Il Regolamento 2016/679/UE (GDPR) riconosce a favore dell’interessato (definito quale persona fisica identificata o identificabile) il diritto alla rettifica dei dati inesatti o non aggiornati (art. 16) e il diritto alla cancellazione (art. 17).
Tali diritti possono essere esercitati indirizzando una richiesta di accesso, rettifica e cancellazione direttamente al titolare o al responsabile del trattamento dei dati personali, i quali sono tenuti a rispondere senza ingiustificato ritardo al più tardi entro un mese dal ricevimento dell’istanza (termine prorogabile di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste).
L’istanza può quindi essere indirizzata sia al gestore della pagina web sul quale i contenuti sono pubblicati, sia al gestore del motore di ricerca, onde consentire al primo di rimuovere/aggiornare la notizia inesatta e al secondo, invece, di intervenire rimuovendo il link che rimanda alla relativa pagina web dai propri risultati di ricerca.
In caso di mancato riscontro nei termini suindicati o nel caso ritenga non soddisfacente la risposta ricevuta, l’istante può alternativamente rivolgersi con ricorso all’autorità giudiziaria, oppure presentare un reclamo all’autorità Garante per la Privacy (in seguito, Garante), ai sensi dell’art. 77 del GDPR.
Al termine di una fase di istruttoria preliminare, il Garante può concludere l’esame del reclamo archiviandolo, quando la questione ivi prospettata non risulti riconducibile ai compiti ad esso demandati o non siano ravvisati gli estremi di una violazione della disciplina rilevante in materia di protezione dei dati personali, o se si tratta di una richiesta eccessiva (per il carattere pretestuoso o ripetitivo ai sensi dell’articolo 57, paragrafo 4, del GDPR); oppure comunicare al titolare e, se del caso, al responsabile del trattamento, l’avvio del procedimento per l’adozione dei provvedimenti di cui agli articoli 58, paragrafo 2, e 83 del GDPR, tramite l’invio di una comunicazione contenente una sintetica descrizione dei fatti e delle presunte violazioni della disciplina rilevante in materia di protezione dei dati personali, nonché delle relative disposizioni sanzionatorie e della possibilità di inviare al Garante, entro trenta giorni, scritti difensivi o documenti ovvero chiedere di essere sentito dalla medesima Autorità.
All’esito, il Collegio provvede con propria deliberazione e adotta, ove necessario, i provvedimenti correttivi e sanzionatori di cui all’articolo 58, paragrafo 2, del GDPR. Il Collegio provvede con propria deliberazione anche quando rileva l’infondatezza del reclamo.
Avverso la decisione del Garante è ammesso il ricorso giurisdizionale ai sensi degli articoli 143 e 152 del Codice Privacy (D.lgs 196/2003 aggiornato al D.lgs 101/2018) e dell'articolo 78 del GDPR, che può essere presentato anche nel caso in cui l’ufficio non abbia trattato il reclamo o non abbia informato nei termini l’istante dello stato o dell’esito dello stesso.
