L’art. 15 GDPR sancisce che gli interessati hanno il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che li riguardano e in tal caso, di ottenere l’accesso ai dati personali.
Tale diritto di accesso costituisce una manifestazione del principio di trasparenza che pervade l’intero Regolamento in relazione ai trattamenti dei dati personali effettuati dal titolare.
Il generale obbligo di trasparenza del titolare può essere suddiviso in due distinti doveri. Da un lato, la cosiddetta “trasparenza proattiva” impone al titolare di fornire l’informativa senza alcuna specifica richiesta, rendendo note le principali informazioni riguardanti il trattamento. Dall’altro lato, vi è la “trasparenza reattiva”, che comporta l’obbligo di rispondere alle richieste dell’interessato riguardanti non solo i dati precedentemente forniti, ma anche quelli raccolti da altre fonti.
Nel caso poi il trattamento sia in corso, gli interessati hanno diritto di accedere ai dati stessi e alle seguenti informazioni:
a) le finalità del trattamento;
b) le categorie di dati personali oggetto di trattamento;
c) i destinatari o le categorie di destinatari ai quali i dati personali sono stati o saranno comunicati (in particolare destinatari di Paesi terzi o organizzazioni internazionali, con indicazione delle garanzie adeguate previste dall’art. 46 del GDPR);
d) il periodo di conservazione dei dati personali, oppure, se non è possibile determinarlo con precisione, i criteri utilizzati per stabilire tale periodo;
e) l’esistenza del diritto di chiedere al titolare la rettifica o la cancellazione dei dati personali, la limitazione del trattamento, o di opporsi al trattamento stesso;
f) il diritto di proporre reclamo a un’Autorità di controllo;
g) qualora i dati non siano stati raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
h) l’esistenza di un processo decisionale automatizzato, inclusa la profilazione, e, in tal caso, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste per l’interessato.
Da tale elenco emerge come la finalità del diritto di accesso sia consentire all’interessato di mantenere il controllo sui propri dati e di verificare la legittimità del trattamento attraverso le informazioni fornite dal titolare.
Le linee guida dell’European Data Protection Board (EDPB) del 2022 sul diritto di accesso sottolineano che esso mira a fornire all’interessato informazioni sufficienti, trasparenti e facilmente accessibili sul trattamento dei propri dati, affinché possa essere consapevole e verificarne la legittimità e l’accuratezza. Il diritto di accesso facilita, dunque, l’esercizio di altri diritti dell’interessato, come quelli di rettifica e cancellazione.
Per approfondire:
- G. ALPA, La normativa sui dati personali. Modelli di lettura e problemi esegetici, in Il Diritto dell’informazione e dell’informatica, Milano, 1997;
- DI GENIO, Trasparenza e accesso ai dati personali, in SICA, D’ANTONI, RICCIO (a cura di), La nuova disciplina europea della privacy, Padova, 2016;
- MONTANARO, Il diritto di accesso ai dati e il diritto di rettifica, in PANETTA (a cura di), Circolazione dei dati personali, tra libertà e regole del mercato, Milano, 2019;
- RICCI, Trasparenza e accesso ai dati personali, in FINOCCHIARO (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Torino, 2017.
Nicola Nappi
Ultimi post di Nicola Nappi (vedi tutti)
- L’esercizio di poteri pubblici come deroga al trasferimento transfrontaliero di dati personali - Novembre 18, 2024
- Il legittimo interesse del titolare come deroga al trasferimento transfrontaliero dei dati personali - Novembre 11, 2024
- Trasferimento di dati da registri pubblici: le deroghe e i limiti dell’art. 49 del GDPR - Novembre 4, 2024
- L’interesse vitale dell’interessato o di altre persone come deroga al trasferimento transfrontaliero di dati personali - Ottobre 28, 2024
- L’esercizio o la difesa di un diritto in sede giudiziaria come deroga al trasferimento transfrontaliero di dati personali - Ottobre 21, 2024