AZIENDA REGIONALE EMERGENZA SANITARIA 118, (C. f. e P. IVA: 08173691000) (infra “ARES 118”), in persona del suo legale rappresentante pro tempore, con sede legale in Roma, via Portuense, 240, intende illustrare – in ossequio al combinato disposto tra gli artt. 5 paragrafo 1) lettera a) e paragrafo 2), 12 paragrafo 2), 25, 32 paragrafo 1) lettera d), Considerando n. 59), da 63) a 68) e 78) del Regolamento UE n. 2016/679 (GDPR) – il formale ed agevole processo (interno) di gestione dell’esercizio di un diritto, previsto dagli artt. da 15 a 22 del GDPR, da parte di un soggetto interessato.

Diritto di accesso
In primo luogo, si rileva che il diritto di accesso è regolamentato all’art. 15 del GDPR (“1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso di ottenere l’accesso ai dati personali e alle seguenti informazioni:

• le finalità del trattamento;
• le categorie di dati personali in questione;
• i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
• quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
• l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
• il diritto di proporre reclamo a un’autorità di controllo;
• qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
• l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato. 2. Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento. 3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici e salvo indicazione diversa dall’interessato, le informazioni sono fornite in un formato elettronico di uso comune. 4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui”), da leggersi, in combinato disposto, con il relativo Considerando n. 63).

Diritto di rettifica
L’art. 16 del GDPR disciplina il diritto in parola, affermando al riguardo che: “L’interessato ha il diritto di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo. Tenuto conto delle finalità del trattamento, l’interessato ha il diritto di ottenere l’integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa” , da leggersi, in combinato disposto, con il relativo Considerando n. 65) . L’esercizio del diritto di rettifica consiste, in sintesi, nella possibilità per l’interessato di correggere, aggiornare o integrare i propri dati personali: nello specifico, occorre aggiungere, da un lato, che la rettifica può riguardare soltanto i dati oggettivi e, dunque, non anche quelli cd. valutativi e, per altro verso, che, l’attività di aggiornamento dei dati (e la loro completezza) non costituisce, invero, per l’interessato un obbligo ma una facoltà, all’opposto di quanto accade per il Titolare del trattamento, il quale, nel rispetto dei principi generali di cui al GDPR, deve provvedere alla rettifica tutte le volte in cui ne abbia, o dovrebbe averne, contezza

Diritto di cancellazione
Tale diritto (meglio conosciuto come “diritto all’oblio”) è regolamentato all’art. 17 del GDPR (“1. L’interessato ha il diritto di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo e il titolare del trattamento ha l’obbligo di cancellare senza ingiustificato ritardo i dati personali, se sussiste uno dei motivi presenti nel documento originale a pagina 3.

Diritto di limitazione
Il diritto in parola è regolamentato, in via principale, dall’art. 18 del GDPR (“1. L’interessato ha il diritto di ottenere dal titolare del trattamento la limitazione del trattamento quando ricorre una delle ipotesi alencate a pagina 4 del documento originale.

Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
L’art. 19 del GDPR costituisce una mera integrazione del diritto di rettifica, di cancellazione e di limitazione (“Il titolare del trattamento comunica a ciascuno dei destinatari cui sono stati trasmessi i dati personali le eventuali rettifiche o cancellazioni o limitazioni del trattamento effettuate a norma dell’articolo 16, dell’articolo 17, paragrafo 1, e dell’articolo 18, salvo che ciò si riveli impossibile o implichi uno sforzo sproporzionato. Il titolare del trattamento comunica all’interessato tali destinatari qualora l’interessato lo richieda”).

Diritto alla portabilità
Tale diritto è disciplinato all’art. 20 del GDPR (“1. L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento senza impedimenti da parte del titolare del trattamento cui li ha forniti con le condizioni specificate nel documento originale.

Diritto di opposizione
Il diritto in esame è regolamentato all’art. 21 del GDPR (“1. L’interessato ha il diritto di opporsi in qualsiasi momento, per motivi connessi alla sua situazione particolare, al trattamento dei dati personali che lo riguardano ai sensi dell’articolo 6, lettere e) o f), compresa la profilazione sulla base di tali disposizioni.

In aggiunta alle limitazioni previste dal GDPR (e sopra meglio illustrate) per l’esercizio di ogni singolo diritto, si pone in evidenza il fatto che essi sono, altresì, potenzialmente soggetti ai limiti specificatamente individuati all’interno degli artt. 2 undecies e 2 duodecies del novellato D.Lgs. n. 196/2003 (es. investigazioni difensive o esercizio di un diritto in sede giudiziaria; tutela della riservatezza dell’identità di un dipendente che segnala un illecito di cui è venuto a conoscenza in ragione del proprio ufficio; ragioni di giustizia)

Nel rispetto dell’art. 12 paragrafo 3) del GDPR, il Titolare del trattamento deve fornire al soggetto interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 “senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il Titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta…”. Infine, si rileva che il riscontro al soggetto interessato deve essere fornito, ai sensi dell’art. 12 paragrafo 1) del GDPR, di regola in forma scritta (anche mediante l’ausilio di mezzi elettronici), e deve essere, soprattutto, intellegibile (a un esponente medio) e conciso.

Nel rispetto del principio di accountability ex artt. 5 paragrafo 2) e 25 del GDPR, il Titolare del trattamento si impegna a registrare ed archiviare qualsivoglia richiesta (e relativo riscontro) avente ad oggetto l’esercizio di un diritto da parte di un soggetto interessato.

Azienda Regionale Emergenza Sanitaria 118 con sede legale in Roma alla Via Portuense n. 240 – 00149 Roma (RM), in persona del Direttore Generale, Dr. Narciso Mostarda.
E-mail: dirgen@ares118.it

Avv. Gabriele Borghi
E-mail: dpo@ares118.it