ll diritto di accesso come previsto dall’art 15 del GDPR è uno dei diritti fondamentali in tema di privacy e lo European Data Protection Board (EDPB) con le linee guida pubblicate nel marzo 2023 fornisce indicazioni pratiche da seguire per gestirlo correttamente .
Questo diritto garantisce all’interessato di ottenere conferma dell’esistenza di un trattamento dei suoi dati nonchè di accedere ai propri dati oggetto di trattamento e alle informazioni a questo relative (quali finalità, destinatari , periodo di conservazione, ecc) .
Cosa deve fare il titolare del trattamento quando riceve una richiesta di accesso
Il titolare deve essere preparato a ricevere le richieste di accesso e a rispondere senza ritardo e senza indagare sulle ragioni che le hanno determinate.
L’EDPB individua le seguenti domande che i titolari dovrebbero porsi nella valutazione delle richieste degli interessati:
- La richiesta riguarda dati personali?
- La richiesta riguarda la persona richiedente (o la persona per conto della quale il soggetto autorizzato/ delegato fa la richiesta)?
- Si applicano disposizioni, diverse dal GDPR, che regolano l’accesso a una determinata categoria di dati?
- La richiesta rientra nell’ambito di applicazione dell’art. 15 del GDPR?
- Gli interessati vogliono accedere a tutte o a una parte delle informazioni che li riguardano?
A seguito della richiesta, valutati gli elementi di cui sopra, l’interessato ha diritto a ottenere tutti i dati che lo riguardano . Nel caso in cui il titolare tratti una grande quantità di dati di suo interesse, è lecito che chieda all’interessato di delineare con maggior precisione il perimetro della sua richiesta, se ve ne è uno.
Per facilitare l’esercizio del diritto, il titolare dovrà adottare in anticipo delle procedure per rispondere senza ritardo all’interessato, prima che i dati siano cancellati, anche nei casi in cui sia previsto un periodo di conservazione breve.
Le modalità di risposta alle richieste degli interessati
Il titolare deve fornire all’interessato tutte le informazioni e i dati che detiene al momento della richiesta; pertanto, dovrà includere anche informazioni su dati inesatti o su trattamenti che non sono più leciti, in quanto proprio uno degli obiettivi di tale diritto è permettere all’interessato di verificare l’esistenza di eventuali trattamenti illeciti.
Si osservi che è onere del titolare fornire agli interessati dei canali appropriati e di facile utilizzo per esercitare il proprio diritto, anche se l’interessato può usare qualsiasi canale per formulare la richiesta. Chiaramente ove la richiesta non arrivasse al titolare, è legittimo che questo non risponda.
E’ auspicabile che il titolare adotti dei meccanismi di risposta e gestione automatica per assicurare i flussi comunicativi interni e verso l’interessato, in particolare per quanto riguarda la conferma della ricezione della richiesta e l’inoltro alla persona competente internamente all’azienda.
Prima di dare seguito alla richiesta, il titolare deve essere in grado di identificare univocamente l’interessato (autenticazione) e essere in grado di sapere quali dati si riferiscono a lui (identificazione). Se il titolare ha ragionevoli motivi per dubitare dell’identità del richiedente, può richiedere ulteriori informazioni per confermare la sua identità.In ogni caso, il titolare non può raccogliere più dati personali di quelli necessari a consentire l’autenticazione del soggetto richiedente.
Ad esempio in un contesto online va evitata la richiesta di un documento di identità (che eleva il rischio collegato al trattamento dati) in favore di un riscontro, ad esempio, sulle credenziali di accesso al servizio. Nei casi in cui sia comunque necessario controllare un documento di identità, l’EDPB raccomanda di prendere nota esclusivamente dell’esito positivo del controllo e di evitare di conservare una copia dello stesso.
I dati devono poi essere forniti in una maniera chiara ed accessibile e, se la richiesta di accesso riguarda una grande quantità di dati, gli stessi possono essere forniti con un approccio a più livelli (“stratificato”) che dovrà tenere in considerazione quali informazioni sono più rilevanti per l’interessato e dovrà fornire queste per prime.
Se l’interessato presenta la richiesta mediante mezzi elettronici, il titolare fornisce le informazioni in un formato elettronico di uso comune che tenga in considerazione la facilità con cui l’individuo può accedere alle informazioni, anche alla luce delle istruzioni fornite.
Infine, il titolare deve fornire i dati senza ingiustificato ritardo e al più tardi entro un mese. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste.
Sul punto, l’EDPB individua alcuni elementi che possono determinare la complessità di una richiesta, tra cui, ad esempio:
- la quantità di dati trattati dal titolare,
- come vengono archiviate le informazioni, soprattutto quando è difficile recuperarle, ad esempio quando i dati sono trattati da diverse unità dell’organizzazione,
- la necessità di oscurare le informazioni quando si applica uno dei limiti al diritto di accesso, ad esempio rispetto alle informazioni che riguardano altri interessati o che costituiscono segreti commerciali, e
- quando l’informazione richiede ulteriore lavoro per essere comprensibile.
I limiti al diritto di accesso
Gli unici limiti che possono essere posti all’esercizio del diritto di accesso riguardano la potenziale lesione di diritti e libertà altrui nonché il fatto che la richiesta possa rivelarsi infondata o eccessiva. Non rientrano fra le cause di limitazione gli interessi economici di una società a non divulgare i dati personali, purché non vi siano informazioni relative a segreti commerciali, proprietà intellettuale o altri diritti protetti dalla normativa.
Per quanto riguarda il fatto che una richiesta sia “eccessiva”, questa considerazione deve essere effettuata sulla base di un criterio quantitativo, con particolare riferimento all’intervallo intercorso tra una richiesta ed un’altra. I criteri per individuare se è trascorso un intervallo ragionevole sono i seguenti:
- quanto spesso i dati sono modificati;
- la natura dei dati, in particolare se sono dati particolari;
- le finalità del trattamento;
- se le richieste successive riguardano la stessa tipologia di informazioni e trattamenti.
Il fatto che l’interessato non abbia dato sufficienti motivazioni a supporto della richiesta, che si sia dimostrato scortese o che voglia utilizzare i dati per avanzare pretese nei confronti del titolare non sono motivazioni valide per ritenere la richiesta eccessiva. Solo nel caso in cui il soggetto proponesse di ritirarla solo a fronte di un vantaggio in cambio è da ritenersi una valida motivazione per non evaderla. Se la richiesta è considerata infondata o eccessiva, il titolare può chiedere il pagamento dei costi amministrativi o rifiutarsi di adempiere alla richiesta.
Lascia un commento