;- assicurazioni;- sanità;- lavoro;- scuole. MONICA MANDICOGià DPO e legal Specialist di privati e aziende, è avvocato e founder di Mandico & Partners. È stata coautrice di diverse opere, oltre ad aver pubblicato diverse monografie e contribuito ad opere collettanee in materia di privacy. Docente nel Corso di Perfezionamento “ Privacy e potere di controllo nelle imprese e nei rapporti di lavoro”, organizzato e patrocinato dalle Università delle Marche ed UNICAM.
Monica Mandico | Maggioli Editore 2019
