In questa pagina è disponibile un modello diffida per violazione della privacy da scaricare e da compilare in base alle esigenze.
Indice
Riferimenti normativi
La diffida per violazione della privacy è un’intimazione scritta, tracciabile e giuridicamente fondata con cui l’interessato chiede al titolare del trattamento di cessare un uso illecito dei dati personali, di porre rimedio agli effetti già prodotti e di fornire riscontro documentato. Il quadro normativo di riferimento è il Regolamento (UE) 2016/679 e il Codice Privacy italiano, come modificato dal d.lgs. 101/2018. Non si tratta di un semplice reclamo informale: è un atto che richiama obblighi precisi, esercita diritti riconosciuti e prelude, se necessario, al reclamo al Garante per la protezione dei dati personali o all’azione giudiziaria.
La redazione efficace parte dall’inquadramento del rapporto e dei ruoli. Occorre rivolgersi al titolare del trattamento, cioè a chi determina finalità e mezzi, eventualmente per conoscenza al responsabile esterno e al Data Protection Officer se nominato. È essenziale descrivere in modo puntuale la condotta contestata, indicando quando e come è stata riscontrata, quali dati personali sono coinvolti, con quali canali sia avvenuta la raccolta o la diffusione e quali conseguenze ne siano derivate o possano derivarne. Una narrazione cronologica, sobria e verificabile rende più difficile una risposta evasiva e rafforza la tua posizione probatoria.
Il fondamento giuridico della diffida si costruisce attorno ai principi del GDPR: liceità, correttezza e trasparenza; limitazione della finalità e della conservazione; minimizzazione; esattezza; integrità e riservatezza. Quando manchi una base giuridica valida, quando l’informativa sia assente o incompleta, quando i dati siano usati per scopi incompatibili con quelli dichiarati, conservati più del necessario o comunicati a terzi senza presupposti, la diffida deve richiamare la violazione di tali principi e degli articoli pertinenti. Nella stessa sede puoi esercitare i diritti dell’interessato, chiedendo accesso e copia dei dati che ti riguardano, l’indicazione dell’origine quando i dati non sono stati raccolti presso di te, le finalità e la base giuridica del trattamento, le categorie di dati, il periodo di conservazione o i criteri che lo determinano. È corretto pretendere di conoscere non solo le categorie ma anche l’identità dei singoli destinatari cui i dati sono stati comunicati quando ne fai espressa richiesta in sede di accesso, così da rendere effettiva la tutela e permettere eventuali azioni correttive nei confronti di tali soggetti. Puoi inoltre domandare la rettifica delle informazioni inesatte, la cancellazione dei dati trattati senza valido presupposto, la limitazione sino alla verifica della liceità, il blocco di ogni ulteriore comunicazione a terzi e la notifica delle misure adottate ai destinatari a cui i dati sono stati trasmessi. Il titolare è tenuto a rispondere senza ingiustificato ritardo e comunque entro un mese, con possibilità di proroga motivata di due mesi in caso di complessità o numero di richieste elevato.
Quando la vicenda riguarda una violazione di sicurezza, la diffida può ricordare l’obbligo di notifica al Garante senza ingiustificato ritardo ed entro settantadue ore dal momento in cui il titolare ne viene a conoscenza, salvo che sia improbabile il rischio per i diritti e le libertà delle persone; se il rischio è elevato, il titolare deve informare direttamente anche gli interessati senza ingiustificato ritardo. È legittimo chiedere evidenza delle valutazioni di rischio effettuate e delle misure correttive implementate, nei limiti di quanto necessario per verificare la conformità.
Nel contesto delle comunicazioni di marketing la diffida può esercitare il diritto di opposizione, che in relazione al marketing diretto è assoluto: una volta che ti opponi, il trattamento deve cessare. È opportuno ricordare che la revoca del consenso deve essere facile quanto la sua prestazione e che il titolare ha l’obbligo di informare in modo chiaro del diritto di opposizione, al più tardi alla prima comunicazione. In Italia, per e-mail, SMS e chiamate automatizzate si applica anche l’articolo 130 del Codice Privacy, che richiede il previo consenso, con la limitata eccezione del cosiddetto soft spam per offerte relative a prodotti o servizi analoghi a quelli già acquistati e sempre con un opt-out semplice ed efficace. La diffida può quindi chiedere la cessazione immediata delle comunicazioni, la registrazione dell’opposizione in tutte le liste e canali utilizzati, la cancellazione degli indirizzi trattati senza titolo e la conferma scritta dell’avvenuta disiscrizione.
Per i sistemi di videosorveglianza la lettera può far valere la necessità di un’informativa adeguata anche tramite cartello, la proporzionalità degli angoli di ripresa rispetto alle finalità dichiarate, la limitazione dei tempi di conservazione delle immagini e la designazione di soggetti autorizzati al trattamento. Se l’informativa è assente o la ripresa eccede quanto necessario, puoi intimare l’immediata cessazione o rimodulazione del trattamento e la cancellazione dei filmati non indispensabili, con conferma scritta delle misure adottate.
Se sono coinvolti trasferimenti di dati verso paesi terzi, la diffida può chiedere chiarimenti sulla base giuridica del trasferimento e sulle garanzie adottate ai sensi del Capo V del GDPR, richiedendo copia degli strumenti utilizzati, come le clausole contrattuali standard, e l’indicazione di eventuali decisioni di adeguatezza applicabili. Anche in questo caso, l’obiettivo non è ottenere segreti industriali ma verificare la sussistenza di presupposti legali effettivi.
La forma e il canale di invio incidono sulla forza dell’atto. È preferibile trasmettere la diffida tramite posta elettronica certificata o raccomandata con avviso di ricevimento, così da poterne provare invio, contenuto e ricezione. È prudente allegare solo ciò che serve a documentare la violazione in modo lecito e proporzionato, come schermate, comunicazioni ricevute o estratti di pagine web. Nella lettera è utile dichiarare un termine distinto per le misure urgenti e per il riscontro integrale all’istanza: per esempio, immediata rimozione di un contenuto pubblicato online con conferma entro pochi giorni, e termine di un mese per soddisfare compiutamente le richieste di accesso, rettifica, cancellazione o limitazione. La fermezza delle scadenze può convivere con un tono misurato e collaborativo, lasciando spazio a un confronto tecnico con il DPO.
In assenza di risposta, o in presenza di un riscontro tardivo o incompleto, puoi presentare reclamo al Garante per la protezione dei dati personali e, parallelamente o in alternativa, adire l’autorità giudiziaria competente per ottenere ordini inibitori e il risarcimento dei danni. Le due vie sono autonome e complementari. Per la domanda risarcitoria, oltre all’illecito, dovrai provare l’esistenza di un danno materiale o non patrimoniale e il nesso causale con la violazione. È quindi importante conservare con cura ogni documento: prove della violazione, ricevute di invio e di consegna, risposte ricevute, eventuali attestazioni delle misure adottate dal titolare.
Esempio diffida per violazione della privacy
Modello 1 – Generico
Oggetto: Diffida per violazione della normativa privacy ed esercizio diritti ex GDPR
Spett.le [DENOMINAZIONE TITOLARE DEL TRATTAMENTO]
Io sottoscritto/a [NOME E COGNOME], in qualità di interessato/a, comunico di aver riscontrato in data [DATA EVENTO] un trattamento illecito dei miei dati personali, descritto come segue: [DESCRIZIONE PRECISA DEI FATTI, DEI DATI COINVOLTI, DEL CONTESTO]. Tale condotta risulta contraria ai principi di liceità, correttezza e trasparenza, di minimizzazione, limitazione della finalità e conservazione, esattezza, integrità e riservatezza previsti dal Regolamento (UE) 2016/679 e dal d.lgs. 196/2003 e s.m.i.
Con la presente intimo la cessazione immediata di ogni ulteriore trattamento non conforme, ivi inclusa la sospensione di qualsiasi comunicazione a terzi, e chiedo conferma scritta dell’avvenuta interruzione entro e non oltre [N] giorni dalla ricezione. Ai sensi degli artt. 15 e ss. GDPR esercito i miei diritti, chiedendo: conferma dell’esistenza del trattamento e copia dei dati che mi riguardano; indicazione dell’origine dei dati ove non raccolti presso di me; finalità e base giuridica; categorie di dati trattati; periodo di conservazione o criteri che lo determinano; identità dei singoli destinatari cui i dati siano stati comunicati, oltre alle relative categorie; attestazione delle misure correttive adottate e della loro notifica ai destinatari.
Domando la rettifica dei dati inesatti, la cancellazione dei dati trattati senza valido presupposto o oltre i tempi necessari, la limitazione del trattamento sino alla verifica della liceità e il blocco di ogni ulteriore comunicazione a terzi. Qualora siano avvenuti trasferimenti verso paesi terzi, chiedo di indicare la base giuridica e le garanzie adottate e di fornire copia degli strumenti di trasferimento applicati.
Resto in attesa di riscontro documentato entro un mese ai sensi del GDPR, con eventuale proroga motivata solo nei casi previsti. In difetto, presenterò reclamo al Garante per la protezione dei dati personali e mi riservo ogni azione in sede giudiziaria, anche ai fini risarcitori. Allego [ELENCO ALLEGATI RILEVANTI].
[LUOGO], [DATA]
[FIRMA]
[RECAPITI – EMAIL/PEC – TELEFONO]
Modello 2 – Marketing indesiderato e opposizione
Oggetto: Diffida per trattamento a fini di marketing e opposizione ex art. 21 GDPR – Richiesta di cessazione immediata
Spett.le [DENOMINAZIONE TITOLARE]
Con riferimento alle comunicazioni promozionali ricevute tramite [EMAIL/SMS/CHIAMATE AUTOMATIZZATE] ai recapiti [INDICARE], segnalo che non ho prestato valido consenso e, in ogni caso, mi oppongo al trattamento per finalità di marketing diretto. Le comunicazioni sono state ricevute in data [DATE] con i seguenti riferimenti [OGGETTI/MITTENTI/SCREENSHOT].
Intimo l’immediata cessazione di ogni attività di marketing e profilazione riferita ai miei recapiti, la registrazione dell’opposizione su tutti i vostri sistemi e canali, la cancellazione dei miei dati ove trattati senza valido presupposto e la conferma scritta dell’avvenuta disiscrizione. Esercito altresì i miei diritti ex artt. 15–17 GDPR chiedendo di conoscere l’origine dei dati, le finalità e basi giuridiche, il periodo di conservazione, l’identità dei destinatari a cui i dati siano stati comunicati e l’attestazione delle misure adottate e notificate a tali destinatari.
Per i canali regolati dall’art. 130 del Codice Privacy, richiedo conferma della base giuridica utilizzata e, in assenza di presupposti, la cancellazione dei recapiti e l’adozione di un opt-out effettivo. Resto in attesa di conferma dell’immediato blocco entro [N] giorni e del riscontro completo entro un mese; in difetto, procederò con reclamo al Garante e con ogni altra azione a tutela dei miei diritti. Allego [SCREENSHOT/MESSAGGI RICEVUTI].
[LUOGO], [DATA]
[FIRMA]
[RECAPITI – EMAIL/PEC – TELEFONO]
Modello 3 – Violazione di sicurezza (data breach)
Oggetto: Diffida per violazione di sicurezza dei dati personali – Richiesta misure correttive e riscontro
Spett.le [DENOMINAZIONE TITOLARE]
In data [DATA SCOPERTA] ho appreso della violazione di sicurezza che coinvolge i miei dati personali in relazione al servizio/prodotto [INDICARE], come da [COMUNICAZIONE RICEVUTA/INDICAZIONI PUBBLICATE/ALTRA FONTE]. I dati verosimilmente interessati sono [TIPOLOGIE DI DATI], con potenziali effetti [DESCRIVERE].
Intimo l’adozione e la conferma immediata delle misure atte a contenere e rimediare alla violazione, compreso, ove pertinente, il reset delle credenziali, il blocco degli accessi irregolari, l’isolamento dei sistemi compromessi e la prevenzione di ulteriori diffusioni. Chiedo di ricevere senza ingiustificato ritardo le informazioni essenziali previste dalla normativa: natura della violazione, categorie e numero approssimativo di interessati e di record coinvolti, possibili conseguenze, misure adottate o proposte per porre rimedio e attenuare gli effetti, punti di contatto del DPO o referente privacy.
Domando inoltre di conoscere se sia stata effettuata la notifica all’Autorità di controllo entro i termini di legge e, in caso affermativo, di riceverne gli estremi; qualora ricorra un rischio elevato, chiedo di confermare l’avvenuta comunicazione diretta agli interessati. Resto in attesa di conferma delle misure urgenti entro [N] giorni e del riscontro completo entro un mese; in difetto, mi riservo di presentare reclamo al Garante e agire in giudizio per la cessazione di condotte lesive e per il risarcimento dei danni subiti. Allego [EVENTUALI PROVE/COMUNICAZIONI].
[LUOGO], [DATA]
[FIRMA]
[RECAPITI – EMAIL/PEC – TELEFONO]
Modello 4 – Pubblicazione online non autorizzata di dati o immagini
Oggetto: Diffida e richiesta di rimozione immediata per pubblicazione illecita di dati/immagini personali
Spett.le [DENOMINAZIONE TITOLARE/AMMINISTRATORE DEL SITO/PIATTAFORMA]
In data [DATA] ho riscontrato la pubblicazione non autorizzata dei miei dati personali e/o della mia immagine all’indirizzo [URL/PAGINA], con descrizione come segue: [DETTAGLIO CONTENUTO PUBBLICATO]. La diffusione è priva di valido presupposto giuridico ed è in contrasto con il Regolamento (UE) 2016/679 e con le norme civilistiche sulla tutela dell’immagine e dell’onore.
Con la presente intimo la rimozione immediata del contenuto e di ogni sua copia o ripubblicazione, la disabilitazione dell’accesso tramite motori di ricerca, l’interruzione di ogni ulteriore trattamento e la cancellazione dei dati non necessari. Chiedo conferma scritta dell’avvenuto intervento entro [24/48] ore, nonché l’indicazione dell’identità dei destinatari a cui il contenuto sia stato comunicato e l’attestazione della notifica a tali destinatari delle misure correttive adottate.
Esercito i miei diritti di accesso, cancellazione e limitazione, chiedendo altresì l’indicazione dell’origine dei dati, delle finalità e della base giuridica, del periodo di conservazione, di eventuali trasferimenti verso paesi terzi e delle garanzie applicate. In assenza di riscontro tempestivo procederò con reclamo al Garante e con ogni azione a tutela, anche risarcitoria. Allego [SCREENSHOT/PROVE DELLA PUBBLICAZIONE].
[LUOGO], [DATA]
[FIRMA]
[RECAPITI – EMAIL/PEC – TELEFONO]
Modello 5 – Videosorveglianza non conforme
Oggetto: Diffida per trattamento illecito tramite sistemi di videosorveglianza – Richiesta adeguamento e riscontro
Spett.le [DENOMINAZIONE TITOLARE]
Presso i locali/siti [INDICARE LUOGO] ho riscontrato l’utilizzo di un sistema di videosorveglianza privo di adeguata informativa e con modalità di ripresa e conservazione non proporzionate rispetto alle finalità dichiarate. Le telecamere inquadrano [DESCRIVERE AREE, EVENTUALE RIPRESA DI SPAZI PUBBLICI O NON RILEVANTI] e non risultano presenti informazioni chiare su titolare, finalità, base giuridica, tempi di conservazione e diritti degli interessati.
Intimo l’immediata cessazione o rimodulazione del trattamento per riportarlo a conformità, la predisposizione e l’esposizione di un’informativa conforme, la limitazione degli angoli di ripresa alle sole aree necessarie, la riduzione dei tempi di conservazione ai limiti strettamente indispensabili e la designazione di incaricati autorizzati con istruzioni documentate. Esercito i miei diritti di accesso e limitazione, chiedendo copia dei dati che mi riguardano eventualmente registrati, le finalità e basi giuridiche, il periodo di conservazione, i log di accesso alle immagini, l’identità dei destinatari eventualmente destinatari delle registrazioni e, se svolta, evidenza sintetica della valutazione d’impatto o delle misure adottate per garantire la conformità.
Resto in attesa di conferma delle misure urgenti entro [N] giorni e del riscontro completo entro un mese; in caso contrario procederò con reclamo al Garante e con ogni altra azione a tutela dei miei diritti. Allego [FOTO/CARTELLI/PROVE DEL SISTEMA].
[LUOGO], [DATA]
[FIRMA]
[RECAPITI – EMAIL/PEC – TELEFONO]
Modello diffida per violazione della privacy da scaricare
Di seguito viene messo a disposizione un fac simile diffida per violazione della privacy in formato Word editabile da scaricare.
Il modello può essere modificato inserendo i dati mancanti e poi stampato.
