1. Introduzione

Con l’espressione «diritti dell’interessato», che parrebbe di primo acchito evocare l’autonomia delle singole attribuzioni, il Reg. UE 2016/679 (d’ora in avanti: GDPR) indica, agli artt. 12-23, l’insieme dei poteri, delle facoltà e dei rimedi specifici (dunque, non solo posizioni sostantive) che compongono il contenuto unitario del diritto alla protezione dei dati personali e alle quali il legislatore affida il compito di consentire all’interessato di esercitare il controllo sulle proprie informazioni di carattere personale. La scelta del legislatore europeo di disciplinare le modalità di esercizio del diritto fondamentale alla protezione dei dati personali innova rispetto alla concettualizzazione classica dei diritti fondamentali, la quale si sofferma piuttosto sui rimedi necessari per reagire (ex post) alle compressioni intollerabili della libertà del titolare da parte di terzi. Si tratta di una prospettiva che valorizza la dimensione cooperativa nella realizzazione della persona che chiama in gioco ex ante l’attività del titolare in una logica non dissimile da quella propria del rapporto obbligatorio.

2. Il diritto alle informazioni

Privilegiando un’articolazione dell’esposizione che ricalca la topografia del GDPR occorre muovere dagli obblighi informativi che gravano sul titolare, i quali – in attuazione del dovere di trasparenza prescritto all’art. 5, par. 1, lett. a) GDPR – intendono rimediare, non diversamente da quanto accade in materia consumeristica, alla strutturale e fisiologica asimmetria informativa che caratterizza la posizione dell’interessato, al fine di assicurare a quest’ultimo la pienezza del proprio diritto alla protezione dei dati personali. La natura strumentale degli obblighi di informazione rispetto all’esercizio degli altri diritti dell’interessato emerge con particolare evidenza sia dagli artt. 13, co. 2, lett. b) e 14, co. 2, lett. c) GDPR – che prevedono l’obbligo per il titolare di informare l’interessato sull’esistenza del diritto di chiedere l’accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati – sia dall’art. 12 par. 3 GDPR – che impone al titolare (ad eccezione dell’ipotesi in cui sia impossibile identificare l’interessato) di fornire, senza giustificato ritardo, e al più tardi entro un mese dalla richiesta (termine prorogabile di due mesi), le informazioni relative alle azioni intraprese a seguito di una delle richieste formulata in sede di esercizio dei summenzionati «diritti». Sempre l’art. 12 GDPR detta le regole generali sulle modalità di comunicazione delle informazioni (ai sensi degli artt. 13 e 14 GDPR; ai sensi degli artt. 15-22 GDPR e ai sensi dell’art. 34 GDPR), le quali devono essere fornite, di regola, gratuitamente; per iscritto o con altri mezzi, anche elettronici, o, su richiesta dell’interessato anche oralmente; «in forma concisa, trasparente, intellegibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori».

Se ne ricava che la comunicazione all’interessato deve essere: (i) calibrata sulle capacità di comprensione dell’uomo medio e, qualora, l’interessato sia un minore, «utilizzare un linguaggio semplice e chiaro che un minore possa capire facilmente» (così il considerando 58 GDPR); (ii) esaustiva ma non sovrabbondante; (iii) organizzata in modo da facilitare la comprensione da parte dell’interessato, a esempio, mediante un’offerta stratificata o multilivello che consenta di reperire immediatamente le informazioni essenziali e progressivamente quelle più di dettaglio. Significativo, a riguardo, è il provvedimento dell’Autorità garante del 7 marzo 2019, n. 59 (Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario), che ha evidenziato «con specifico riferimento all’attività posta in essere da titolari del trattamento operanti in ambito sanitario che effettuano una pluralità di operazioni connotate da particolare complessità (es. aziende sanitarie)» l’opportunità «di fornire all’interessato le informazioni previste dal Regolamento in modo progressivo. Ciò significa che nei confronti della generalità dei pazienti afferenti a una struttura sanitaria potrebbero essere fornite solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie (cfr. art. 79 del Codice). Gli elementi informativi relativi a particolari attività di trattamento (es. fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca) potrebbero essere resi, infatti, in un secondo momento, solo ai pazienti effettivamente interessati da tali servizi e ulteriori trattamenti. Ciò andrebbe a beneficio di una maggiore attenzione alle informazioni veramente rilevanti, fornendo la piena consapevolezza circa gli aspetti più significativi del trattamento».

Il contenuto dell’obbligo di informazione è delineato, in misura sostanzialmente omogenea, agli artt. 13 e 14 GDPR a seconda che i dati siano raccolti presso l’interessato, su iniziativa di quest’ultimo o anche mediante monitoraggio, dunque passivamente (art. 13) o siano ottenuti da altra fonte (altro titolare, fonte pubblicamente accessibile quale una pagina web, fonte istituzionale come un pubblico registro) (art. 14). Il titolare deve in entrambi i casi comunicare all’interessato l’identità e i dati di contatto del titolare e del suo rappresentante; l’identità e i dati di contatto del responsabile della protezione dei dati personali; le finalità del trattamento e la sua base giuridica nonché la diversa finalità per la quale il titolare intende trattare ulteriormente i dati personali (artt. 13, par. 3 e 14 par. 4 GDPR); gli eventuali destinatari del trattamento o le categorie di destinatari; ove previsto, l’intenzione del titolare di trasferire dati a un destinatari in un paese terzo o a un’organizzazione internazionale e l’esistenza o l’assenza di una decisione di adeguatezza della Commissione.

I paragrafi 2 degli artt. 13 e 14 GDPR completano il catalogo delle informazioni che il titolare, al fine di conformarsi all’obbligo di correttezza e trasparenza, deve fornire all’interessato: spiccano, oltre all’informazione sull’esistenza di un processo decisionale automatizzato, compresa la profilazione, e le informazioni sulla logica utilizzata [cfr., sul punto, Cass. 25 maggio 2021, n. 14381, secondo la quale «nel caso di una piattaforma web preordinata all’elaborazione di profili reputazionali di singole persone fisiche o giuridiche, incentrata su un sistema di calcolo con alla base un algoritmo finalizzato a stabilire i punteggi di affidabilità, il requisito di consapevolezza (del consenso, n.d.a.) non può considerarsi soddisfatto ove lo schema esecutivo dell’algoritmo e gli elementi di cui si compone restino ignoti o non conoscibili da parte degli interessati»], le informazioni funzionali a rendere l’interessato pienamente consapevole, e cioè a dire le informazioni relative: ai diritti che la normativa gli accorda (art. 13, par. 2, lett. b) e 14, par. 2, lett. c) GDPR); al potere di revocare il consenso (art. 13, par. 2, lett. c) e 14, par. 2, lett. d) GDPR); alla tutela in via amministrativa tramite reclamo all’autorità garante (artt. 13, par. 2, lett. d) e 14, par. 2, lett. e) GDPR).

Le informazioni che il titolare è tenuto a comunicare non si esauriscono in quelle previste dagli artt. 13 e 14 GDPR, potendo, come già detto, egli essere tenuto, alla stregua del dovere di correttezza, a fornire all’interessato ogni altra informazione che tenuto conto «delle circostanze e del contesto specifici in cui i dati personali sono trattati», si riveli necessaria. D’altra parte, il dovere di correttezza – che, ricordiamo, grava anche sull’interessato – consente al titolare di rifiutare di fornire un’informazione, anche relativa ad un’azione intrapresa ai sensi degli articoli da 15 a 22 GDPR, o di addebitare a quest’ultimo un contributo spese, qualora la richiesta sia manifestamente infondata o eccessiva, in particolare per il suo carattere ripetitivo (art. 12, par. 5 GDPR). L’obbligo di informazione è, inoltre, escluso se l’interessato dispone già dell’informazione (art. 13, par. 4 GDPR) e se la registrazione o la comunicazione dei dati personali sono previste per legge o se informare l’interessato si rivela impossibile o richiederebbe uno sforzo sproporzionato (a es., per il numero di interessati e l’antichità dei dati, nel caso di trattamenti eseguiti ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici) (art. 14, par. 5 GDPR).

Per quanto riguarda il momento in cui devono essere comunicate le informazioni questo varia a seconda che i dati siano raccolti presso l’interessato o siano ottenuti da altra fonte: nel primo caso, nonostante il tenore letterale suggerisca una contestualità tra raccolta dei dati personali e comunicazione delle informazioni, è preferibile reputare che l’informativa debba sempre precedere la raccolta; si tratta di una generalizzazione della soluzione prevista nel caso in cui il trattamento (e, dunque, la raccolta) sia basato sul consenso – che, per l’appunto, deve essere informato e, dunque, seguire l’informazione – ovvero su un obbligo di legge o contrattuale – nel qual caso, ai sensi dell’art. 13, par. 2, lett. e) GDPR, l’interessato deve essere edotto delle conseguenze della mancata comunicazione dei dati personali (donde, ancora, una precedenza dell’informazione rispetto al trattamento). Nel secondo caso l’informativa deve essere fornita: a) entro un termine ragionevole e, comunque, al più tardi entro un mese; b) nel caso in cui i dati personali siano destinati alla comunicazione con l’interessato, al momento della prima comunicazione all’interessato (e comunque non oltre il mese); c) nel caso in cui sia prevista la comunicazione ad altro destinatario, non oltre la prima comunicazione dei dati personali (e comunque non oltre il mese).

3. Il diritto di accesso

Nel porre l’attenzione sul nesso di complementarità e di reciproca strumentalità che sussiste tra i «diritti» attribuiti all’interessato, merita anzitutto di osservare come il diritto di accesso previsto all’art. 15 GDPR si apprezzi sul presupposto dell’assolvimento dell’obbligo informativo – consentendo all’interessato di verificare la veridicità delle informazioni ricevute – e sia a sua volta strumentale all’esercizio di quei diritti volti a inibire e/o a conformare l’attività di trattamento. Meglio di altri, consente, dunque, di apprezzare la dimensione dinamica del diritto alla protezione dei dati personali che si realizza, anzitutto, nel controllo nel tempo – a «intervalli ragionevoli», così recita il considerando 63 GDPR – sui propri dati personali, «per essere consapevole del trattamento e verificarne la liceità». Precipitato del principio di trasparenza, il diritto di accesso consiste nel diritto dell’interessato – che «non è tenuto a motivare la richiesta di accesso ai dati» (così CGUE, 26 ottobre 2023, C-307/22) – di ricevere dal titolare la conferma dello svolgimento o meno di un trattamento dei propri dati personali, di accedere direttamente a questi ultimi (nei limiti in cui tale accesso non pregiudichi i diritti e le libertà altrui, compreso il segreto industriale e aziendale e la proprietà intellettuale) ovvero di ottenerne, a titolo gratuito, una copia, nonché, più in generale, di conoscere una serie di informazioni essenziali relative al trattamento (sostanzialmente riproduttive di quelle indicate agli artt. 13 e 14 GDPR), ivi compresa l’identità stessa dei destinatari ai quali i dati sono stati o saranno comunicati «a meno che non sia impossibile identificare detti destinatari o che il titolare non dimostri che le richieste di accesso dell’interessato sono manifestamente infondate o eccessive, nel qual caso il titolare può indicare unicamente le categorie di destinatari di cui trattasi» (così CGUE, 12 gennaio 2023, C-154/21) e, se del caso, «le informazioni relative all’identità delle persone che hanno consultato i dati personali» (così CGUE, 22 giugno 2023, C-579/21, sulla base di una interpretazione che qualifica tali dati come personali dell’interessato). Nel contenuto del diritto di accesso acquista un ruolo centrale – in confronto con il più modesto contenuto dell’art. 12, lett. a) della dir. 95/46 che faceva riferimento alla «comunicazione» – la facoltà di acquisire una copia dei dati personali, la quale «deve presentare tutte le caratteristiche [in termini di esaustività, intellegibilità e comprensibilità] che consentano all’interessato di esercitare effettivamente i suoi diritti a norma di tale regolamento e, pertanto, deve riprodurre integralmente e fedelmente tali dati», e perciò comprendere non solo l’elenco dei dati personali sotto forma di tabella sintetica, ma anche la trasmissione di estratti o di documenti interi, nonché di estratti di banche dati, nei quali sono riprodotti detti dati (così CGUE, 4 maggio 2023, C- 487/21). Così, a esempio, il diritto del paziente di ottenere una copia della cartella clinica (v. considerando 63 GDPR) implica il diritto di ottenere una copia integrale dei documenti in essa contenuti quali «risultati di esami, pareri di medici curanti e terapie o interventi praticati» (così CGUE, 26 ottobre 2023, C-307/22).

4. Il diritto alla rettifica

Può capitare che, proprio a seguito dell’esercizio del diritto di accesso, l’interessato si renda conto della parzialità delle informazioni raccolte, della loro inesattezza o del loro carattere non aggiornato; per rimediare a tale situazione il Regolamento attribuisce all’interessato il diritto di ottenere, senza ingiustificato ritardo e in ogni caso entro un mese dal ricevimento della richiesta, la rettifica dei propri dati personali inesatti, ovvero l’aggiornamento o l’integrazione di quelli incompleti (art. 16 GDPR). Si tratta di un insieme di facoltà di natura strumentale, funzionali tra l’altro ad assicurare all’interessato, in un’ottica non necessariamente conflittuale ma anzitutto collaborativa e partecipativa, la piena rispondenza di sé alla propria rappresentazione collettiva (identità personale). In questa prospettiva, ad esempio, «il titolare di un organo di informazione è tenuto a garantire la contestualizzazione e l’aggiornamento della notizia di cronaca, successivamente spostata nell’archivio storico anche se pubblicato su Internet, al fine di consentire alla medesima di mantenere i caratteri di verità ed esattezza e quindi di liceità e correttezza, a tutela del diritto dell’interessato al trattamento alla propria identità personale o morale nonché a salvaguardia del diritto del cittadino utente di ricevere un’informazione completa e corretta» (Cass. 5 aprile 2012, n. 5525). Sempre al fine di assicurare l’effettività del diritto all’identità personale, è stato stabilito che l’esercizio del diritto di rettifica dei dati personali relativi all’identità di genere di una persona fisica, contenuti in un registro pubblico non può essere subordinata alla prova di un trattamento chirurgico di riassegnazione sessuale (CGUE, 13 marzo 2025, C-247/23).

5. Il diritto alla limitazione del trattamento

Accade di frequente che, richiesta la rettifica dei dati personali, trascorra un certo periodo di tempo, necessario per consentire al titolare di svolgere le opportune verifiche, prima che essi siano corretti, durante il quale i dati personali continuano a circolare. Proprio per impedire, tra gli altri, tale esito l’interessato può, ai sensi dell’art. 18, par. 1, lett. a) GDPR, domandare al titolare la limitazione del trattamento, per tale intendendosi «il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro». Si tratta di una facoltà di natura cautelare e strumentale, sia perché il suo esercizio impedisce che il titolare, in presenza di un trattamento illecito o di un trattamento che abbia assolto la sua finalità, cancelli i dati personali che dovessero essere necessari all’interessato per far valere in giudizio un proprio diritto, sia perché il suo esercizio sospende, in attesa che sia il titolare decida sull’opposizione manifestata dal titolare o sulla richiesta di rettifica, ogni ulteriore trattamento diverso dalla mera conservazione dei dati personali. Lo si ricava dal par. 2, a mente del quale se il trattamento è limitato i dati personali possono essere oggetto di un trattamento diverso dalla mera conservazione solo se: a) l’interessato ha prestato il consenso; il trattamento è necessario b) per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria (va da sé, da parte del titolare o di un soggetto diverso dall’interessato); c) per tutelare i diritti di un’altra persona fisica o giuridica o per motivi di interesse pubblico rilevante dell’Unione o di uno Stato membro.

6. Il diritto alla cancellazione

Se il diritto alla limitazione ha una chiara natura rimediale – che si ricava dalla strumentalità dei dati rispetto all’esercizio di un diritto o alla difesa in giudizio – il diritto alla cancellazione, a differenza che in passato, ha invece un ambito applicativo che travalica le ipotesi di trattamento illecito. Invero, di là dall’ipotesi prevista dall’art. 17, par. 1, lett. d) GDPR, l’interessato ha diritto di ottenere la cancellazione dei dati personali che lo riguardano, senza ingiustificato ritardo, quando: a) i dati personali non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati; b) l’interessato ha revocato il consenso su cui si basa il trattamento conformemente all’articolo 6, par. 1, lettera a) GDPR, o all’articolo 9, par. 2, lettera a) GDPR e non sussiste altro fondamento giuridico per il trattamento; c) l’interessato si è opposto al trattamento ai sensi dell’articolo 21, par. 1 GDPR e «non sussistano motivi legittimi prevalenti sugli interessi, nonché sui diritti e sulle libertà di questa persona ai sensi dell’articolo 21, par. 1, del RGPD, circostanza che spetta al titolare del trattamento dimostrare» (CGUE, 7 dicembre 2023, C-26/22 e C-64/22); d) l’interessato si è opposto al trattamento ai sensi dell’articolo 21, par. 2 GDPR (finalità di marketing diretto); e) i dati personali devono essere cancellati per adempiere un obbligo giuridico previsto dal diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento; f) i dati personali sono stati raccolti relativamente all’offerta di servizi della società dell’informazione a minori.

Merita di precisare come, di là dalle «situazioni-presupposto» indicate alla lett. b) e c) nelle quali l’iniziativa è dell’interessato, nelle altre ipotesi la cancellazione integra anche un obbligo che il titolare è tenuto ad assolvere di propria iniziativa.

Il par. 2 dell’articolo in commento, in linea di continuità con quanto previsto dall’art. 19 GDPR, prevede, poi, a carico del titolare che abbia reso pubblici i dati personali dell’interessato e che è tenuto alla loro cancellazione (es. l’editore di un giornale online), l’obbligo di informare gli ulteriori titolari del trattamento che stanno trattando quei dati personali (es. il motore di ricerca, le piattaforme di condivisione di file audio e video) della richiesta dell’interessato di cancellare qualsiasi link, copia o riproduzione dei suoi dati personali. Secondo la giurisprudenza, il titolare del trattamento dovrebbe porre in essere «ogni iniziativa volta a rendere edotti (e persuadere) i terzi che se ne siano appropriati circa l’illegittima diffusione» dei dati personali. Si tratta di un’attività che, tuttavia, «non implica la certezza dell’adempimento richiesto ai terzi, ma presuppone la doverosa attività volta a ottenere la cessazione dell’illegittimo trattamento dei dati personali da parte dei terzi, venendo cioè in rilievo solo un’obbligazione di mezzi, non certo di risultato» (così Cass. 5 aprile 2024, n. 9068).

7. L’obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

Nell’ipotesi in cui l’interessato abbia ottenuto la rettifica, la cancellazione ovvero la limitazione di trattamento dei propri dati personali, il titolare, ai sensi dell’art. 19 GDPR è tenuto, per un verso, a comunicare ai destinatari (secondo la definizione offerta dall’art. 1, par. 1, n. 9) GDPR) le rettifiche, le cancellazioni e le limitazioni di trattamento effettuate, a meno che ciò non si riveli impossibili o eccessivamente oneroso; per altro verso, a informare l’interessato dell’identità dei destinatari ai quali ha effettuato la predetta comunicazione.

8. Il diritto di opposizione

Manifestazione massima del potere autodeterminativo dell’interessato, funzionalmente affine alla revoca del consenso dalla quale, però, si differenzia anzitutto perché è concesso unicamente per i trattamenti effettuati ai sensi dell’art. 6, par. 1, lett. e) ed f) GDPR, compresa la profilazione sulla base di tali disposizioni, il diritto di opposizione consente all’interessato – in ogni tempo – di inibire l’ulteriore prosecuzione del trattamento e, dunque, ferma restando la liceità delle operazioni svolte prima dell’opposizione, di esercitare un potere di controllo sull’estensione del trattamento di dati che lo riguardino.

Ciò si verifica: (i) senza condizionamenti – e anche in via preventiva (cfr. art. 130, co. 3-bis, d.lgs. 196/2003) – qualora i dati sono trattati per finalità di marketing diretto (art. 21, par. 2 e 3 GDPR); (ii) qualora sopravvengano motivi connessi alla situazione particolare dell’interessato e, all’esito di una ponderazione di interessi, emerga che il titolare non abbia motivi legittimi cogenti per procedere al trattamento «che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria»; (iii) qualora sopravvengano motivi connessi alla situazione particolare dell’interessato e il trattamento per finalità di ricerca, storiche o statistiche non si riveli necessario per l’esecuzione di un compito di interesse pubblico.

Se ne ricava un ulteriore tratto di differenza rispetto alla revoca del consenso, la quale, a differenza dell’opposizione, in nessun caso necessita della dimostrazione da parte dell’interessato di ragioni sopravvenute legate alla propria situazione personale. A integrazione di quanto previsto dagli artt. 13 e 14, l’art. 21, par. 4 GDPR stabilisce (perlomeno con riferimento alle opposizioni disciplinate dai paragrafi 1 e 2) che l’interessato debba essere edotto della possibilità di opporsi in termini chiari e «separati da qualsiasi altra informazione», al più tardi al momento della prima comunicazione all’interessato.

9. Processi decisionali automatizzati e diritti dell’interessato

La specifica previsione del diritto di opposizione anche nel caso in cui il trattamento, necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare ovvero per il perseguimento del legittimo interesse del titolare o di terzi, consista e abbia come finalità la profilazione dell’interessato (a es. per finalità di marketing diretto), sembrerebbe discordare con la disciplina dettata dall’art. 22 GDPR.

La norma, infatti, dopo aver stabilito un divieto generale (così, infatti, va intesa l’espressione «l’interessato ha il diritto di non essere sottoposto…») nei confronti della «decisione basata unicamente sul trattamento automatizzato, compresa la profilazione», che produca effetti giuridici o incida in modo analogo significativamente sull’interessato, prevede una serie di eccezioni. Per i dati comuni esse consistono: (i) nel consenso esplicito dell’interessato; (ii) nella necessità della decisione automatizzata per la conclusione o l’esecuzione del contratto; (iii) nell’autorizzazione da parte del diritto dell’Unione o dello Stato membro cui è soggetto il titolare del trattamento. Per le categorie particolari di dati, alle summenzionate esenzioni, si aggiungono: (i) il consenso esplicito dell’interessato; (ii) la necessarietà per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

La discordanza poc’anzi segnalata è, tuttavia, solo apparente e dipende dalla circostanza che la profilazione – cioè a dire «qualsiasi forma di trattamento automatizzato di dati personali consistente nell’utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l’affidabilità, il comportamento, l’ubicazione o gli spostamenti di detta persona fisica» (art. 4, par. 1, n. 4 GDPR) – non necessariamente dà origine ad un processo decisionale nel quale è assente ogni valutazione significativa da parte dell’uomo ed è capace di produrre effetti giuridici o incidere in modo altrettanto significativo sull’interessato.

Nel campo di applicazione del divieto di cui all’art. 22 GDPR – oltre ai casi di decisioni assunte esclusivamente sulla base di trattamenti automatizzati diversi dalla proliferazione – ricadono, infatti, unicamente le ipotesi in cui: (i) la profilazione è la base per l’assunzione di una decisione che non implica alcuna previa valutazione significativa da parte di un essere umano (così nell’ipotesi in cui al risultato del calcolo della solvibilità di una persona sotto forma di tasso di probabilità relativo alla capacità di tale persona di onorare impegni di pagamento in futuro, svolto da una società che fornisce informazioni commerciale, segua la decisione meramente formale della banca di diniego alla concessione di un prestito; cfr., al riguardo, CGUE, 7 dicembre 2023, C-634/21); (ii) la decisione così assunta produce effetti giuridici o incide in modo analogo significativamente sull’interessato.

Come esempi del primo tipo le Linee guida WP29 sul processo decisionale automatizzato relativo alle persone fisiche e sulla profilazione, adottate il 3 ottobre 2017, riportano la cancellazione di un contratto, la concessione o la negazione del diritto a una prestazione sociale; il rifiuto di ammissione in un paese o negazione della cittadinanza. Come esempi del secondo tipo, si menzionano le decisioni che influenzano le circostanze finanziarie di una persona, come la sua ammissibilità al credito; le decisioni che influenzano l’accesso di una persona ai servizi sanitari; le decisioni che negano a una persona un’opportunità di impiego o pongono tale persona in una posizione di notevole svantaggio; le decisioni che influenzano l’accesso di una persona all’istruzione, ad esempio le ammissioni universitarie (cfr., altresì, il considerando 71 GDPR).

In ragione dei potenziali effetti discriminatori o, comunque, iniqui di una decisione inferenziale induttiva puramente algoritmica (cfr. il considerando 71 GDPR), oltre alle già menzionate previsioni dettate dall’art. 13, par. 1, lett. c) e par. 2, lett. f) GDPR, dall’art. 14, par. 1, lett. c) e par. 2, lett. g) GDPR e dall’art. 15, par. 1, lett. h) GDPR – che impongono al titolare di informare l’interessato non solo dell’esistenza di un trattamento per finalità di profilazione (e, quindi, del diritto di opporsi al trattamento qualora esso si basi sul legittimo interesse del titolare), indipendentemente dal fatto che si ricada nella fattispecie dell’art. 22 GDPR, ma anche, e a maggior ragione, di informare l’interessato dell’esistenza di un processo decisionale basato esclusivamente su un trattamento automatizzato, compresa la profilazione, e, quindi, della logica utilizzata (cfr., a riguardo, CGUE, 27 febbraio 2025, C-203/22) nonché dell’importanza e delle conseguenze previste per l’interessato – l’artt. 22, par. 3 GDPR, impone al titolare, qualora la decisione automatizzata sia necessaria per la conclusione o l’esecuzione di un contratto o si basi sul consenso esplicito dell’interessato, di adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell’interessato, tra le quali, almeno, il diritto dell’interessato di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione, di ottenere una spiegazione della decisione conseguita dopo tale valutazione e di contestare la decisione. In ogni caso, come si legge nel considerando 71 GDPR – è opportuno che «il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, metta in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e impedisca, tra l’altro, effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero un trattamento che comporti misure aventi tali effetti. Il processo decisionale automatizzato e la profilazione basati su categorie particolari di dati personali dovrebbero essere consentiti solo a determinate condizioni».

10. Il diritto alla portabilità dei dati personali

Espressione della crescente tendenza alla circolazione dei dati personali, il diritto alla portabilità, previsto all’art. 20 GDPR, consiste, anzitutto, nel diritto di «ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti da un titolare di trattamento». Il diritto alla portabilità appare, dunque, concettualmente, come uno sviluppo del diritto di accesso (col quale ha in comune il risultato di fornire all’interessato copia dei dati oggetto di trattamento) dal quale, tuttavia, si differenzia giacché accentua la dimensione dinamica (circolatoria) del potere di controllo sulle proprie informazioni e, in questa misura, diviene strumento di regolazione del mercato e di promozione della concorrenza. La portabilità infatti, nella misura in cui rafforza le possibilità di scelta tra più fornitori, attenuta il vincolo di dipendenza dell’interessato da un determinato soggetto (c.d. vincoli di lock-in) e, nel contempo, assume una spiccata valenza pro-concorrenziale e anti-monopolistica eliminando le barriere tecniche e giuridiche nella competizione tra operatori (cfr. EDPB Linee-guida sul diritto alla “portabilità dei dati”, adottate il 5 aprile 2017). A tal fine assume particolare importanza l’esigenza di assicurare, quanto più possibile, l’interoperabilità dei formati, come sottolineato dal considerando n. 38 GDPR, il quale tuttavia esclude l’esistenza di un «obbligo per i titolari del trattamento di adottare o mantenere sistemi di trattamento tecnicamente compatibili» (considerando 68 GDPR). L’esercizio di tale diritto è subordinato alla presenza di tre requisiti: a) il trattamento dei dati dovrà avvenire sulla base del consenso o della necessità contrattuale (con esclusione, dunque, inter alia, dei trattamenti svolti dai titolari «nell’esercizio delle loro funzioni pubbliche» e di quelli «necessari per l’adempimento di un obbligo legale cui è soggetto il titolare del trattamento o per l’esecuzione di un compito svolto nel pubblico interesse oppure nell’esercizio di pubblici poteri di cui è investito il titolare del trattamento»; cfr. art. 20, par. 3) GDPR); b) il trattamento dovrà avvenire con mezzi automatizzati; c) i dati personali oggetto del trattamento devono riguardare l’interessato ed essere forniti da quest’ultimo (con esclusione, dunque, dei dati anonimi e dei dati inferenziali, cioè a dire di quelli che, a differenza dei dati anche passivamente forniti dall’interessato (c.d. dati grezzi: cronologia di navigazione o delle ricerche, i dati di traffico e di localizzazione), sono ‘creati’ dal titolare). A queste condizioni, il titolare potrà ottenere non soltanto che gli siano forniti i propri dati personali così da conservarli sul proprio terminale ovvero trasmetterli a un altro titolare senza impedimenti da parte dell’originario titolare (par. 1), ma potrà ottenere anche che tali dati siano traferirti direttamente al nuovo titolare qualora ciò sia tecnicamente fattibile (par. 2). Oltre alle condizioni e ai limiti sopra elencati, l’esercizio del diritto alla portabilità non può ledere i diritti e le libertà dei terzi: così, a esempio, la portabilità va esclusa qualora abbia ad oggetto informazioni riguardanti contemporaneamente più persone fisiche individuabili (es. mittente e destinatario di una comunicazione) sempre che il suo esercizio impedisca al terzo di esercitare i suoi diritti in qualità di interessato. Tra i diritti dei terzi figurano anche i diritti di proprietà intellettuale, le informazioni commerciali riservate e i segreti industriali che tutelano i software: in questo caso, tuttavia, la presenza di tali interessi non è da sola in grado di giustificare un diniego alla richiesta di portabilità, ma sarà al più capace di imporre di adeguare le concrete modalità di esercizio del diritto al rispetto dei diritti altrui. Il par. 3 chiarisce, infine, che l’esercizio del diritto alla portabilità determina semplicemente una duplicazione dei dati personali e non comporta affatto la loro cancellazione, la quale, dunque, qualora ne ricorrano i presupposti, dovrà essere autonomamente azionata (cfr. considerando 68 GDPR, secondo cui l’esercizio del diritto alla portabilità dei dati personali «non dovrebbe segnatamente implicare la cancellazione dei dati personali riguardanti l’interessato forniti da quest’ultimo per l’esecuzione di un contratto, nella misura in cui e fintantoché i dati personali siano necessari all’esecuzione di tale contratto»).

La tutela post-mortem

Il GDPR al considerando 27 afferma che «Il presente regolamento non si applica ai dati personali delle persone decedute», lasciando tuttavia liberi gli Stati membri di «prevedere norme riguardanti il trattamento dei dati personali delle persone decedute». Il legislatore italiano ha rimodulato la disciplina precedente prevedendo, all’art. 2-terdecies cod. privacy, (i) l’esercizio dei diritti sui dati che riguardano il defunto da parte di soggetti diversi dall’interessato, (ii) il potere di autodeterminazione dell’interessato in ordine alla all’esercizio dei diritti sui propri dati per il tempo in cui avrà cessato di vivere, (iii) un raccordo tra l’autodeterminazione informativa dell’interessato e i diritti patrimoniali derivanti dalla morte di quest’ultimo.

In particolare, il primo comma, stabilisce che «i diritti di cui agli articoli da 15 a 22 (accesso, rettifica, cancellazione, portabilità e opposizione) del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione».

L’interessato, dunque, oltre a poter incaricare, mediante un contratto di mandato, un determinato soggetto dell’esercizio dei summenzionati diritti, può – «limitatamente all’offerta diretta di servizi della società dell’informazione» – impedire «con dichiarazione scritta presentata al titolare del trattamento o a quest’ultimo comunicata» che uno o più diritti vengano esercitati dai soggetti altrimenti legittimati.

Tale potere, tuttavia, non può escludere «l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi». Così, a esempio, l’interessato non può vietare agli eredi di accedere al contenuto delle proprie email qualora esso sia indispensabile per accertare la consistenza del patrimonio ereditare e valutare se accettare l’eredità col beneficio d’inventario.

Quanto alla volontà dell’interessato di vietare l’esercizio dei predetti diritti essa – stabilisce il secondo comma dell’art. 2-terdecies cod. privacy – oltre ad essere sempre revocabile e modificabile, «deve risultare in modo non equivoco e deve essere specifica, libera e informata».

Riferimenti bibliografici

Battelli, Ettore, e Guido D’Ippolito 2019. “Il diritto alla portabilità dei dati personali.” In Privacy Digitale. Riservatezza e protezione dei dati personali tra GDPR e nuovo Codice Privacy, a cura di E. Tosi, 185-227. Torino: Giappichelli.

Berti Suman, Adele 2019. “Il diritto alla cancellazione.” In Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento (UE) 146 n. 2016/679 (GDPR) e al novellato d.lgs. n. 196/2003 (Codice Privacy), a cura di R. Panetta, 199-214. Milano: Franco Angeli.

Bianchi, L. 2019. “Il diritto alla portabilità dei dati.” In Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento (UE) 146 n. 2016/679 (GDPR) e al novellato d.lgs. n. 196/2003 (Codice Privacy), a cura di R. Panetta, 223-38. Milano: Franco Angeli.

Calisai, F. 2019. “I diritti dell’interessato.” In I dati personali nel diritto europeo, a cura di V. Cuffaro, R. D’Orazio e V. Ricciuto. Torino: Giappichelli.

Comandé, G. 2021. “Art. 21.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Confortini, V. 2023. Persona e patrimonio nella successione digitale. Torino: Giappichelli.

Cristofari, G. 2019. “Il diritto alla limitazione del trattamento.” In Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento (UE) 146 n. 2016/679 (GDPR) e al novellato d.lgs. n. 196/2003 (Codice Privacy), a cura di R. Panetta. Milano: Franco Angeli.

Cuffaro, V. 2019. “Cancellare i dati personali. Dalla damnatio memoriae al diritto all’oblio.” In Persona e mercato dei dati. Riflessioni sul GDPR, a cura di N. Zorzi Galgano. Milano: Franco Angeli.

Cuffaro, V., V. Ricciuto e V. Zeno-Zencovich 1999. Il trattamento dei dati personali. II, Profili applicativi. Torino: Giappichelli.

Davide, Achille 2019. “Art. 12 – Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, 204-217. Milano: Gabrielli.

Di Ciommo, F. 2019. “Diritto alla cancellazione, diritto di limitazione del trattamento e diritto all’oblio.” In I dati personali nel diritto europeo, a cura di V. Cuffaro, R. D’Orazio e V. Ricciuto. Torino: Giappichelli.

Di Lorenzo, G. 2019. “Spunti di riflessione su taluni «Diritti dell’interessato».” In Persona e mercato dei dati. Riflessioni sul GDPR, a cura di N. Zorzi Galgano. Milano: Franco Angeli.

Durante, M. 2019. “Art. 13 – Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Durante, M. 2019. “Art. 14 – Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Durante, M. 2019. “Art. 15 – Diritto d’accesso dell’interessato.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Falce, V. 2021. “Art. 20.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Finocchiaro, G. 2021. “Art. 17.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Fraioli, M. 2019. “Il diritto di opposizione e la revoca del consenso.” In Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento (UE) 146 n. 2016/679 (GDPR) e al novellato d.lgs. n. 196/2003 (Codice Privacy), a cura di R. Panetta. Milano: Franco Angeli.

Gambino, A., e M. Siragusa. 2021. “Art. 15.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Genovese, A. 2021. “Art. 12.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Gianello, S. 2021. “Art. 16.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Giannone Codiglione, G. 2021. “Artt. 18-19.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Giorgianni, M. 2019. “Art. 20 – Diritto alla portabilità dei dati.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Lagioia, F., G. Sartor e A. Simoncini. 2021. “Art. 22.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Liguori, L. 2021. “Artt. 13-14.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Livi, M. A. 2019. “Art. 16 – Diritto di rettifica; Art. 17 – Diritto alla cancellazione («diritto all’oblio»).” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Montanaro, D. 2019. “Il diritto di accesso ai dati personali e il diritto di rettifica.” In Circolazione e protezione dei dati personali, tra libertà e regole del mercato. Commentario al Regolamento (UE) 146 n. 2016/679 (GDPR) e al novellato d.lgs. n. 196/2003 (Codice Privacy), a cura di R. Panetta. Milano: Franco Angeli.

Patti, L., e O. Sesso Sarti. 2019. “Art. 22 – Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Pelino, E. 2016. “I diritti dell’interessato.” In Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali. Milano: Giuffrè.

Piraino, F. 2019. “I “diritti dell’interessato”, nel Regolamento generale sulla protezione dei dati personali.” Giur. it.

Rende, F. 2019. “Art. 18 – Diritto di limitazione di trattamento.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Rende, F. 2019. “Art. 21 – Diritto di opposizione.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Renna, M. 2019. “Art. 19 – Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento.” In Delle persone. Leggi collegate, vol. II, a cura di A. Barba e S. Pagliantini, in Comm. c.c. Milano: Gabrielli.

Ricci, A. 2017. “I diritti dell’interessato.” In Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, a cura di G. Finocchiaro. Bologna: Il Mulino.

Riccio, G. M., e F. Pezza. 2019. “Portabilità dei dati personali e interoperabilità.” In I dati personali nel diritto europeo, a cura di V. Cuffaro, R. D’Orazio e V. Ricciuto. Torino: Giappichelli.

Sammarco, P. 2019. “Privacy digitale, motori di ricerca e social network: dal diritto di accesso e rettifica al diritto all’oblio condizionato.” In Privacy Digitale. Riservatezza e protezione dei dati personali tra GDPR e nuovo Codice Privacy, a cura di E. Tosi. Torino: Giappichelli.

Simoncini, A. 2021. “Art. 22.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Siragusa, M., e A. M. Gambino. 2021. “Art. 15.” In Codice della privacy e data protection, a cura di R. D’Orazio, G. Finocchiaro, O. Pollicino e G. Resta. Milano: Giuffrè.

Troiano, S. 2019. “Il diritto alla portabilità dei dati.” In Persona e mercato dei dati. Riflessioni sul GDPR, a cura di N. Zorzi Galgano. Milano: Franco Angeli.

Tuccari, E. 2022. “I diritti dell’interessato.” In Manuale di diritto privato delle nuove tecnologie, a cura di G. Magri, S. Martinelli e S. Thobani. Torino: Giappichelli.