La normativa europea garantisce agli interessati alcuni diritti. In parte si tratta di una conferma di diritti già sanciti dalla precedente Direttiva, in parte di un’evoluzione, ma vengono anche introdotte alcune novità.

Non tutti sono applicabili agli Enti pubblici in generale ed ai servizi demografici in particolare; ad esempio il diritto alla cancellazione del dato non si applica se c’è una previsione di legge che obbliga a trattarlo e conservarlo, cosi come il diritto alla portabilità del dato, ovvero la possibilità per l’utente di trasferire i suoi dati da un fornitore ad un altro, non è normalmente riferibile alla maggior parte degli Enti pubblici, anche se può trovare alcune applicazioni anche al di fuori del contesto privato.

Il regolamento europeo prevede che, in base alla finalità del trattamento, il titolare debba fornire agli interessati, prima del trattamento, le informazioni richieste dalle norme (art. 12). Ciò avviene tramite l'informativa.

L'informativa è una comunicazione rivolta all'interessato che ha lo scopo di informare il cittadino, anche prima che diventi interessato, sulle finalità e le modalità dei trattamenti operati dal titolare del trattamento,  Essa è condizione, non tanto del rispetto del diritto individuale ad essere informato, quanto del dovere del titolare del trattamento di assicurare la trasparenza e correttezza dei trattamenti fin dalla fase di progettazione dei trattamenti stessi, e di essere in grado di comprovarlo in qualunque momento (principio di accountability). 

L'informativa è dovuta ogni qual volta vi sia un trattamento di dati. L'obbligo di informare gli interessati va adempiuto prima o al massimo al momento di dare avvio alla raccolta dei dati.

L'informativa deve avere il seguente contenuto minimo (articoli 13 e 14 del Regolamento europeo):

• categorie di dati trattati e finalità  del trattamento (non le modalità del trattamento, ma quali dati vengono trattati divisi per categorie, a quale fine, per quanto tempo sono trattati, se i dati verranno trasferiti all'estero e, in questo caso, attraverso quali strumenti); 
• la base giuridica del trattamento, quindi se si tratta di trattamento basato su consenso o giustificato da leggi, legittimi interessi (in questo caso specificando quale è il legittimo interesse), ecc...;
• natura obbligatoria o facoltativa del conferimento dei dati e le conseguenze di tale rifiuto (specificando che è possibile rifiutare il consenso a singoli trattamenti quali quelli a fini di marketing diretto); 
• se il titolare ha intenzione di utilizzare i dati per una finalità diversa da quella per la quale sono stati raccolti; 
• soggetti destinatari (anche per categorie) ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi (l'indicazione di soggetti terzi non può essere generica); 
• se il titolare ha intenzione di trasferire i dati in paesi extra UE, nel qual caso se esiste o meno una decisione di adeguatezza della Commissione UE (ovvero se la Commissione ha deciso che il paese terzo, un territorio o uno o più settori specifici all'interno del paese terzo, o l'organizzazione internazionale in questione garantiscono un livello di protezione adeguato, per cui il trasferimento non necessita di autorizzazioni specifiche);
• il periodo di conservazione dei dati oppure l'indicazione dei criteri per determinarlo; 
• i diritti dell’interessato (diritto di accesso ai dati personali, di ottenere la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano, di opporsi al trattamento, di revocare il consenso, diritto di presentare reclamo all'autorità di controllo, eventuale diritto alla portabilità); 
• dati identificativi (nome, denominazione o ragione sociale, domicilio o sede) del titolare del trattamento e, se designato, del responsabile per la protezione dei dati (DPO), quindi un recapito al quale gli interessati potranno rivolgersi per esercitare i propri diritti; 
• se il trattamento comporta processi decisionali automatizzati (come la profilazione) deve essere specificato indicando anche la logica di tali processi decisionali e le conseguenze previste per l'interessato. 

L’interessato ha diritto di accedere, nel più breve tempo possibile e comunque entro 30 giorni, ai dati che lo riguardano.

La procedura è esente da qualunque tassa e diritto, come specificato dal Regolamento e come usuale per le dichiarazioni d’anagrafe e di stato civile.

E’ chiaro che, in mancanza di un’informatizzazione spinta, è piuttosto difficile risalire a tutti i dati. Già reperire un atto di stato civile solo sulla base di un nominativo richiederebbe la verifica di molti indici decennali. Se poi un dato è all’interno di un atto, ad esempio perché il soggetto è citato come testimone, è praticamente impossibile rispondere. Ma si tratta di un caso previsto, per cui, se è impossibile comunicare le informazioni o si potesse farlo solo a seguito di uno sforzo sproporzionato, non c’è obbligo di comunicazione, soprattutto per gli Enti pubblici (art. 14 c. 5 lett b) del Regolamento).

A seguito dell’accesso, l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:

1. le finalità del trattamento;
2. le categorie di dati personali in questione;
3. i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
4. quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
5. l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
6. il diritto di proporre reclamo a un'autorità di controllo;
7. qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;
8. l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

In presenza di dati non informatizzati, e non essendo materialmente possibile, il più delle volte, sfogliare tutto il cartaceo, in tali casi si potrà rispondere solo in riferimento ad atti noti o a dati reperibili in via informatica, preferibilmente specificando che altri dati possono essere presenti, ma, non essendo strutturati, non rientrano nell’ambito di applicazione come indicato del Considerando n. 15 e nel sopra citato art. 14.

Ogni cittadino ha diritto di conoscere i propri dati registrati in ANPR.
Tale principio è stato inserito dal legislatore nel 2015 all'art.35, comma 5, del d.P.R. n.223/1989, in cui si legge che presso gli uffici, gli iscritti esercitano i diritti di cui all'art.15 del GDPR, sui dati contenuti in ANPR nei limiti e nel rispetto delle modalità previsti dalla normativa sulla privacy.
In sintesi ogni cittadino ha diritto di conoscere, controllare e verificare i propri dati registrati in ANPR, ottenendo altresì informaizoni sulle modalità di trattamento e di comunicaizone a terzi dei medesimi.
Conoscere i propri dati significa due cose:
- visulaizzarli direttamente online, attraverso il portale ad essi dedicato;
- richiederne copia (visura) presso i soggetti titolati ad accedere ad ANPR, ovvero tramite gli uffici anagrafe
Essendo l'esercizio di di un diritto, tale modalità può avvenire con qualsiasi forma e senza l'emissione di un certificato: non può essere previsto alcun pagamento di diritti o imposte, e l'accesso non può essere sottoposto ad alcuna procedura formale, essendo sufficiente, e necessaria, l'identificazione del titolare. Il prodotto potrà essere un documento cartaceo o informatico, rilasciato senza alcuna formalità e sul quale non è necessaria la firma dell'ufficiale di anagrafe.
In sintesi l'accesso ai propri dati personali in ANPR:

• deve riguardare esclusivamente i dati dell'interessato o delle persone su cui egli esercita la responsabilità genitoriale o la tutela o da cui è stato espressamente delegato;

• può essere richiesto in qualsiasi comune;

• può avvenire mediante visione, anche telematica, previa identificazione del richiedente tramite SPID o CIE;

• può avvenire mediate il rilascio di un documento cartaceo o digitale, che dovrà riportare i dati richiesti o l'intera scheda anagrafica.