Quante volte avrete sentito dire da qualcuno “Chissà quante e quali informazioni su di te conosce Google!” [o Facebook, o Amazon, o qualsiasi altra organizzazione a scelta]. In realtà, un’affermazione di questo tipo non dovrebbe essere utilizzata come l’esempio di un mistero imperscrutabile. È però vero che ci sono ancora molte incomprensioni sul c.d. diritto di accesso, e su come gestire le richieste di accesso ai dati personali.
E soprattutto per le organizzazioni con un’elevata presenza sul web, o impegnate nel commercio B2C, o che operino in contesti delicati (sociale, sanità, educazione), non sono ammessi equivoci… Perché a fronte di un sempre maggiore interesse e attenzione da parte delle persone per il rispetto della loro privacy, essere in grado di rispondere adeguatamente alle richieste degli interessati significa limitare il rischio di possibili contestazioni davanti all’autorità Garante, e mantenere una solida reputazione sul mercato.
Ormai, quasi tutte le organizzazioni dispongono ormai di una procedura di gestione dei diritti previsti dal GDPR. Ma quel che gli uffici privacy dovrebbero chiedersi, è se rispettano pienamente i requisiti del Regolamento. All’atto pratico, sono in grado di applicare la procedura senza intoppi? Niente panico, ancora una volta ci viene in aiuto l’EDPB, che il 19 gennaio 2022 ha predisposto delle specifiche Linee guida. Vediamone i punti salienti.
Indice
DIRITTO DI ACCESSO: COS’E’?
Il diritto di accesso ai dati personali è uno dei diritti previsti dal capo III del GDPR. Può essere esercitato dagli interessati rivolgendosi al Titolare del trattamento. La sua importanza è presto detta: il diritto di accesso non è sancito solo dall’art. 15 GDPR, ma anche dall’art. 8 della Carta dei Diritti Fondamentali dell’UE.
Questo diritto tutela l’interessato che voglia ricevere: 1) la conferma che un Titolare svolga un trattamento di dati personali che lo riguardino; 2) una copia di tali dati personali; 3) ogni altra informazione rilevante in merito ai trattamenti dei suoi dati, come le finalità per cui si svolgono, i destinatari dei dati, la durata prevista dei trattamenti, l’origine dei dati, l’esistenza di processo decisionali automatizzati come la profilazione, le garanzie esistenti a tutela dei trasferimenti extra UE, e così via.
Accedendo ai propri dati, gli interessati (i cui dati potrebbero essere stati raccolti anche da altre fonti) hanno modo esercitare un adeguato controllo, la possibilità di comprendere le conseguenze delle operazioni svolte dal Titolare, accertarsi che i dati siano esatti e i trattamenti leciti.
Quando riceve una richiesta di accesso, comunque, il Titolare non dovrebbe valutare i motivi che spingono l’interessato a fare questa richiesta, ma semplicemente domandarsi “cosa” l’interessato sta chiedendo e valutare se effettivamente tratta i suoi dati personali. Non è necessaria, infatti, alcuna giustificazione o motivazione specifica per l’esercizio di tale diritto.
COME RICONOSCERE LE RICHIESTE DI ACCESSO AI DATI PERSONALI AI SENSI DELL’ART. 15 GPDR?
L’EDPB suggerisce alcune domande da porsi, in fase di analisi della richiesta.
La richiesta riguarda dati personali? Le richieste su altre questioni non correlate ai dati personali non sono da considerarsi richieste d’accesso ex art. 15 GDPR. Idem anche per richieste relative a dati anonimi. D’altra parte, non ci sono requisiti formali per fare una richiesta di accesso e gli interessati non sono tenuti a indicare la base giuridica della richiesta.
La richiesta riguarda la persona richiedente? Come regola generale, le richieste d’accesso devono provenire dall’interessato stesso o un suo delegato.
Si applicano disposizioni diverse dal GDPR per l’accesso a determinati dati? Le “richieste di accesso” possono riferirsi a varie fonti normative, e il Titolare deve verificare di poter soddisfare i requisiti di ciascuna norma.
A quali dati vuole accedere l’interessato? La richiesta si riferisce a tutte le informazioni o solo a una parte? Qualsiasi limitazione dovrà essere inequivocabile, altrimenti si dovrà intendere la richiesta come volta a esercitare il diritto in toto.
COME SI SODDISFANO LE RICHIESTE DI ACCESSO AI DATI PERSONALI?
Innanzitutto, è opportuno ricordare che qualsiasi Titolare del trattamento dovrebbe trovarsi preventivamente preparato alla possibilità di gestire le richieste ricevute dagli interessati. Allo scopo, sarà utile implementare adeguate procedure organizzative. Insieme a Data Breach, Privacy-by-design e Data Retention, la procedura per far fronte alle richieste di esercizio dei diritti è senza dubbio indispensabile in un efficace sistema di gestione dei dati personali.
In linea teorica, la gestione del diritto non sarebbe particolarmente complessa. Dopo essersi accertati dell’identità del richiedente e aver analizzato la richiesta, si verifica se realmente si trattano i dati dell’interessato. Se non si trattano dati di quella persona, sarà sufficiente comunicarglielo; d’altra parte, se si trattano i suoi dati, allora occorrerà dargliene conferma e comunicargli quali sono i dati trattati.
Per essere precisi: “accesso” significa accesso ai veri e propri dati. Una descrizione generale delle categorie trattate non è abbastanza. Va fornita al richiedente copia dei suoi dati, insieme alle informazioni generali sul trattamento (solitamente, le stesse che si riportano sul Registro dei trattamenti, o sulle informative redatte ai sensi dell’art. 13 GDPR).
COME INDIVIDUARE TUTTI I DATI CHE SI TRATTANO DI UN INTERESSATO?
Se sulla carta non ci sono grandi difficoltà, l’attività da svolgere, operativamente, non è sempre così limpida, soprattutto nell’individuazione dei dati richiesti. I dati di una persona possono essere presenti o essere gestiti tramite database diversi, e gli archivi possono differenziarsi, a loro volta, per l’adozione di vari criteri di strutturazione. Non sempre si potrà disporre di ogni informazione necessaria a individuare tutti i dati archiviati di una persona, e tuttavia il Titolare è tenuto a cercare i dati personali in tutti i suoi sistemi informatici e sistemi di archiviazione non informatici.
Come spesso accade in tema di protezione dati, le soluzioni migliori partono da una buona progettazione dei sistemi. Agendo preventivamente, si potrà raggiungere una buona organizzazione dei dati, e sviluppare sistemi consoni alle proprie esigenze per recuperare i dati.
CHE CARATTERISTICHE DEVE AVERE LA COMUNICAZIONE DEI DATI ALL’INTERESSATO?
Ecco tre criteri fondamentali che vanno rispettati nel rispondere a una richiesta d’accesso.
• Completezza delle informazioni. A meno che l’interessato non abbia fatto richieste specifiche, l’accesso va inteso in termini generali, e vanno quindi forniti tutti i dati che riguardano quella persona. Certo, se l’organizzazione tratta grandi quantità di dati, con pratiche articolate, è legittimo chiedersi se l’interessato sia effettivamente intenzionato a ricevere “tutto il pacchetto” (con il rischio di inondarlo di dati e non soddisfare realmente la sua richiesta). In questo caso, la soluzione migliore è approfondire con l’interessato stesso la natura della sua richiesta. Una soluzione ancora più pratica è prevenire il problema, implementando sistemi “self-service” (adatti soprattutto nel web) con cui l’interessato possa individuare in autonomia i dati che gli interessano.
• Correttezza delle informazioni. La comunicazione all’interessato deve contenere le informazioni e i dati personali effettivamente in possesso. Ciò comprende eventuali dati inesatti, che vanno inclusi nella comunicazione. Infatti, se a fronte di una richiesta di accesso ai dati, il Titolare omettesse o correggesse i dati inesatti prima di dare riscontro all’interessato, verrebbe meno l’obiettivo ultimo di questo diritto.
• Riferimento temporale. Il riscontro all’interessato deve rappresentare la situazione del momento in cui è stata ricevuta la richiesta di accesso. Il Titolare non è tenuto a fornire dati che ha trattato in passato e che ha smesso di conservare. È vero anche che, se solo al momento della richiesta il Titolare si rendesse conto di trattare illecitamente alcuni dati di quella persona, anche questi dati andrebbero inclusi nella risposta (prima di eliminarli!).
CON QUALI MODALITA’ GESTIRE LE RICHIESTE DI ACCESSO AI DATI PERSONALI?
Partiamo dalla forma della richiesta: non ci sono requisiti specifici a cui gli interessati devono attenersi per entrare in contatto col Titolare. Tuttavia, è buona norma predisporre canali di comunicazione appropriati e accessibili, che semplificano le operazioni sia agli interessati, sia al Titolare. Ad esempio, una casella mail in cui possano confluire tutte le richieste.
In termini di scadenze, la data di ricevimento della richiesta fa scattare il termine di un mese entro il quale bisogna dare un riscontro, in forma scritta, sulla presa in carico della richiesta.
Attenzione alla sicurezza dei dati anche nella gestione della richiesta! Ad esempio, l’identificazione dell’interessato richiedente dovrebbe svolgersi nel rispetto del principio di minimizzazione, chiedendo i minimi dati sufficienti all’identificazione stessa. Chiaro che, se ci sono ragionevoli dubbi sull’identità di chi ha presentato la richiesta, si possono richiedere maggiori informazioni. In ogni caso, se esiste già un canale di comunicazione digitale tra l’interessato e il Titolare (es. portale clienti), lo stesso metodo dovrebbe essere utilizzato per accertare l’identità della persona che richiede l’esercizio di un diritto.
Va ricordato, poi, che anche la comunicazione dei dati personali all’interessato è un’operazione di trattamento; pertanto, occorre trovare modalità sicure di svolgerla. Se si utilizzano modalità non elettroniche, si potrà ad esempio optare per l’utilizzo di posta raccomandata. Al contrario, se l’informazione è fornita per via elettronica, si potrà valutare la necessità di utilizzare forme di crittografia, protezione dei file con password, ecc.
QUANTO COSTA PER L’INTERESSATO ACCEDERE AI PROPRI DATI PESONALI?
L’art. 15 del GDPR impone al Titolare l’obbligo di fornire all’interessato, gratuitamente, una copia dei dati personali. Anche se il costo dovesse essere elevato per il Titolare (es. riproduzione di registrazioni audio/video), la prima copia dev’essere gratuita. Per ogni ulteriore copia richiesta, il Titolare può invece addebitare all’interessato i costi amministrativi sostenuti. Ovviamente, con trasparenza, e in misura ragionevole e non finalizzata a limitare l’accesso.
Per distinguere una “richiesta di copia ulteriore” da una “nuova richiesta”, ci si può basare sul tempo trascorso dalla precedente e sulla portata dei trattamenti. Se è trascorso un sufficiente lasso di tempo dalla richiesta precedente, se i trattamenti sono mutati nel frattempo, o se l’interessato chiede di ottenere informazioni relative ad aspetti o momenti diversi del trattamento, si applicherà il diritto di ottenere la copia gratuita.