TÉCHNE E PRIVACY



                     L’informativa deve inoltre rendere edotto il soggetto interessato della possibi-
               lità di esercitare alcuni diritti e in particolare, oltre al già noto diritto di accesso (art.
               15) e di cancellazione dei dati (art. 17), il cosiddetto diritto all’oblio  (art. 17), il diritto
                                                                          (39)
               di limitazione del trattamento (art. 18) e il diritto alla portabilità dei dati (art. 20).
                     Con diritto all’oblio si intende il diritto dell’interessato di ottenere dal tito-
               lare del trattamento la cancellazione dei dati personali senza ingiustificato ritar-
               do, quando i dati non siano più necessari rispetto alle finalità per le quali sono
               stati raccolti o altrimenti trattati, salva la concorrenza, come sempre, di un dirit-
               to  confliggente  sovraordinato,  quale  il  diritto  alla  libertà  di  espressione  e  di
               informazione ovvero altri motivi di interesse pubblico.
                     Il diritto alla portabilità dei dati, a mente dell’art. 20, presuppone che il
               trattamento si fondi sul consenso dell’interessato e sia effettuato con mezzi
               automatizzati, oltre all’insussistenza di ostacoli di natura tecnica.
                     Significativa novità è costituita poi dalla previsione (art. 22) secondo cui le
               decisioni che producono effetti giuridici non possono essere basate esclusiva-
               mente sul trattamento automatizzato dei dati, con l’ovvia eccezione dei casi in
               cui l’interessato abbia rilasciato il consenso esplicito al trattamento automatiz-
               zato o tale trattamento sia strettamente necessario per la definizione di un con-
               tratto o avvenga in base a specifici obblighi di legge.
                     Principio ispiratore del nuovo regolamento europeo è poi quello di responsa-
               bilizzazione (cosiddetta accountability), alla stregua del quale è rimesso al titolare del
               trattamento, ed eventualmente al responsabile, l’individuazione dei rischi connessi
               al trattamento e la predisposizione delle misure idonee a fronteggiarlo. Si parla in
               proposito anche di data protection by design. A tale scelta consegua anche l’imposizione
               dell’obbligo al titolare del trattamento di comunicare le violazioni all’autorità garante
               in caso di violazioni del sistema di protezione dei dati (cosiddetta data breach).


               2. La direttiva n. 680/2016/UE
                     La  direttiva  680/2016/UE,  che  abroga  la  decisione  quadro
               2008/977/GAI del Consiglio ed è stata attuata, pur con alcune ovvie specifica-
               zioni, dal D.Lgs. n. 51 del 2018 , introduce norme per la protezione delle per-
                                             (40)
               sone fisiche con riguardo al trattamento dei dati personali da parte delle autorità
               competenti ai fini di prevenzione, indagine, accertamento e perseguimento di
               reati o esecuzioni penali, incluse la salvaguardia e la prevenzione di minacce alla
               sicurezza pubblica (art. 1).

               (39)  Sul punto S. BONAVITA - R. PARDOLESI, GDPR e diritto alla cancellazione (oblio), in DANNO E
                     RESP.,  2018,  III,  pagg.  269  ss.;  F.  DI CIOMMO,  Il  diritto  all’oblio  (oblito)  nel  regolamento  Ue
                     2016/679 sul trattamento dei dati personali, in FORO IT., 2017, IX, 5, pagg. 306 ss.
               (40)  In Gazzetta Ufficiale n. 119 del 24 maggio 2018.

                                                                                         65