Art. 10.
Esercizio dei diritti e garanzie per gli interessati
nei trattamenti di dati con processi automatizzati
10.1 Ai sensi dell'art. 22, par. 2, lettere a) e c) RGPD, le APL
possono effettuare trattamenti totalmente automatizzati nella misura
in cui cio' sia necessario per lo svolgimento delle proprie attivita'
ovvero previo consenso dell'interessato e previa effettuazione di una
valutazione di impatto (c.d. DPIA) ai sensi dell'art. 35 del RGPD.
10.2 Affinche' la decisione automatizzata ricada nel campo di
applicazione dell'art. 22 RGPD, la stessa deve essere basata
unicamente su un trattamento automatizzato e produrre effetti sulla
sfera giuridica dell'interessato o comunque incidere
significativamente sulla sua persona. Rientrano in tale ambito le
decisioni finali di un processo che siano prese in maniera
completamente automatizzata (ovvero senza l'intervento umano)
mediante l'utilizzo di algoritmi (tipicamente fattori di calcolo
matematici e processi statistici) applicati ad un insieme di dati
personali di partenza effettivamente riconducibili all'interessato.
10.3 Per i trattamenti totalmente automatizzati di cui al
presente paragrafo le APL attuano misure appropriate per tutelare i
diritti, le liberta' e i legittimi interessi dell'interessato, almeno
il diritto di ottenere l'intervento umano, di esprimere la propria
opinione e di contestare la decisione, in conformita' all'art. 22,
par. 3, RGPD. Inoltre, nelle medesime ipotesi, le APL forniscono agli
interessati a garanzia del principio di trasparenza di cui al
regolamento:
informazioni chiare circa i meccanismi posti alla base
dell'automatizzazione;
informazioni circa le valutazioni periodiche che vengono poste
in essere per verificare l'affidabilita' dello strumento
automatizzato impiegato anche in relazione alla correttezza ed
accuratezza dei risultati dei sistemi algoritmici nonche' per
verificare che il rischio di errori sia minimizzato. Le verifiche
saranno volte, altresi', a verificare la conformita' alle
disposizioni in materia di divieto di discriminazione;
indicazioni sulle forme di accesso ai dati.
10.4 Le APL adottano misure organizzative e tecniche idonee a
garantire un riscontro telematico, tempestivo e completo, alle
richieste di esercizio dei diritti avanzate dagli interessati ai
sensi degli articoli 15, 16, 17, 18, 19 e 21 del RGPD, in linea con
una procedura interna per la gestione dei diritti degli interessati.
Inoltre, in conformita' a quanto previsto dall'art. 20 del RGPD,
l'esercizio del diritto alla portabilita' dei dati e' limitato alle
sole ipotesi nelle quali tali dati siano trattati con mezzi
automatizzati, sulla base del consenso o per dare esecuzione a un
contratto ai sensi di quanto previsto rispettivamente all'art. 6,
paragrafo 1, lettera a) e lettera b) del RGPD. Nel caso di
trattamento automatizzato, il titolare del trattamento attua misure
appropriate per tutelare i diritti, le liberta' e i legittimi
interessi dell'interessato, almeno il diritto di ottenere
l'intervento umano da parte del titolare del trattamento, di
esprimere la propria opinione e di contestare la decisione ai sensi
dell'art. 22, par. 3 del RGPD.
10.5 Tramite specifica richiesta avanzata mediante invio di
e-mail all'indirizzo riportato sull'informativa ovvero mediante
specifica sezione a cio' dedicata del sito internet, gli interessati
possono esercitare il diritto di ottenere conferma che sia o meno in
corso un trattamento di dati che li riguardano e, in caso di
riscontro positivo, ottenere l'accesso ai propri dati personali,
rivolgendosi direttamente al titolare del trattamento di tali dati,
presso cui possono essere esercitati gli ulteriori diritti, a
condizione che non siano applicabili limitazioni ai sensi degli
articoli 2-undecies del codice. Le tempistiche di evasione delle
richieste di esercizio dei diritti, comprensive dell'iniziale
gestione delle stesse attraverso il sito e del successivo concreto
riscontro, sono quelle stabilite dall'art. 12 del RGPD.
10.6 Nella presentazione della richiesta di esercizio dei propri
diritti (diritto di accesso; rettifica; cancellazione; integrazione;
limitazione; portabilita'; revoca del consenso, ove previsto; non
essere sottoposto a una decisione basata unicamente sul trattamento
automatizzato, compresa la profilazione, che produca effetti
giuridici che lo riguardano o che incida in modo analogo
significativamente sulla sua persona; reclamo al Garante)
l'interessato fornisce idonei elementi al fine di permettere la
verifica della propria identita'. Esclusivamente nei casi in cui vi
siano dei dubbi circa l'identita' dell'interessato, le APL, in linea
con la propria procedura interna per la gestione dei diritti degli
interessati e comunque entro i termini previsti dall'art. 12, par. 3
e 4, RGPD, potranno chiedere una copia del documento di identita'.
Nel caso in cui l'interessato eserciti il diritto di opposizione,
ai sensi dell'art. 21, paragrafo 1, del RGPD, le APL si astengono dal
trattare ulteriormente i dati personali salvo che dimostrino
l'esistenza di motivi legittimi cogenti per procedere al trattamento
che prevalgono sugli interessi, sui diritti e sulle liberta'
dell'interessato oppure per l'accertamento, l'esercizio o la difesa
di un diritto in sede giudiziaria.
10.7 Le APL possono limitare l'esercizio dei diritti, ai sensi
dell'art. 2-undecies del codice privacy, dando conto del pregiudizio
effettivo e concreto che, nel caso specifico, puo' derivare allo
svolgimento delle investigazioni difensive o all'esercizio di un
diritto in sede giudiziaria.
10.8 L'esercizio dei diritti e l'adempimento degli obblighi di
cui agli articoli da 12 a 22 del RGPD possono, in ogni caso, essere
ritardati, limitati o esclusi, con comunicazione motivata e resa
senza ritardo all'interessato, a meno che la comunicazione possa
compromettere la finalita' della limitazione, nella misura e per il
tempo in cui cio' costituisca una misura necessaria e proporzionata,
tenuto conto dei diritti fondamentali e dei legittimi interessi
dell'interessato.