I diritti riconosciuti agli interessati in materia di tutela dei dati personali non sono una novità del GDPR (se non altro, non tutti). Il merito del GDPR è stato semmai l’aver saputo aumentare la consapevolezza: se ne è parlato tanto, e per tanto tempo, con la conseguenza che ormai sostanzialmente ogni soggetto interessato è a conoscenza dei propri diritti, e di come esercitarli. Se tale conoscenza sia effettiva e completa, è da vedere. Certo è che sono i titolari a giocare un ruolo chiave nell’ampliamento di limiti ed esclusioni.
Diritti: presupposti e eccezioni
Non ci sono solo dei diritti: a ciascun diritto, il GDPR fa corrispondere una serie di presupposti per il suo legittimo esercizio, e una serie di eccezioni che, se sussistenti, consentono al titolare del trattamento di opporre un rifiuto alla richiesta ricevuta dall’interessato di turno. E il GDPR lascia anche spazio al diritto nazionale e dell’Unione per limitare la portata dei diritti riconosciuti agli interessati, facoltà che il legislatore italiano ha esercitato con il Capo III del D.Lgs. 101/2018.
È difficile credere (e pretendere) che gli interessati, oltre ai propri diritti, conoscano anche tutte le limitazioni applicabili a quegli stessi diritti. Ed è anche difficile credere (e pretendere) che tutti gli interessati, che la maggior parte delle volte non sono privacy professionals, riescano a comprendere tali limitazioni, e a distinguere le differenze tra i diversi diritti: non è raro che, con la revoca del consenso, ci si aspetti anche l’automatica cancellazione dei dati personali.
Si potrebbe pensare di poter ovviare fornendo agli interessati un’informativa specifica, che non si limiti ad elencare tutti i diritti esistenti, ma che indichi soltanto quelli effettivamente esercitabili (e.g. se la base giuridica del trattamento specifico non è il consenso, è del tutto inutile informare l’interessato del diritto di revocare il consenso in qualsiasi momento) e che, soprattutto, spieghi in quali casi possono essere esercitati e in quali casi il titolare può non accogliere la richiesta di esercizio. Lo stesso (fu) Working Party Art. 29, nelle linee guida sulla trasparenza, ha sottolineato che «Le informazioni dovrebbero essere specifiche per l’ipotesi di trattamento e comprendere una sintesi della natura dei diritti, del modo in cui l’interessato può attivarsi per esercitarli e delle loro eventuali limitazioni», «in maniera tale che l’interessato non sia colto di sorpresa dalla dichiarata limitazione di uno specifico diritto nel momento in cui successivamente tenti di esercitarlo nei confronti del titolare».
L’informativa agli interessati
Tutto corretto. Ma difficilmente conciliabile con il fatto che l’informativa agli interessati deve essere «concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro» (v. art. 12 GDPR).
Ricordiamo a noi stessi quali sono le informazioni da inserire obbligatoriamente in un’informativa sul trattamento dei dati personali:
«a) l’identità e i dati di contatto del titolare del trattamento e, ove applicabile, del suo rappresentante; b) i dati di contatto del responsabile della protezione dei dati, ove applicabile; c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; d) qualora il trattamento si basi sull’articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal titolare del trattamento o da terzi; e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali; f) ove applicabile, l’intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all’articolo 46 o 47, o all’articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili […] a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo; b) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati; c) qualora il trattamento sia basato sull’articolo 6, paragrafo 1, lettera a), oppure sull’articolo 9, paragrafo 2, lettera a), l’esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca; d) il diritto di proporre reclamo a un’autorità di controllo; e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati; f) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato»
e, qualora i dati non vengano raccolti presso l’interessato, anche le categorie di dati personali in questione e la fonte da cui hanno origine i dati personali e, se del caso, l’eventualità che i dati provengano da fonti accessibili al pubblico.
Già il semplice elenco delle voci da includere nell’informativa è tutt’altro che breve. E sappiamo che l’elenco non basta: ciascuna voce deve essere riempita di contenuto, descritta e spiegata e, nel caso di trattamenti basati sul legittimo interesse del titolare, occorre illustrare anche il bilanciamento eseguito con gli interessi, i diritti e le libertà fondamentali degli interessati.
Aggiungere anche la descrizione di ciascun diritto esercitabile, e non una semplice descrizione, ma una vera e propria spiegazione che renda tutte le limitazioni conoscibili, riconoscibili e comprensibili a qualunque interessato: questo significa, diciamocelo, che l’informativa non potrà mai essere breve.
Il ruolo del Titolare
Anche un’informativa completa (e inevitabilmente lunga) non esclude che il titolare riceva richieste di esercizio che può/deve respingere: perché infondate, o perché risulta applicabile una limitazione o una esclusione all’esercizio di quel diritto specifico. E un “no” non sarà generalmente accettato dall’interessato, che resterà convinto di avere ragione e, se non otterrà quanto preteso, verosimilmente minaccerà il titolare di proporre un reclamo all’Autorità Garante.
Quanti saranno i titolari che, per amor di verità, negheranno l’esercizio dei diritti nei casi previsti, e quanti saranno quelli che, pur di non rischiare una segnalazione, accorderanno i diritti anche quando avrebbero potuto/dovuto opporre un rifiuto? La risposta potrà dipendere anche dalla fiducia di ciascun titolare nel proprio livello di conformità alla normativa in materia di tutela dei dati personali.
Bisogna anche chiedersi se accogliere qualsiasi richiesta di esercizio dei diritti riconosciuti agli interessati, in modo acritico, in presenza di casi di limitazione e/o di esclusione dei diritti stessi, possa essere accettabile. La conseguenza sarebbe una sostanziale deroga a quegli stessi limiti e a quelle stesse esclusioni che il titolare ha, di fatto, scelto di ignorare: si tratta di una condotta comunque sanzionabile?
Ciò che è evidente, è che la compliance non è fatta solo di documenti, ma di scelte e anche di educazione: e l’educazione alla protezione dei dati non può riguardare solo i titolari (e i responsabili), ma deve coinvolgere anche gli interessati.
