Esercizio dei diritti

Il Regolamento europeo non prevede più l'istituto del ricorso per fare valere i diritti di accesso ai dati personali (che pertanto non è più esperibile davanti al Garante a partire dal 25 maggio 2018).
Il soggetto che ritiene di aver avuto una lesione dei propri diritti oppure vuole accedere ai propri dati e al loro trattamento presso il titolare  può presentare un'istanza al titolare, senza particolari formalità (ad esempio, mediante lettera raccomandata, telefax, posta elettronica, ecc.).
Il termine per la risposta all´interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibili fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all´interessato entro 1 mese dalla richiesta, anche in caso di diniego.
Spetta al titolare valutare la complessità del riscontro all´interessato e stabilire l´ammontare dell´eventuale contributo da chiedere all´interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art. 12.5), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice, ovvero se sono chieste più "copie" dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3); in quest´ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all´interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l´accessibilità; può essere dato oralmente solo se così richiede l´interessato stesso (art. 12, paragrafo 1; si veda anche art. 15, paragrafo 3).

La risposta fornita all´interessato non deve essere solo "intelligibile", ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.
Il titolare del trattamento deve agevolare l´esercizio dei diritti da parte dell´interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti (artt. 15-22), il responsabile è tenuto a collaborare con il titolare ai fini dell´esercizio dei diritti degli interessati (art. 28, paragrafo 3, lettera e) ).
Nel caso in cui il cittadino ritenga che il trattamento dei dati che lo riguardano non è conforme alla disposizioni vigenti ovvero se la risposta ad un'istanza con cui esercita uno o più dei diritti  previsti dagli articoli 15-22 del Regolamento (UE) 2016/679 non perviene nei tempi indicati o non è soddisfacente, può rivolgersi all'autorità giudiziaria o al Garante per la protezione dei dati personali, in quest'ulimo caso mediante un reclamo ai sensi dell'articolo art. 77 del Regolamento (UE) 2016/679.

A tal proposito è da ricordare la peculiarità della nuova normativa che consente di rivolgersi al titolare del trattamento, e le imprese dovranno fornire riposte in tempi brevi. In caso contrario dure le sanzioni amministrative pecuniarie previste, con multe che possono arrivare fino a 10 milioni di euro o 2% del volume d'affari globale (nello specifico solo per la violazione delle condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione o alla mancata o errata notificazione e/o comunicazione di un data breach all'autorità nazionale competente). E, in altri casi, a 20 milioni e a 4% (inosservanza di un ordine imposto da un'autorità o il trasferimento illecito di dati personali ad un destinatario in un Paese terzo). Il reclamo è lo strumento che consente all'interessato di rivolgersi al Garante per la protezione dei dati personali per lamentare una violazione della disciplina in materia di protezione dei dati personali (art. 77 del Regolamento (Ue) 2016/679 e artt. da 140-bis a 143 del Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al Regolamento) e di richiedere una verifica dell‘Autorità.

Il reclamo può essere sottoscritto direttamente dall'interessato oppure, per suo conto, da un avvocato, un procuratore, un organismo, un'organizzazione o un'associazione senza scopo di lucro. In tali casi, è necessario conferire una procura da depositarsi presso il Garante assieme a tutta la documentazione utile ai fini della valutazione del reclamo presentato.

Il reclamante potrà far pervenire l'atto utilizzando la modalità ritenuta più opportuna, consegnandolo a mano presso gli uffici del Garante (all'indirizzo di seguito indicato) o mediante l'inoltro di:

a) raccomandata A/R indirizzata a: Garante per la protezione dei dati personali, Piazza Venezia, 11 - 00187 Roma

b) messaggio di posta elettronica certificata indirizzata a: protocollo@pec.gpdp.it

In sede di prima applicazione, il reclamo e l'eventuale procura dovranno essere sottoscritti con firma autenticata, ovvero con firma digitale, ovvero con firma autografa (in tale ultimo caso, al reclamo dovrà essere allegata copia di un documento di riconoscimento dell’interessato/a in corso di validità).

RICORSO GIUDIZIALE

Tutte le controversie che riguardano la privacy possono essere portate davanti al giudice ordinario, agendo direttamente contro il titolare o il responsabile del trattamento.
Occorre promuovere l’azione davanti ad una autorità giurisdizionale (Tribunale) dello Stato membro in cui risiede l’interessato (normalmente quello della propria città). Il giudice, oltre a decidere provvedimenti a carico del titolare/responsabile del trattamento dei dati, può anche decidere sul rimborso del danno.
Il ricorso può anche esser fatto avverso un provvedimento del Garante o nel caso in cui a seguito della presentazione del reclamo già detto non vi sia stata risposta nei tempi previsti.

La tutela del diritto all’oblio

La sentenza della Corte di Giustizia UE nel c.d. caso Google Spain ha infatti autorizzato l’interessato a chiedere direttamente al motore di ricerca la rimozione, dall’indice di Google, dei link alle pagine web pubblicate da terzi e contenenti proprie informazioni (cd. «deindicizzazione»), se la loro permanenza in rete non sia più giustificata in relazione al tempo trascorso. E ciò anche se si tratta di dati personali la cui pubblicazione è del tutto lecita e anche se i siti sorgente NON li hanno rimossi. Il motore di ricerca, ricevuta la richiesta, è tenuto ad effettuare un bilanciamento tra interesse pubblico e diritto del singolo ad essere dimenticato sulla base dei seguenti criteri: tempo trascorso, ruolo pubblico del soggetto; inadeguatezza o non attuale pertinenza, rilevanza o eccessività delle notizie.