Il Regolamento europeo generale sulla protezione dei dati (General Data Protection Regulation - GDPR) n. 2016/679 definisce l’interessato come la persona fisica a cui si riferiscono i dati personali oggetto di trattamento. Il Regolamento (Capo III) riconosce espressamente all’interessato una serie di diritti. In particolare:

a. Diritto di accesso dell’interessato (artt. 15, Cons. 63, 64 GDPR)

Questo diritto consente all'interessato di ottenere dal titolare del trattamento - senza alcun obbligo di motivazione a sostegno della richiesta - la conferma che sia in corso un trattamento dei propri dati personali.  In caso affermativo, l'interessato ha il diritto di accedere a tali dati e ricevere informazioni relative a: le finalità del trattamento; le categorie di dati trattati; i destinatari o le categorie di destinatari a cui i dati sono stati o saranno comunicati (in particolare se destinatari di Paesi extra-Ue o organizzazioni internazionali); il periodo di conservazione dei dati o i criteri utilizzati per determinarlo; l'esistenza di eventuali processi decisionali automatizzati, compresa la profilazione.

L'interessato può anche richiedere copia dei dati personali oggetto di trattamento, generalmente fornita gratuitamente, salvo il caso in cui la richiesta sia manifestamente infondata o eccessiva. Tale diritto di ottenere copia dei propri dati può tuttavia subire limitazioni anche se tale azione è lesiva di diritti e libertà altrui.

Indicazioni dettagliate sull’esercizio di questo diritto sono nelle le Linee guida 1/2022 sui diritti degli interessati - Diritto di accesso, ver. 2.1dall’European Data Protection Board (EDPB).

b. Diritto di rettifica (art. 16, Cons. 65 GDPR)

Il diritto di rettifica consente all'interessato di ottenere dal titolare del trattamento la correzione dei dati personali inesatti che lo riguardano. L'interessato può anche richiedere l'integrazione dei dati personali incompleti, fornendo una dichiarazione integrativa se necessario. Il titolare deve provvedere alla rettifica senza ingiustificato ritardo, generalmente a titolo gratuito, garantendo così che i dati trattati siano sempre aggiornati, accurati e completi.

c. Diritto alla cancellazione e diritto all’oblio (art. 17, Cons. 65, 66 GDPR)

Il diritto alla cancellazione e il diritto all’oblio sono diritti distinti mediante il cui esercizio si perviene allo stesso risultato: la cancellazione dei dati personali su richiesta dell’interessato.
Sui tratti distintivi dei due diritti è intervenuta in più occasioni la Corte di giustizia dell’Unione europea (CGUE), che ha così definire i contorni del diritto all’oblio: un diritto riconosciuto all’interessato per ottenere la rimozione dei propri dati personali resi pubblici (es. notizie di cronaca, motori di ricerca, social, ecc.) quando risultino “affievoliti” - a seguito di una valutazione logico-funzionale - alcuni indici tra cui, le finalità del trattamento, il contesto all’interno del quale sono stati utilizzati tali dati, il peso e l’attualità, nonché l’interesse pubblico sulla notizia/informazione (CGUE, Case C131/12, Google Spain).

Il diritto alla cancellazione consente invece all'interessato di ottenere la cancellazione dei propri dati personali senza ingiustificato ritardo, quando: i dati non sono più necessari per le finalità per cui sono stati raccolti o trattati; il consenso sia stato revocato e non esistono altri fondamenti giuridici per il trattamento; i dati sono stati trattati illecitamente; la cancellazione è necessaria per adempiere a un obbligo legale; l'interessato si oppone al trattamento e non prevalgono motivi legittimi per proseguirlo. 

Entrambi tali diritti non sono assoluti, possono cioè essere limitati, per esempio, per garantire l'esercizio della libertà di espressione, o l'adempimento di obblighi legali o per motivi di interesse pubblico.
d. Diritto alla limitazione del trattamento (art. 18, Cons. 67 GDPR)

Il diritto alla limitazione del trattamento consente all'interessato di richiedere al titolare di limitare l'uso dei propri dati personali in determinati casi, senza richiederne la cancellazione. La limitazione può essere esercitata quando: l'interessato contesta l'esattezza dei dati, per il periodo necessario al titolare per verificarli; il trattamento è illecito, ma l'interessato si oppone alla cancellazione e richiede invece la limitazione; il titolare non necessita più dei dati, ma l'interessato li richiede per accertare, esercitare o difendere un diritto in sede giudiziaria; l'interessato si è opposto al trattamento, in attesa della verifica di prevalenza dei legittimi motivi del titolare.

Durante la limitazione, i dati possono essere solo conservati e trattati in casi specifici, come con il consenso dell'interessato o per ragioni legali.

e. Diritto alla (obbligo di) notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento (art. 19, Cons. 31 GDPR)

Questo diritto dell’interessato è speculare rispetto alla previsione dell’obbligo a carico del titolare del trattamento di informare l'interessato, e tutti i destinatari a cui sono stati comunicati i dati personali, di eventuali rettifiche, cancellazioni o limitazioni del trattamento. L'obbligo di notifica garantisce trasparenza e permette agli altri soggetti interessati (ad esempio altre organizzazioni) di aggiornare o eliminare i dati nei loro sistemi.

Il titolare non è tenuto alla notifica solo se ciò risulta impossibile o comporta uno sforzo sproporzionato. Su richiesta dell'interessato, il titolare deve anche fornire informazioni sui destinatari che hanno ricevuto i dati.

f. Diritto alla portabilità dei dati (art. 20, Cons. 68 GDPR)

Il diritto alla portabilità dei dati consente all'interessato di ricevere dal titolare del trattamento i propri dati personali in un formato strutturato, di uso comune e leggibile da dispositivo automatico. L'interessato può inoltre richiedere che i dati siano trasmessi direttamente a un altro titolare, se tecnicamente fattibile. Si tratta di un diritto che tutela i dati personali, favorendone al contempo la circolazione. Il diritto alla portabilità si applica solo quando il trattamento è basato sul consenso o su un contratto; o quando il trattamento è effettuato con mezzi automatizzati. Esso non si applica ai trattamenti non automatizzati o necessari per l’interesse pubblico. 

g. Diritto di opposizione  (art. 21, Cons. 69, 70 GDPR)
 
Il diritto di opposizione consente all'interessato di opporsi in qualsiasi momento al trattamento dei propri dati personali, per ragioni di interesse pubblico o per legittimo interesse del titolare (compresa la profilazione), ma anche per evitare il trattamento per finalità di marketing diretto (in questo caso, il diritto è assoluto). 
Il titolare deve interrompere il trattamento, salvo che dimostri l'esistenza di motivi legittimi cogenti che prevalgano sui diritti e le libertà dell'interessato o per l'accertamento, esercizio o difesa di un diritto in sede giudiziaria.
L'opposizione al marketing diretto, inclusa la profilazione correlata, implica l'immediata cessazione del trattamento per tali finalità.

h. Diritto di non essere sottoposto a una decisione che sia basata unicamente su un trattamento automatizzato (art. 22, Cons. 71, 72 GDPR)

Questo diritto tutela l’interessato nel caso di decisioni che lo riguardano in modo significativo (es. rifiuto di credito o selezione per un lavoro) prese esclusivamente tramite processi automatizzati (es. utilizzando l’intelligenza artificiale), anche per finalità di profilazione.  In particolare, questo diritto trova applicazione quando le decisioni producono effetti giuridici sull'interessato o influiscono in modo analogo e significativo sulla sua vita. 

Il trattamento automatizzato è consentito solo se necessario per la conclusione o esecuzione di un contratto; autorizzato dal diritto europeo o degli Stati membri; basato sul consenso esplicito dell'interessato. Tuttavia, in tali casi, il titolare è tenuto ad adottare adeguate misure di salvaguardia, come il diritto dell’interessato di ottenere l'intervento umano sul contenuto della decisione automatizzata, di esprimere la propria opinione e di contestare la decisione.

Oltre ai diritti elencati espressamente previsti dal GDPR, all’interessato sono riconosciuti altri diritti deducibili in via interpretativa dall’analisi di altre disposizioni dello stesso Regolamento. Si tratta del diritto al trattamento in forma concisa, trasparente e intellegibile (art. 12 GDPR) e del diritto alla revoca del consenso (art. 7 GDPR).
Il primo discende dall’obbligo per il titolare del trattamento di adottare adeguate misure di trasparenza (es. l’informativa del trattamento) per rendere edotto l’interessato sulle caratteristiche e condizioni del trattamento e sui suoi diritti. L’adeguatezza delle misure comunicative variano a seconda del contesto e soprattutto dell’età dell’interessato: particolari cautele sono infatti poste nel caso in cui il trattamento abbia ad oggetto i dati personali dei minori. 
Il secondo consente all’interessato di revocare il consenso in qualsiasi momento e con la stessa facilità con cui è stato accordato, senza che ciò pregiudichi la liceità del trattamento basato sul consenso prima della revoca.

Il titolare del trattamento non può rifiutare di soddisfare le richieste degli interessati circa l’esercizio dei propri diritti, salvo i limiti e le restrizioni indicate in precedenza. Se l’interessato ritenga che i diritti di cui gode sono stati violati, può proporre reclamo all’Autorità garante per la protezione dei dati personali o proporre ricorso davanti al giudice (art. 79, Cons 141, 145, 147 GDPR; artt. 140-bis e ss.; d.lgs. 101/2018).