Il capitolo III del GDPR prevede una serie di diritti che gli interessati possono esercitare per salvaguardare i loro dati personali. Anche se ogni diritto ha dettagli specifici e questioni che potrebbero riguardare ed essere influenzate dalla ricerca^[1] ICT, tutti condividono alcune caratteristiche generali riguardanti la loro informazione trasparente, la comunicazione e le modalità di esercizio (articolo 12 GDPR). A questo proposito, prima di lanciarsi nell’analisi di ogni diritto specifico (articolo 13-22 GDPR), è opportuno menzionare brevemente alcune questioni che ogni ricercatore e istituto di ricerca dovrebbe prendere in considerazione quando rispetta l’esercizio di uno dei diritti dell’interessato.

L’articolo 12.1 del GDPR inizia fornendo come le informazioni devono essere date agli interessati, in modo che possano esercitare efficacemente i loro diritti. In breve, il titolare del trattamento deve fornire informazioni corrette e complete, evitando così le informazioni inutili. Inoltre, il linguaggio utilizzato deve essere comprensibile per l’interessato medio e fornito per iscritto (a meno che l’interessato non richieda diversamente). A questo proposito, maggiori dettagli saranno forniti nella sezione 6.1.

Per quanto riguarda i tempi, il titolare del trattamento deve fornire informazioni sul seguito dato a una richiesta di esercizio del diritto dell’interessato senza ritardi indebiti o eccessivi e, in ogni caso, entro un mese dal ricevimento della richiesta, in base all’articolo 12.3 GDPR. Questo periodo può essere prorogato di altri due mesi, se necessario e a condizione che il titolare del trattamento informi l’interessato della proroga e la giustifichi entro un mese dal ricevimento della richiesta.

L’articolo 12.5 del GDPR consente al titolare del trattamento di rifiutare la richiesta dell’interessato se questa è manifestamente infondata o eccessiva. A questo proposito, alcuni esempi potrebbero essere: gli interessati non hanno alcuna intenzione di esercitare i loro diritti (e richiedono, ad esempio, benefici in cambio del ritiro della richiesta), cercano di attaccare il titolare del trattamento, presentano richieste identiche nello stesso lasso di tempo, e così via. Contemporaneamente, l’articolo 12.5 GDPR stabilisce anche che l’esercizio di ogni diritto dell’interessato deve essere gratuito, a meno che il titolare del trattamento non sia in grado di dimostrare che la richiesta era manifestamente infondata o eccessiva. In questo caso, il titolare del trattamento può addebitare un costo ragionevole, considerando i costi amministrativi della procedura.

Se il titolare del trattamento ha ragionevoli dubbi sull’identità della persona che presenta una richiesta, il titolare del trattamento può richiedere la fornitura di informazioni aggiuntive al fine di confermare l’identità dell’interessato, sulla base dell’articolo 12.6 GDPR.

L’esercizio dei diritti dell’interessato: Trasparenza, comunicazione e modalità: ☐ Le informazioni fornite devono essere: ☐ Corretto e completo, evitando così quelli inutili; ☐ Comprensibile per l’interessato medio; ☐ Facilmente accessibile, sia per iscritto che con qualsiasi altro mezzo; ☐ In una lingua che l’interessato padroneggia bene. ☐ Le informazioni devono essere fornite: ☐ Senza ritardi ingiustificati o eccessivi e, in ogni caso, entro un mese dalla richiesta dell’interessato; ☐ Entro due mesi dalla richiesta dell’interessato, se necessario e previa comunicazione e giustificazione entro un mese dalla richiesta dell’interessato; ☐ La richiesta dell’interessato può essere rifiutata, in qualsiasi momento: ☐ Manifestamente infondato; ☐ Eccessivo; ☐ L’esercizio di ogni diritto dell’interessato deve essere gratuito. Se la richiesta è manifestamente infondata o eccessiva, può essere applicata una tassa ragionevole. ☐ Ulteriori informazioni possono essere richieste per confermare l’identità dell’interessato.

 

1. Come dimostrato da Ducato, infatti, il trattamento per finalità di ricerca gode di un regime favorevole all’interno del GDPR, in quanto cerca di bilanciare tra i diritti dell’interessato, la libertà d’impresa e le legittime aspettative della società per un aumento della conoscenza. Su tali premesse, l’articolo 89 del GDPR permette di derogare agli articoli 14, 15, 16, 18 e 21 del GDPR, alla sola condizione che siano fornite garanzie adeguate. In particolare, la disposizione richiede l’utilizzo di misure tecniche e organizzative per adempiere alla minimizzazione dei dati, nonché tecniche di anonimizzazione e pseudonimizzazione. In R. Ducato, “Data Protection, Scientific Research and the Role of Information”, Computer Law & Security Review, 2020, Vol. 37, pp. 4-5 ↑