L’interessato al trattamento dei dati è, in poche parole, la persona fisica cui si riferiscono i dati personali oggetto di trattamento.
Più precisamente, l’interessato è una persona fisica identificata o identificabile, che può cioè essere identificata in modo diretto o indiretto facendo riferimento, ad esempio, ad informazioni come: il nome, un numero di identificazione, dati riguardanti l’ubicazione, un identificativo on-line oppure uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Diversi sono i diritti che il GDPR riconosce in capo all’interessato (per una completa analisi dei quali si rimanda alla già pubblicata Sez. 3 dell’Approfondimento). Tra i fondamentali diritti di cui l’interessato è titolare troviamo anzitutto quello di ricevere una corretta e idonea informativa riguardante il trattamento dei dati personali, da parte del titolare, come stabilito dagli artt. 13 e 14 del GDPR; in seconda analisi si configurano in capo all’interessato una serie di diritti riguardanti più nello specifico il trattamento dei suoi dati. Tra questi, sono disciplinati dal GDPR il diritto di accesso ai dati, il diritto all’oblio, il diritto di rettifica dei dati, il diritto di limitazione e di opposizione al trattamento e il diritto alla portabilità dei dati.
L’interessato è, quindi, il destinatario finale della tutela predisposta dal Regolamento europeo per quanto riguarda le operazioni di trattamento dei dati personali.
Il GDPR individua diverse possibilità per consentire al soggetto interessato di tutelarsi, facendo valere i suoi diritti qualora ritenga che il trattamento dei suoi dati personali sia stato realizzato in violazione delle disposizioni del Regolamento.
Come stabilito dall’art. 77, comma 1, innanzitutto l’interessato ha il diritto di proporre un reclamo all’autorità di controllo. La norma prevede infatti che: “Fatto salvo ogni altro ricorso amministrativo o giurisdizionale, l’interessato che ritenga che il trattamento che lo riguarda violi il presente regolamento ha il diritto di proporre reclamo a un’autorità di controllo, segnatamente nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione”. Ogni Stato dell’Unione europea ha infatti una propria Autorità di controllo competente per la ricezione dei reclami proposti in seguito ad eventuali violazioni del regolamento europeo o delle norme nazionali in materia di protezione dei dati. In Italia, l’autorità di controllo nazionale è il Garante per la protezione dei dati personali, un’Autorità Amministrativa Indipendente, prevista e disciplinata attualmente dal Codice in materia di protezione dei dati personali (il c.d. Codice della Privacy, istituito con il d. lgs. 196/2003), e che si occupa di esaminare reclami e segnalazioni proposti dai soggetti interessati nel caso di violazione della normativa in materia di protezione dei dati personali, nonché di decidere sui ricorsi presentati dagli interessati.
Più nello specifico, il reclamo è un atto circostanziato con cui l’interessato denuncia al Garante una violazione delle disposizioni in materia di protezione dei dati personali, ed è disciplinato dal Codice della Privacy all’art. 142 (Proposizione dei reclami: “1. Il reclamo contiene un’indicazione per quanto possibile dettagliata dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate e delle misure richieste, nonché gli estremi identificativi del titolare, del responsabile, ove conosciuto, e dell’istante. 2. Il reclamo è sottoscritto dagli interessati, o da associazioni che li rappresentano anche ai sensi dell’articolo 9, comma 2, ed è presentato al Garante senza particolari formalità. Il reclamo reca in allegato la documentazione utile ai fini della sua valutazione e l’eventuale procura, e indica un recapito per l’invio di comunicazioni anche tramite posta elettronica, telefax o telefono. 3. Il Garante può predisporre un modello per il reclamo da pubblicare nel Bollettino e di cui favorisce la disponibilità con strumenti elettronici”). È un atto che può essere proposto senza particolari formalità, ma in ogni caso deve contenere l’indicazione dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate, delle misure richieste e degli estremi identificativi del titolare, del responsabile (se conosciuto) e dell’istante. Alla proposizione del reclamo può seguire una fase istruttoria o un eventuale procedimento amministrativo in cui possono essere adottati vari provvedimenti (ad esempio, il blocco del trattamento o l’adozione di misure al fine di rendere il trattamento conforme alla normativa), come previsto dall’art. 143 del Codice della Privacy.
La segnalazione, invece, è un atto che può essere presentato qualora l’interessato non abbia la possibilità di presentare un reclamo circostanziato. In questo caso, la segnalazione dovrà riportare tutti gli elementi utili al fine di consentire al Garante di adottare un eventuale provvedimento nel caso in cui ritenga che sia stata posta in essere una violazione della disciplina in materia di protezione dei dati personali. Anche nel caso della segnalazione può seguire una fase istruttoria o un eventuale procedimento amministrativo in cui possono essere adottati i vari provvedimenti previsti dall’art. 143.
Per quanto riguarda invece il ricorso al Garante, a differenza dei due istituti appena visti, esso consiste in un atto formale e può essere promosso solo al fine di far valere i diritti di cui all’art. 7 del Codice della Privacy (quali, ad esempio, il diritto di accesso, di rettifica, di cancellazione dei dati) qualora la risposta del titolare o del responsabile, in seguito all’istanza con cui l’interessato ha esercitato tali diritti, non sia stata data entro i termini previsti (15 giorni dalla ricezione o 30 giorni se si tratta di operazioni particolarmente complesse) o non sia soddisfacente, oppure se aspettare il decorso dei termini per la risposta lo esporrebbe ad un imminente ed irreparabile pregiudizio. È bene sottolineare che non è possibile avanzare pretese risarcitorie dinanzi al Garante, queste infatti potranno essere fatte valere solo dinanzi alla competente autorità giudiziaria.
Nel caso in cui il Garante ritenga fondato il ricorso può ordinare la cessazione del comportamento illegittimo, indicando anche le misure necessarie per la tutela dei diritti dell’interessato. Contro il provvedimento del Garante sarà poi possibile proporre un ricorso dinanzi al tribunale del luogo ove risiede il titolare del trattamento.
Il GDPR riconosce infine, all’art. 79, il diritto in capo agli interessati di proporre anche un ricorso giurisdizionale nel caso in cui si sia verificata una violazione dei diritti riconosciuti dal Regolamento stesso. L’art. 79, comma 1 stabilisce infatti che: “Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento”. Come previsto dal comma 2, in questo caso l’azione giurisdizionale dovrà essere esperita nei confronti del titolare o del responsabile del trattamento, dinanzi all’autorità giurisdizionale dello Stato membro in cui il titolare o il responsabile del trattamento ha uno stabilimento. In alternativa, l’interessato potrà agire dinanzi alle autorità giurisdizionali dello Stato membro in cui lui risiede abitualmente, a meno che il titolare o il responsabile del trattamento sia un’autorità pubblica di uno Stato membro che ha effettuato un trattamento dei suoi dati nell’esercizio dei pubblici poteri.
Gli interessati hanno anche la possibilità di incaricare un organismo, organizzazione o associazione attiva nel settore della protezione dei dati, affinché li rappresenti e proponga reclamo per loro conto. Queste associazioni, se ritengono che i diritti riconosciuti dal GDPR siano stati violati nell’ambito di un trattamento, e se così è previsto dal diritto dello Stato membro in questione, possono anche agire in via autonoma attivandosi al fine di proporre un reclamo all’autorità di controllo competente o un ricorso giurisdizionale.