Privacy – guida pratica: diritto d’accesso

Questa è la seconda di una serie di "guide", scritte in linguaggio semplice e chiaro e con finalità pratiche, relative agli adempimenti "privacy" in azienda. La prima guida ha riguardato la "videosorveglianza e registrazione d’immagini". Questa seconda guida è dedicata al diritto d’accesso.

Diritti

Il "Codice in materia di protezione dei dati personali" prevede all'art. 7 che chiunque possa conoscere se i propri dati personali sono trattati da una qualsiasi azienda, PA, ente, associazione, o altro (cioè da un qualsiasi titolare di trattamento). Se il titolare effettivamente tratta i suoi dati personali, l’interessato, cioè la persona cui tali dati si riferiscono, ha il diritto di:

  • sapere come i propri dati sono stati ottenuti dal titolare, chi all’interno dell’organizzazione del titolare tratta in pratica tali dati, quali sono le finalità dei trattamenti effettuati;
  • ottenere la rettifica dei propri dati personali se questi non sono aggiornati o completi;
  • opporsi al trattamento dei propri dati personali (se ciò non è in contrasto con eventuali altri obblighi contrattuali o di legge); l’opposizione è sempre valida se le finalità del trattamento sono l’invio di materiale pubblicitario o di vendita diretta o ricerche di mercato o comunicazione commerciale.

Adempimenti

Misure

Per garantire nella pratica i diritti di cui sopra il titolare è tenuto (art. 10 del Codice) ad adottare idonee misure volte:

  • ad agevolare l'accesso ai dati personali da parte dell'interessato, anche attraverso l'impiego di appositi programmi informatici;
  • a semplificare le modalità e a ridurre i tempi per il riscontro al richiedente, anche nell'ambito di uffici o servizi preposti alle relazioni con il pubblico.

Modalità

La risposta all’interessato (il cosiddetto riscontro del diritto d’accesso) può essere fornita in varie forme (anche oralmente) purché sia garantita la comprensione al richiedente; se l’interessato lo richiede la risposta deve essere data su supporto cartaceo, informatico o per via telematica.

Spese

In linea generale il titolare non può chiedere un pagamento all’interessato per il riscontro del diritto di accesso; sono previste alcune deroghe (ad esempio se "non risulta confermata l'esistenza di dati che riguardano l'interessato" o se i dati personali figurano su uno speciale supporto del quale è richiesta specificamente la riproduzione oppure quando si determina un notevole impiego di mezzi in relazione alla complessità o all'entità delle richieste ed è confermata l'esistenza di dati che riguardano l'interessato) ma in ogni caso il contributo spese non può eccedere i costi effettivamente sopportati per la ricerca effettuata.

Tempi

Il titolare deve dare riscontro all’interessato entro quindici giorni dal ricevimento della richiesta (art. 146, comma 2 del Codice). Se le operazioni necessarie per un integrale riscontro alla richiesta sono di particolare complessità, ovvero ricorre altro giustificato motivo, il titolare o il responsabile ne danno comunicazione all'interessato. In tal caso, il termine per l'integrale riscontro è di trenta giorni dal ricevimento della richiesta medesima (art. 146, comma 3 del Codice).

Ricorso al Garante

Se il titolare non dà riscontro all’interessato entro i termini prestabiliti ovvero è stato opposto alla richiesta un diniego anche parziale da parte del titolare allora i diritti di cui all'articolo 7 possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice).

Domande frequenti

L’interessato può esercitare il diritto di accesso solo nei confronti di un titolare che tratti i suoi dati personali o nei confronti di un qualsiasi titolare?
Il diritto di accesso può essere esercitato nei confronti di un qualsiasi titolare; nel caso però "non risultasse confermata l'esistenza di dati che riguardano l'interessato" il titolare può richiedere un pagamento all’interessato ma tale contributo non può eccedere i costi effettivamente sostenuti.

In quali casi non può essere esercitato il diritto di accesso?
Il diritto non può essere esercitato se i trattamenti di dati personali riguardano "materia di riciclaggio", norme di contrasto alle richieste estorsive ed una serie di altre leggi e regolamenti indicate all’art. 8 del Codice.

Il diritto di accesso riguarda anche i dati di valutazione del personale?
Sì, fermo restando che in tal caso non si può chiedere la rettifica della valutazione. Il Garante accogliendo il riscorso di un lavoratore (30 ottobre 2001, Bollettino del n. 23/ottobre 2001) dichiara: "La nozione di dato personale comprende non solo dati personali di tipo oggettivo, ma anche informazioni personali contenute nell'ambito di valutazioni soggettive, riportate in supporti di vario tipo (sia cartaceo, sia automatizzato), conservate o meno in archivi strutturati."

Posso esercitare il diritto di acceso via posta elettronica?
Sì. L’art. 9, comma 1, del Codice recita "La richiesta rivolta al titolare o al responsabile può essere trasmessa anche mediante lettera raccomandata, telefax o posta elettronica"

Posso esercitare il diritto di acceso oralmente?
Sì. Art. 9, comma 1, ma solo nei seguenti casi previsti ai commi 1) e 2) dell’art. 7:

  • 1. L'interessato ha diritto di ottenere la conferma dell'esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.
  • 2. L'interessato ha diritto di ottenere l'indicazione:
  • a) dell'origine dei dati personali;
  • b) delle finalità e modalità del trattamento;
  • c) della logica applicata in caso di trattamento effettuato con l'ausilio di strumenti elettronici;
  • d) degli estremi identificativi del titolare, dei responsabili e del rappresentante designato ai sensi dell'articolo 5, comma 2;
  • e) dei soggetti o delle categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

Si può delegare il diritto d’accesso?
Sì, art. 9, comma 2: "Nell'esercizio dei diritti di cui all'articolo 7 l'interessato può conferire, per iscritto, delega o procura a persone fisiche, enti, associazioni od organismi. L'interessato può, altresì, farsi assistere da una persona di fiducia."

Gli eredi di un interessato deceduto possono esercitare il diritto di accesso in relazione ai trattamenti del defunto?
Sì, art. 9, comma 3: "I diritti di cui all'articolo 7 riferiti a dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell'interessato o per ragioni familiari meritevoli di protezione."

Il titolare deve assicurarsi dell’identità di chi esercita il diritto di accesso?
Sì, art. 9, comma 4: "L'identità dell'interessato è verificata sulla base di idonei elementi di valutazione, anche mediante atti o documenti disponibili o esibizione o allegazione di copia di un documento di riconoscimento. La persona che agisce per conto dell'interessato esibisce o allega copia della procura, ovvero della delega sottoscritta in presenza di un incaricato o sottoscritta e presentata unitamente a copia fotostatica non autenticata di un documento di riconoscimento dell'interessato. Se l'interessato è una persona giuridica, un ente o un'associazione, la richiesta è avanzata dalla persona fisica legittimata in base ai rispettivi statuti od ordinamenti"

Si può reiterare la richiesta di diritto di accesso più di una volta?
Sì, art. 9, comma 5: "La richiesta di cui all'articolo 7, commi 1 e 2, è formulata liberamente e senza costrizioni e può essere rinnovata, salva l'esistenza di giustificati motivi, con intervallo non minore di novanta giorni"

Si può fare ricorso al Garante per la protezione dei dati personali o all’autorità giudiziaria nel caso il titolare non dia riscontro alla richiesta dell’interessato?
Sì. Se il titolare non dà riscontro all’interessato entro i termini prestabiliti ovvero è stato opposto alla richiesta un diniego anche parziale da parte del titolare allora i diritti di cui all'articolo 7 possono essere fatti valere dinanzi all'autorità giudiziaria o con ricorso al Garante (art. 145 del Codice). Il ricorso al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l'autorità giudiziaria. La presentazione del ricorso al Garante rende improponibile un'ulteriore domanda dinanzi all'autorità giudiziaria tra le stesse parti e per il medesimo oggetto

Esiste un facsimile di modello da utilizzare per esercitare il diritto di accesso?
Sì. Il Garante per la protezione dei dati personali ha realizzato un modello da utilizzare per esercitare il diritto di accesso (pdf, 130 K, 3 pp)

È obbligatorio utilizzare il modello del Garante per esercitare il diritto di accesso?
No.

Il lavoratore può ottenere dal datore di lavoro l’aggiornamento del suo titolo di studio?
Sì. "Aziende private e pubbliche amministrazioni devono aggiornare i propri archivi con le qualifiche professionali ed i titoli di studio acquisiti dai lavoratori. Tale operazione deve essere tempestiva ed effettuata in ogni altro pertinente data base dell’azienda. La normativa sulla privacy prevede, infatti, che i dati personali oggetto di trattamento siano esatti e aggiornati." (Newsletter 6 - 12 gennaio 2003)

Link

Garante per la protezione dei dati personali:

Chi è Panfilo Marcelli?

L’ingegner Panfilo Marcelli ha lavorato per oltre vent’anni presso primarie aziende informatiche e di consulenza (IPACRI, Euros Consulting, OASI Servizi) con incarichi, anche direttivi, in ambito Information Technology, Privacy e Protezione dei dati personali, Qualità e Certificazione ISO9000 e ISO27001, Workflow Management e Business Process Reengineering, Internet, Intranet e gestione di siti con sistemi CMS. Attualmente é socio di CMa Consulting società specializzata in servizi, consulenza e formazione in ambito Compliance, Privacy, Qualità e Sicurezza. Può essere contattato via email: p.marcelli@cmaconsulting.it

Altri articoli di Panfilo Marcelli

ComplianceNet: