Art. 16 GDPR — Diritto di rettifica

Commento

Funzione del diritto di rettifica

L'art. 16 GDPR riconosce all'interessato il diritto di ottenere dal titolare la rettifica dei dati personali inesatti che lo riguardano. È applicazione diretta del principio di esattezza dell'art. 5, par. 1, lett. d: il titolare ha già l'obbligo strutturale di mantenere i dati esatti, e il diritto dell'art. 16 è la leva attraverso cui l'interessato attiva quell'obbligo. La rettifica non è subordinata al consenso del titolare: opera ipso iure su richiesta. Le linee guida EDPB e il Garante italiano hanno chiarito che la rettifica include anche la correzione di dati la cui esattezza è controversa: in pendenza di accertamento, l'interessato può chiedere limitazione ex art. 18.

Rettifica e integrazione (par. 1)

Il par. 1 prevede che, tenuto conto delle finalità del trattamento, l'interessato ha il diritto di ottenere l'integrazione dei dati personali incompleti, anche fornendo una dichiarazione integrativa. La norma copre dunque due ipotesi: rettifica di dati inesatti e integrazione di dati incompleti. La prima richiede sostituzione del dato errato; la seconda l'aggiunta di informazione complementare (dichiarazione integrativa, allegato al record). L'esattezza è valutata in relazione alle finalità: un dato anagrafico inesatto è critico in un registro civile, meno in una mailing list temporanea.

Onere informativo dei destinatari (art. 19)

L'art. 19 GDPR impone al titolare di comunicare la rettifica a ciascun destinatario cui i dati sono stati trasmessi, salvo impossibilità o sforzo sproporzionato. La regola garantisce la propagazione della correzione lungo la catena del trattamento. Su richiesta dell'interessato, il titolare informa l'interessato dei destinatari delle informazioni. La prassi del Garante ha sanzionato titolari che hanno corretto i dati nel proprio sistema ma non hanno notificato fornitori, partner e contitolari.

Rapporto con il principio di esattezza

Il diritto di rettifica è strumentale all'esattezza ma anche all'equità del trattamento: dati inesatti distorcono profili di credito, valutazioni, decisioni automatizzate. La CGUE ha sottolineato che l'esattezza è valore intrinseco del trattamento, soprattutto per categorie particolari (dati di salute, dati finanziari) e per decisioni automatizzate (art. 22). La rettifica può determinare il riallineamento di scoring algoritmici e di provvedimenti basati su dati errati.

Casi tipici di rettifica

Aree tipiche: rettifica di dati anagrafici in registri pubblici e banche dati, correzione di scoring creditizio per dati errati, rettifica di anamnesi mediche, aggiornamento di status lavorativo nei sistemi HR e previdenziali, correzione di curriculum su piattaforme professionali. Il Garante italiano ha sanzionato titolari che hanno opposto rifiuti generici, ritardi superiori a 1 mese senza motivazione, richieste eccessive di documentazione probatoria. Per dati la cui esattezza è oggetto di accertamento (es. contenzioso), si applica la limitazione ex art. 18.

Bilanciamento e limiti

Il diritto di rettifica può essere bilanciato con esigenze di archiviazione, ricerca o conservazione: in alcuni casi si procede a integrazione anziché sostituzione (la versione errata resta per finalità storiche, l'integrazione spiega il dato corretto). Per i giornali e gli archivi storici, la giurisprudenza del Garante e della Cassazione ha tracciato regole specifiche su correzione vs aggiornamento (es. archivi giornalistici online): la rettifica non comporta cancellazione dell'articolo originario, ma annotazione contestuale dell'evoluzione del fatto.

Regola pratica e checklist operativa

Compliance art. 16: (i) processo documentato di gestione richieste; (ii) workflow di modifica con tracciamento (audit log); (iii) notifica automatica ai destinatari noti (CRM, fornitori); (iv) per archivi storici, valutare integrazione vs sostituzione; (v) per dati controversi, applicare limitazione art. 18; (vi) registrare la rettifica nel registro art. 30.

Accountability e documentazione

Tutti gli adempimenti relativi a questa disposizione devono essere documentati ai fini del principio di accountability di cui all'art. 5, par. 2 GDPR: integrazione nel registro dei trattamenti (art. 30), valutazione del rischio in DPIA quando applicabile (art. 35), formazione del personale autorizzato al trattamento (art. 29), audit periodici e tracciamento delle decisioni. Le sanzioni amministrative di cui all'art. 83 GDPR e la responsabilità civile dell'art. 82 presuppongono la dimostrazione, da parte del titolare, di aver adottato misure tecniche e organizzative adeguate. La consulenza del DPO, ove designato, è strumento prezioso per la corretta declinazione operativa.

Coordinamento con il Codice Privacy italiano

L'applicazione di questa disposizione in Italia avviene in coordinamento con il D.Lgs. 196/2003 (Codice in materia di protezione dei dati personali) come modificato dal D.Lgs. 101/2018 di adeguamento al GDPR. Il Codice integra il Regolamento europeo nelle materie specifiche lasciate alla discrezionalità degli Stati membri: lavoro (art. 88 D.Lgs. 196/2003), sanità (artt. 75 ss.), ricerca scientifica e statistica (artt. 99-110), giornalismo (art. 137), archivi (artt. 99-103), trattamento di categorie particolari (art. 2-septies), dati di condanne penali (art. 2-octies), limitazioni (art. 2-undecies). I provvedimenti generali e le regole deontologiche approvati dal Garante per la protezione dei dati personali hanno valore precettivo e devono essere considerati. La giurisprudenza della Cassazione e del Tribunale di Roma (competente per ricorsi ex art. 152 D.Lgs. 196/2003) ha consolidato la prassi interpretativa nazionale, coerente con la giurisprudenza CGUE. Per il consulente privacy, l'approccio sistematico richiede integrazione di GDPR, Codice Privacy e provvedimenti del Garante in un framework unitario di compliance.