I diritti sulla privacy: strumenti di autodeterminazione informativa

Quando parliamo di protezione dei dati personali, troppo spesso ci concentriamo sugli obblighi che gravano su chi tratta i dati – le organizzazioni, le aziende, le pubbliche amministrazioni – e dimentichiamo l’altra faccia della medaglia: i diritti riconosciuti alle persone cui quei dati si riferiscono.

Eppure il GDPR dedica un intero capo, il terzo, ai diritti dell’interessato, articolandoli in un sistema organico che trasforma le persone da oggetti passivi del trattamento in soggetti attivi, capaci di controllare e influenzare l’uso dei propri dati personali.

Il fondamento: l’autodeterminazione informativa

I diritti sulla privacy riconosciuti dal GDPR si fondano su un principio più generale che la giurisprudenza costituzionale, soprattutto tedesca, ha elaborato a partire dagli anni Ottanta: il diritto all’autodeterminazione informativa. L’idea è che in una società dove la raccolta e l’elaborazione di informazioni personali sono pervasive, il diritto alla privacy non può limitarsi a proteggere uno spazio privato separato da quello pubblico. Deve includere il potere della persona di determinare autonomamente se, quando, come e in quale misura informazioni che la riguardano vengano comunicate ad altri o utilizzate.

Questa concezione supera la visione tradizionale della privacy come mero “diritto a essere lasciati in pace”. Riconosce che nella società dell’informazione la circolazione di dati personali è inevitabile e spesso necessaria, ma afferma che le persone devono mantenere un controllo significativo su questa circolazione. Non possono impedire ogni trattamento dei propri dati – questo paralizzerebbe la società – ma devono poter sapere cosa succede ai loro dati, poter intervenire quando il trattamento è illecito o scorretto, poter opporsi a usi che ritengono lesivi.

I diritti previsti dal GDPR traducono questo principio astratto in strumenti concreti che le persone possono esercitare.

Il diritto di informazione: sapere per decidere

Il primo e fondamentale diritto è quello di essere informati su come vengono trattati i propri dati. Senza informazione adeguata, tutti gli altri diritti restano teorici: come potrei oppormi a un trattamento se non so nemmeno che avviene? Come potrei chiedere la cancellazione se ignoro chi possiede i miei dati?

Gli articoli 13 e 14 del GDPR impongono al titolare del trattamento di fornire all’interessato una serie di informazioni al momento della raccolta dei dati (o comunque entro tempi brevi se i dati non vengono raccolti direttamente dall’interessato). Queste informazioni devono essere fornite in forma concisa, trasparente, intelligibile, facilmente accessibile, con linguaggio semplice e chiaro.

Le informazioni obbligatorie includono: l’identità e i contatti del titolare del trattamento, le finalità per cui i dati vengono raccolti e la base giuridica del trattamento, i legittimi interessi perseguiti dal titolare se questa è la base giuridica, gli eventuali destinatari dei dati, l’intenzione di trasferire dati verso paesi terzi, il periodo di conservazione o i criteri per determinarlo, l’esistenza dei diritti dell’interessato, il diritto di proporre reclamo al Garante, se la comunicazione dei dati è un obbligo legale o contrattuale o un requisito necessario per concludere un contratto, l’eventuale esistenza di decisioni automatizzate compresa la profilazione.

Nella pratica questo diritto si traduce nelle informative sulla privacy che tutti abbiamo incontrato: quei documenti che dovremmo leggere prima di accettare un servizio online, di scaricare un’app, di fornire i nostri dati. Il problema è che spesso queste informative sono lunghissime, scritte in linguaggio giuridico incomprensibile ai più, strutturate in modo da scoraggiare la lettura. Il risultato è che quasi nessuno le legge veramente, vanificando lo scopo del diritto all’informazione.

Il GDPR cerca di contrastare questa tendenza richiedendo che le informazioni siano concise e facilmente accessibili. Si stanno sperimentando soluzioni innovative: informative a strati, dove le informazioni essenziali sono presentate in forma sintetica e immediata mentre i dettagli sono accessibili a chi vuole approfondire; uso di icone standardizzate che permettono di capire a colpo d’occhio aspetti chiave del trattamento; video informativi invece di testi scritti.

Nelle scuole, il diritto all’informazione si traduce nell’obbligo di fornire alle famiglie (e agli studenti se maggiorenni o comunque in età da comprendere) informative chiare su tutti i trattamenti: dal registro elettronico alla videosorveglianza, dalle piattaforme didattiche alla gestione dei dati sanitari. Informative che devono essere comprensibili anche a chi non ha competenze giuridiche, che devono spiegare in termini semplici cosa la scuola fa con i dati e perché.

Il diritto di accesso: vedere i propri dati

L’articolo 15 del GDPR riconosce all’interessato il diritto di ottenere dal titolare la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in caso affermativo, di accedere a tali dati e ottenere informazioni sul trattamento.

Questo diritto permette alla persona di verificare concretamente cosa il titolare sa di lei, quali dati possiede, come li sta usando. È uno strumento di trasparenza fondamentale: senza la possibilità di vedere i propri dati, come potrei sapere se sono corretti? Come potrei accorgermi di trattamenti illeciti?

La richiesta di accesso deve essere soddisfatta gratuitamente (salvo richieste manifestamente infondate o eccessive) e senza indebito ritardo, comunque entro un mese dalla richiesta. Il titolare deve fornire copia dei dati in trattamento, preferibilmente in formato elettronico se la richiesta è stata fatta per via elettronica.

Le informazioni da fornire includono: le finalità del trattamento, le categorie di dati trattati, i destinatari cui i dati sono stati o saranno comunicati, il periodo di conservazione previsto, l’esistenza degli altri diritti, il diritto di proporre reclamo, se i dati non sono stati raccolti presso l’interessato tutte le informazioni disponibili sulla loro origine, l’esistenza di decisioni automatizzate e la logica utilizzata.

Questo diritto ha applicazioni pratiche importanti. Un cittadino può chiedere a una banca quali dati possiede su di lui e come li usa. Un dipendente può chiedere al datore di lavoro di vedere i dati raccolti attraverso sistemi di controllo. Uno studente maggiorenne può chiedere alla scuola di accedere al proprio fascicolo completo.

Nelle scuole il diritto di accesso si esercita frequentemente: genitori che vogliono vedere tutti i dati registrati sul figlio, docenti che chiedono accesso ai propri dati personali conservati dalla scuola, personale ATA che vuole verificare cosa risulta nei sistemi informativi. La scuola deve essere organizzata per rispondere a queste richieste nei tempi previsti, il che richiede che i dati siano ordinati e facilmente recuperabili.

Il diritto di rettifica: correggere gli errori

L’articolo 16 riconosce il diritto di ottenere dal titolare la rettifica dei dati personali inesatti e l’integrazione di quelli incompleti. Se i dati che mi riguardano sono sbagliati, ho il diritto di farli correggere.

Può sembrare ovvio, ma non lo è. Prima del GDPR, spesso le persone scoprivano errori nei propri dati (un indirizzo sbagliato, un titolo di studio registrato in modo impreciso, una data di nascita errata) e facevano fatica a farli correggere perché l’organizzazione che li deteneva era riluttante a modificare i propri database o sosteneva di non essere responsabile dell’errore.

Il GDPR chiarisce che il titolare ha l’obbligo di rettificare senza ingiustificato ritardo. Se ha comunicato quei dati inesatti ad altri soggetti, deve informare anche loro della rettifica, salvo che questo risulti impossibile o richieda uno sforzo sproporzionato.

Nelle scuole questo diritto si applica frequentemente. Un genitore si accorge che nel registro elettronico il numero di telefono è sbagliato: ha diritto a farlo correggere immediatamente. Uno studente nota che il proprio voto è stato registrato in modo errato: ha diritto alla rettifica. Un docente scopre che la propria qualifica è indicata in modo impreciso: può chiedere la correzione.

La rettifica deve riguardare dati oggettivamente errati o incompleti. Non include il diritto di far modificare valutazioni o giudizi con cui non si è d’accordo. Se uno studente ritiene ingiusto un voto, può contestarlo attraverso i meccanismi previsti dall’ordinamento scolastico, ma non può invocare il diritto di rettifica GDPR per cambiare la valutazione.

Il diritto alla cancellazione (diritto all’oblio)

L’articolo 17 prevede il diritto di ottenere dal titolare la cancellazione dei dati personali quando ricorre una delle seguenti condizioni: i dati non sono più necessari rispetto alle finalità per cui erano stati raccolti; l’interessato revoca il consenso su cui si basava il trattamento e non sussiste altro fondamento giuridico; l’interessato si oppone al trattamento e non sussistono motivi legittimi prevalenti; i dati sono stati trattati illecitamente; i dati devono essere cancellati per adempiere un obbligo legale; i dati sono stati raccolti relativamente a servizi della società dell’informazione offerti a minori.

Questo diritto, spesso chiamato “diritto all’oblio”, permette di chiedere che dati personali vengano rimossi quando non c’è più ragione di conservarli. È particolarmente importante nell’era digitale, dove i dati possono rimanere accessibili indefinitamente e continuare a produrre effetti anche quando le circostanze sono cambiate.

Il caso più noto di applicazione di questo diritto riguarda i motori di ricerca. La Corte di Giustizia europea ha stabilito che in certe circostanze le persone possono chiedere a Google di rimuovere dai risultati di ricerca link a pagine web che le riguardano, anche se quelle pagine restano online, quando le informazioni sono inadeguate, non pertinenti, eccessive o non più attuali rispetto alle finalità per cui erano state pubblicate.

Però il diritto alla cancellazione non è assoluto. Ci sono importanti eccezioni: non si applica quando il trattamento è necessario per l’esercizio del diritto alla libertà di espressione e informazione, per l’adempimento di un obbligo legale, per motivi di interesse pubblico, per l’accertamento o la difesa di un diritto in sede giudiziaria.

Nelle scuole, il diritto alla cancellazione ha limiti significativi. Molti dati devono essere conservati per obbligo di legge (i registri, i verbali, i fascicoli degli studenti) e non possono essere cancellati su richiesta. Altri sono necessari per finalità di interesse pubblico come la gestione del servizio educativo. Ma ci sono margini di applicazione: dati raccolti per finalità specifiche temporanee possono essere cancellati quando quelle finalità sono esaurite; dati trattati sulla base del consenso possono essere cancellati se il consenso viene revocato e non c’è altra base giuridica.

Il diritto di limitazione del trattamento

L’articolo 18 prevede un diritto meno conosciuto ma importante: la limitazione del trattamento. Invece di chiedere la cancellazione, che è definitiva, l’interessato può chiedere che i dati vengano conservati ma non più utilizzati, salvo alcune eccezioni, quando: contesta l’esattezza dei dati (limitazione per il periodo necessario a verificare); il trattamento è illecito ma preferisce la limitazione alla cancellazione; il titolare non ha più bisogno dei dati ma servono all’interessato per l’accertamento o la difesa di un diritto in sede giudiziaria; l’interessato si è opposto al trattamento in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del titolare.

La limitazione significa che i dati vengono “congelati”: restano nei database ma non possono essere usati (salvo che per la conservazione, con il consenso dell’interessato, per accertare o difendere diritti in sede giudiziaria, per proteggere diritti di terzi o per motivi di interesse pubblico). È una sorta di sospensione temporanea in attesa di chiarire una situazione controversa.

Nelle scuole può applicarsi quando ad esempio un genitore contesta l’esattezza di un dato e la scuola deve verificare: nel frattempo il dato viene “limitato”, non può essere usato fino a quando non si chiarisca se è corretto o meno.

Il diritto alla portabilità dei dati

L’articolo 20 introduce un diritto relativamente nuovo: la portabilità dei dati. L’interessato ha diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare, e ha il diritto di trasmettere tali dati a un altro titolare senza impedimenti, quando il trattamento si basa sul consenso o su un contratto e avviene con mezzi automatizzati.

L’idea è di facilitare il passaggio da un fornitore di servizi a un altro evitando il “lock-in”: se ho accumulato dati in un servizio (ad esempio email, foto, playlist musicali), devo poter trasferirli facilmente a un servizio concorrente senza dover ricominciare da capo.

Nelle scuole questo diritto ha applicazioni limitate perché la maggior parte dei trattamenti non si basa su consenso o contratto ma su obblighi legali o interesse pubblico. Però può applicarsi ad esempio per dati raccolti attraverso piattaforme didattiche usate su base volontaria: uno studente potrebbe chiedere di esportare i propri elaborati, i risultati dei test, le interazioni avute, per trasferirli eventualmente in un’altra piattaforma.

Il diritto di opposizione

L’articolo 21 riconosce il diritto di opporsi in qualsiasi momento al trattamento dei propri dati quando questo si basa sul legittimo interesse del titolare o è necessario per l’esecuzione di un compito di interesse pubblico. L’interessato può opporsi per motivi connessi alla sua situazione particolare.

Se l’interessato si oppone, il titolare deve cessare il trattamento salvo che dimostri l’esistenza di motivi legittimi cogenti che prevalgono sugli interessi dell’interessato oppure che il trattamento è necessario per l’accertamento o la difesa di un diritto in sede giudiziaria.

C’è poi un diritto di opposizione assoluto quando i dati sono trattati per finalità di marketing diretto: in questo caso il titolare deve sempre cessare il trattamento senza possibilità di invocare motivi prevalenti.

Nelle scuole il diritto di opposizione ha applicazioni limitate per i trattamenti obbligatori (registri, valutazioni), ma può applicarsi ad esempio per l’uso di immagini degli studenti per finalità promozionali della scuola: se trattato sulla base del legittimo interesse, un genitore può opporsi.

Il diritto di non essere sottoposti a decisioni automatizzate

L’articolo 22 prevede che l’interessato ha il diritto di non essere sottoposto a una decisione basata unicamente su un trattamento automatizzato, compresa la profilazione, che produca effetti giuridici o incida significativamente sulla sua persona.

Questo diritto risponde alle preoccupazioni sull’intelligenza artificiale e sugli algoritmi: se un algoritmo decide automaticamente aspetti importanti della mia vita senza intervento umano, ho diritto a oppormi.

Ci sono eccezioni: la decisione automatizzata è ammessa se necessaria per concludere o eseguire un contratto, autorizzata da una norma, basata su consenso esplicito. Ma anche in questi casi devono essere previste misure appropriate per tutelare i diritti dell’interessato, incluso almeno il diritto di ottenere l’intervento umano, di esprimere la propria opinione, di contestare la decisione.

Nelle scuole questo diritto potrebbe applicarsi se si usassero sistemi automatizzati per decisioni significative sugli studenti (ad esempio assegnazione automatica delle classi sulla base di algoritmi, valutazioni automatiche con conseguenze importanti). Il principio è che decisioni importanti devono sempre prevedere un momento di verifica e intervento umano.

Come si esercitano i diritti: procedure e garanzie

I diritti non servono a molto se non possono essere esercitati concretamente. Il GDPR prevede quindi una serie di garanzie procedurali.

Innanzitutto, il titolare deve fornire mezzi facilmente accessibili per esercitare i diritti. Non può nascondere i contatti o rendere complicato l’invio di richieste. Deve indicare chiaramente nell’informativa come l’interessato può contattarlo per esercitare i diritti.

Le richieste possono essere presentate per iscritto o oralmente, su carta o in formato elettronico. Il titolare può chiedere informazioni supplementari per accertare l’identità del richiedente se ha ragionevoli dubbi, ma non può usare questo come pretesto per ostacolare l’esercizio dei diritti.

Il titolare deve fornire riscontro senza ingiustificato ritardo e comunque entro un mese dalla richiesta. In casi complessi il termine può essere prorogato di altri due mesi, ma il titolare deve informare l’interessato della proroga e dei motivi entro un mese dalla richiesta.

L’interessato ha diritto di ricevere le informazioni gratuitamente. Solo in caso di richieste manifestamente infondate o eccessive, specie se ripetitive, il titolare può addebitare un contributo spese ragionevole o rifiutare di soddisfare la richiesta.

Se il titolare non intende dare seguito alla richiesta, deve comunque informare l’interessato dei motivi e della possibilità di proporre reclamo al Garante e di ricorrere in sede giudiziaria.

Nelle scuole queste procedure devono essere formalizzate. Serve che sia chiaro a chi si rivolgono le richieste di esercizio dei diritti (al dirigente scolastico come titolare del trattamento, eventualmente tramite il DPO), attraverso quali canali (email dedicata, modulistica disponibile sul sito), quali informazioni fornire per identificarsi, quali tempi aspettarsi.

I limiti ai diritti: bilanciamenti necessari

I diritti sulla privacy non sono assoluti. Possono incontrare limiti quando confliggono con altri diritti o interessi ugualmente importanti.

Il diritto all’informazione può essere limitato se fornire certe informazioni comprometterebbe segreti industriali o commerciali o la protezione dei diritti di terzi.

Il diritto di accesso incontra eccezioni quando pregiudicherebbe gravemente la privacy di altre persone. Ad esempio uno studente maggiorenne che chiede accesso ai verbali dei consigli di classe può vedere cosa si è detto su di lui, ma non informazioni dettagliate su altri studenti.

Il diritto alla cancellazione non prevale su obblighi di conservazione previsti dalla legge. Le scuole non possono cancellare documenti che devono conservare per norma, anche se l’interessato lo chiede.

Il diritto di opposizione può essere superato da motivi legittimi cogenti del titolare. Se una scuola deve trattare dati per adempiere obblighi legali, l’interessato non può validamente opporsi.

Questi limiti non sono scappatoie per vanificare i diritti, ma riflettono la necessità di bilanciare interessi contrapposti. Il punto è che i limiti devono essere interpretati restrittivamente: il titolare che invoca un’eccezione deve dimostrarne la sussistenza, non può invocarla genericamente.

Il reclamo al Garante e il ricorso giudiziario

Se il titolare non risponde a una richiesta o risponde in modo insoddisfacente, l’interessato ha due vie di tutela.

La prima è il reclamo al Garante per la protezione dei dati personali. È gratuito, non richiede assistenza legale, può essere presentato anche informalmente. Il Garante esamina il reclamo e, se fondato, può ordinare al titolare di dare seguito alla richiesta, eventualmente comminando sanzioni.

La seconda è il ricorso giudiziario davanti all’autorità giudiziaria ordinaria. Questa via è più formale e può comportare costi, ma permette anche di chiedere il risarcimento dei danni eventualmente subiti per violazione dei propri diritti.

Le due vie non sono alternative ma cumulabili: si può presentare reclamo al Garante e contemporaneamente ricorrere al giudice.

Nelle controversie con le scuole pubbliche, frequentemente si preferisce inizialmente la via del reclamo al Garante perché meno formale e più rapida. Solo se questo non porta risultati si valuta il ricorso giudiziario.

La consapevolezza come presupposto dell’esercizio

I diritti meglio congegnati restano lettera morta se le persone non sanno di averli. Qui emerge un problema: la consapevolezza sui diritti privacy è ancora limitata.

Molte persone sanno vagamente di avere diritti ma non sanno esattamente quali, come esercitarli, contro chi. Pensano che la privacy sia “cosa da esperti” e non osano far valere i propri diritti per timore di non essere competenti.

C’è quindi un compito educativo importante: far conoscere i diritti, spiegare come si esercitano, incoraggiare le persone a farli valere quando necessario. Le scuole hanno in questo una doppia responsabilità: come titolari di trattamento devono facilitare l’esercizio dei diritti, come istituzioni educative dovrebbero formare gli studenti alla consapevolezza dei propri diritti digitali.

Insegnare ai ragazzi che hanno diritto di sapere cosa succede ai loro dati, che possono chiedere correzioni, che possono opporsi a certi usi, che hanno vie di tutela se i loro diritti vengono violati, significa formare cittadini consapevoli capaci di autodeterminarsi anche nella dimensione digitale della vita.

Conclusione: dai sudditi ai cittadini digitali

I diritti sulla privacy riconosciuti dal GDPR rappresentano un passaggio importante: da una concezione in cui le persone erano oggetti passivi del trattamento dati, a una in cui sono soggetti attivi titolari di diritti azionabili.

Non è ancora compiuto il cammino verso una piena cittadinanza digitale, dove le persone esercitano effettivamente e consapevolmente i propri diritti. Ma gli strumenti ci sono, le tutele sono state rafforzate, le vie di ricorso sono state facilitate.

Sta ora alle persone appropriarsi di questi diritti, alle organizzazioni rispettarli seriamente, alle autorità farli valere quando violati. E sta alle scuole, luoghi di formazione per eccellenza, educare le nuove generazioni a una consapevolezza piena dei propri diritti digitali, preparando cittadini capaci di muoversi con competenza e autonomia nella società dell’informazione.

Audio Lezioni sulla Pedagogia e organizzazione della scuola del prof. Gaudio

Ascolta “Pedagogia e organizzazione della scuola” su Spreaker.