Skip to content

Esercizio dei diritti

I bollettini di House of Data Imperiali sono degli estratti delle Puntate del Servizio di Informazione Giuridica (SIG), a cura dell’Avv. Rosario Imperiali d’Afflitto.

Il SIG è fruibile tramite abbonamento.

Esercizio dei diritti

Le linee guida 01/2022 dell’EDPB relative al diritto di accesso “privacy” contengono indicazioni che sono applicabili in via generale, anche riguardo all’esercizio degli altri diritti del GDPR. In questa tornata, ad esempio, affronteremo due aspetti comuni all’esercizio di qualsiasi diritto previsto dal regolamento: il tema della titolarità di tali diritti e dell’identificazione dell’interessato.

Le linee guida sono attualmente in consultazione pubblica sino all’11 marzo 2022. Sullo stesso tema si veda anche l’Editoriale del 10/2/2022.

EDPB_Guidelines_right of access
Adattamento dell’infografica dell’EDPB Linee guida 1/2022.

Titolare del diritto è l’interessato

I diritti sanciti dal Regolamento (articoli 15-22) spettano unicamente all’interessato, cioè all’individuo al quale si riferiscono i dati personali. Interessati e dati personali rappresentano l’ambito di applicazione di tali diritti, sotto il profilo soggettivo e oggettivo. Legittimamente titolati all’esercizio di tali diritti, come detto, sono solo gli interessati (ambito soggettivo) e tali diritti possono esercitarsi solo in relazione ai dati personali dell’interessato (ambito oggettivo).

L’individuazione del perimetro applicativo basato sulla dicotomia “interessato / dati personali” fornisce un’importante chiave interpretativa sia per distinguere i diritti “privacy” da altri analoghi diritti (e.g. diritto di accesso o alla portabilità) sia per valutare correttamente la portata giuridica degli stessi.

Identificazione dell’interessato

Poiché i diritti privacy spettano solo all’interessato, il titolare del trattamento deve verificare che il richiedente sia il data subject o un terzo da lui appositamente delegato. L’accertamento che il richiedente sia effettivamente legittimato mira a evitare il rischio di una divulgazione di dati personali a soggetti non autorizzati, causando una conseguente violazione di dati personali (data breach).

La verifica deve anch’essa rispettare  

  • la prescrizione per cui «[i]l titolare del trattamento agevola l’esercizio dei diritti dell’interessato» (art. 12.2, GDPR)  
  • il principio di minimizzazione e non eccedenza dei dati.

In altre parole, nel mettere in atto la relativa procedura, il titolare non deve rendere difficoltoso l’esercizio dei diritti e, nella scelta della modalità di identificazione, deve preferire quella che gli permetta di non raccogliere dati sovrabbondanti.

Conclusioni in merito all’identificazione dell’interessato

In conclusione, in merito all’obbligo di identificazione dell’interessato possono essere tracciati i seguenti aspetti salienti:

  • Il titolare del trattamento che riceve una richiesta di esercizio di diritti GDPR ha l’obbligo di accertarsi che il richiedente vi abbia titolo 
  • Tale obbligo non comporta che l’esercizio dei diritti privacy sia automaticamente condizionato alla esibizione o al rilascio di copia di un documento di identità del richiedente 
  • Il regolamento consente al titolare di richiedere ulteriori informazioni al richiedente ai fini dell’identificazione, solo quando sussistano “ragionevoli dubbi” sulla sua identità 
  • Per colmare tali dubbi, il titolare deve ricorrere alle modalità meno invasive ed evitare di raccogliere dati personali non necessari: tra queste, sono da preferire quelle di duplice riscontro, come la richiesta di conferma tramite e-mail, spedita dal titolare all’indirizzo noto del richiedente 
  • L’esibizione o la copia del documento di identità si giustifica solo in casi di esposizione a maggiori livelli di rischio (ad es. vulnerabilità dei soggetti, particolari categorie di dati o dati di condanne penali e reati, potenziali maggiori rischi per gli interessati); l’adeguatezza di tale modalità deve essere preliminarmente valutata dal titolare che provvede anche a documentarne l’esito, nel rispetto del principio di accountability.

Per continuare a leggere questo articolo devi essere abbonato al Servizio di Informazione Giuridica.

Sei già abbonato?