Art. 10. Esercizio dei diritti e garanzie per gli interessati nei trattamenti di dati con processi automatizzati 10.1 Ai sensi dell'art. 22, par. 2, lettere a) e c) RGPD, le APL possono effettuare trattamenti totalmente automatizzati nella misura in cui cio' sia necessario per lo svolgimento delle proprie attivita' ovvero previo consenso dell'interessato e previa effettuazione di una valutazione di impatto (c.d. DPIA) ai sensi dell'art. 35 del RGPD. 10.2 Affinche' la decisione automatizzata ricada nel campo di applicazione dell'art. 22 RGPD, la stessa deve essere basata unicamente su un trattamento automatizzato e produrre effetti sulla sfera giuridica dell'interessato o comunque incidere significativamente sulla sua persona. Rientrano in tale ambito le decisioni finali di un processo che siano prese in maniera completamente automatizzata (ovvero senza l'intervento umano) mediante l'utilizzo di algoritmi (tipicamente fattori di calcolo matematici e processi statistici) applicati ad un insieme di dati personali di partenza effettivamente riconducibili all'interessato. 10.3 Per i trattamenti totalmente automatizzati di cui al presente paragrafo le APL attuano misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano, di esprimere la propria opinione e di contestare la decisione, in conformita' all'art. 22, par. 3, RGPD. Inoltre, nelle medesime ipotesi, le APL forniscono agli interessati a garanzia del principio di trasparenza di cui al regolamento: informazioni chiare circa i meccanismi posti alla base dell'automatizzazione; informazioni circa le valutazioni periodiche che vengono poste in essere per verificare l'affidabilita' dello strumento automatizzato impiegato anche in relazione alla correttezza ed accuratezza dei risultati dei sistemi algoritmici nonche' per verificare che il rischio di errori sia minimizzato. Le verifiche saranno volte, altresi', a verificare la conformita' alle disposizioni in materia di divieto di discriminazione; indicazioni sulle forme di accesso ai dati. 10.4 Le APL adottano misure organizzative e tecniche idonee a garantire un riscontro telematico, tempestivo e completo, alle richieste di esercizio dei diritti avanzate dagli interessati ai sensi degli articoli 15, 16, 17, 18, 19 e 21 del RGPD, in linea con una procedura interna per la gestione dei diritti degli interessati. Inoltre, in conformita' a quanto previsto dall'art. 20 del RGPD, l'esercizio del diritto alla portabilita' dei dati e' limitato alle sole ipotesi nelle quali tali dati siano trattati con mezzi automatizzati, sulla base del consenso o per dare esecuzione a un contratto ai sensi di quanto previsto rispettivamente all'art. 6, paragrafo 1, lettera a) e lettera b) del RGPD. Nel caso di trattamento automatizzato, il titolare del trattamento attua misure appropriate per tutelare i diritti, le liberta' e i legittimi interessi dell'interessato, almeno il diritto di ottenere l'intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione ai sensi dell'art. 22, par. 3 del RGPD. 10.5 Tramite specifica richiesta avanzata mediante invio di e-mail all'indirizzo riportato sull'informativa ovvero mediante specifica sezione a cio' dedicata del sito internet, gli interessati possono esercitare il diritto di ottenere conferma che sia o meno in corso un trattamento di dati che li riguardano e, in caso di riscontro positivo, ottenere l'accesso ai propri dati personali, rivolgendosi direttamente al titolare del trattamento di tali dati, presso cui possono essere esercitati gli ulteriori diritti, a condizione che non siano applicabili limitazioni ai sensi degli articoli 2-undecies del codice. Le tempistiche di evasione delle richieste di esercizio dei diritti, comprensive dell'iniziale gestione delle stesse attraverso il sito e del successivo concreto riscontro, sono quelle stabilite dall'art. 12 del RGPD. 10.6 Nella presentazione della richiesta di esercizio dei propri diritti (diritto di accesso; rettifica; cancellazione; integrazione; limitazione; portabilita'; revoca del consenso, ove previsto; non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona; reclamo al Garante) l'interessato fornisce idonei elementi al fine di permettere la verifica della propria identita'. Esclusivamente nei casi in cui vi siano dei dubbi circa l'identita' dell'interessato, le APL, in linea con la propria procedura interna per la gestione dei diritti degli interessati e comunque entro i termini previsti dall'art. 12, par. 3 e 4, RGPD, potranno chiedere una copia del documento di identita'. Nel caso in cui l'interessato eserciti il diritto di opposizione, ai sensi dell'art. 21, paragrafo 1, del RGPD, le APL si astengono dal trattare ulteriormente i dati personali salvo che dimostrino l'esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle liberta' dell'interessato oppure per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria. 10.7 Le APL possono limitare l'esercizio dei diritti, ai sensi dell'art. 2-undecies del codice privacy, dando conto del pregiudizio effettivo e concreto che, nel caso specifico, puo' derivare allo svolgimento delle investigazioni difensive o all'esercizio di un diritto in sede giudiziaria. 10.8 L'esercizio dei diritti e l'adempimento degli obblighi di cui agli articoli da 12 a 22 del RGPD possono, in ogni caso, essere ritardati, limitati o esclusi, con comunicazione motivata e resa senza ritardo all'interessato, a meno che la comunicazione possa compromettere la finalita' della limitazione, nella misura e per il tempo in cui cio' costituisca una misura necessaria e proporzionata, tenuto conto dei diritti fondamentali e dei legittimi interessi dell'interessato.