trattamento dati personali

Diritto di accesso ai dati personali, le linee guida EDPB: come attuare le procedure e evitare sanzioni

Le Linee Guida sul diritto di accesso adottate dall’EDPB sono un valido strumento per i titolari del trattamento e i loro consulenti per costruire una robusta procedura tailor-made che permetta agli interessati di esercitare l’accennato diritto senza complicazioni da entrambi i lati. Ecco i dettagli

Pubblicato il 28 Apr 2023

Elio Franco

Avvocato, Founder presso Franco, Pirro & Partners

Business,Man,Inside,Data,Transformation,,Big,Data,,Iot,,Data,Flow

Conclusa la fase di consultazione pubblica, l’EDPB ha adottato le nuove linee guida sul diritto di accesso ai dati personali da parte dei soggetti interessati, uno strumento indispensabile per i titolari del trattamento e i loro consulenti per definire al meglio le procedure interne senza incorrere in sanzioni.

Accesso ai dati, Pizzetti: “Le linee guida EDPB uno snodo cruciale. Ecco perché”

Cos’è il diritto di accesso?

L’art. 15 del GDPR disciplina il cosiddetto diritto d’accesso, ossia il diritto per gli interessati di essere messi a conoscenza da parte del titolare del trattamento del fatto che è in corso un trattamento dei propri dati personali. In particolar modo, il titolare deve informare l’interessato circa:

  • L’esistenza del trattamento stesso;
  • Le categorie di dati personali trattate;
  • Le finalità del trattamento;
  • I destinatari dei dati, specificando se fra di essi vi siano soggetti stabiliti al di fuori dello Spazio Economico Europeo e, quindi, se sussiste un trasferimento transfrontaliero dei dati personali;
  • Se possibile, della durata del periodo di conservazione dei dati personali;
  • L’origine dei dati, ovverosia la fonte da cui sono stati acquisiti, se i dati non sono stati raccolti dall’interessato (e, quindi, ad esempio, acquisiti da una banca dati);
  • I diritti dell’interessato: il titolare del trattamento deve informare l’interessato sui suoi diritti, tra cui il diritto alla rettifica, alla cancellazione, alla limitazione del trattamento e il diritto di opporsi al trattamento;
  • Il diritto di presentare un reclamo: l’interessato deve essere informato del suo diritto di presentare un reclamo all’autorità di controllo competente, in particolare nel paese in cui risiede, lavora o si verifica l’eventuale violazione;
  • L’esistenza di processi decisionali automatici e di profilazione: se i dati personali sono utilizzati per la profilazione o per prendere decisioni automatizzate, il titolare del trattamento deve informare l’interessato sulla logica utilizzata e l’importanza e le conseguenze previste di tali trattamenti per l’interessato.

Le informazioni devono essere fornite in modo chiaro, trasparente e comprensibile, garantendo che l’interessato sia pienamente consapevole delle modalità e delle finalità del trattamento dei suoi dati personali. L’EDPB, nelle Linee Guida adottate lo scorso 17 aprile, ha chiarito alcuni aspetti del diritto di accesso.

Le modalità di accesso e di risposta

Dato che il diritto d’accesso rientra nel novero dei diritti dell’interessato, ad esso si applicano le disposizioni comuni ad essi, previste dall’art. 12 del GDPR: il titolare, dunque, non può chiedere alcun compenso per la risposta all’interessato e ha trenta giorni di tempo per rispondere alla richiesta di accesso. Solo nel caso in cui rispondere all’interessato sia particolarmente complesso, il titolare può comunicargli, sempre nei trenta giorni dalla ricezione dell’istanza, di aver bisogno di più tempo, posticipando la risposta di ulteriori sessanta giorni. La complessità della richiesta può essere determinata sulla scorta di determinati fattori, quali, ad esempio, la quantità di dati trattati dal titolare, le modalità di archiviazione delle informazioni, la necessità di oscurare alcuni dati riferibili ad altri interessati o che costituiscono segreti commerciali e, infine, nel caso in cui le informazioni da rendere all’interessato debbano essere soggette ad un lavoro

La risposta deve essere data in forma scritta e con mezzi elettronici ove l’istanza sia presentata con le stesse modalità. A tal riguardo, il GDPR prevede che l’interessato possa esercitare i propri diritti senza particolari formalità: dunque, non è possibile condizionare la richiesta di accesso ai dati personali solo ed esclusivamente alla compilazione di moduli confezionati dal titolare o all’utilizzo di alcuni strumenti (ad esempio, la PEC o la raccomandata A/R), escludendo le altre forme di comunicazione.

Attenzione però: l’EDPB specifica espressamente che se il titolare ha messo a disposizione dei canali di comunicazione particolari per l’esercizio del diritto di accesso, come, ad esempio, un indirizzo e-mail o una pagina web dedicati, e l’interessato presenta la propria istanza usando altri canali (come, ad esempio, l’indirizzo e-mail di un dipendente), il titolare può non rispondere all’istanza.

La verifica dell’identità dell’interessato

L’EDPB ha chiarito anche le modali con cui il titolare può accertare l’identità dell’interessato: innanzitutto, l’accertamento deve partire solo e solamente se il titolare ha dei dubbi sul fatto che sia una terza persona a esercitare il diritto di accesso e non l’interessato stesso.

Per l’identificazione si può procedere semplicemente a chiedere all’interessato di confermare alcuni suoi dati (come, ad esempio, quale sia stata l’ultima interlocuzione avvenuta con il titolare, o, ancora, se si dispone di una piattaforma online, di confermare username e password eseguendo il login nell’area cliente): infatti, l’EDPB scoraggia fortemente la richiesta di un documento di identità perché può mettere a rischio le libertà e i diritti fondamentali dell’interessato. Tale richiesta è ammissibile solo se è prevista espressamente da una legge speciale, oppure se i dati trattati rivestono particolare delicatezza. Nel caso in cui sia richiesta la copia del documento, il titolare dovrà distruggerla dopo aver ultimato le verifiche del caso, prendendo nota dell’esito positivo del controllo.

Limiti al diritto di accesso

L’EDPB si occupa anche di specificare quali possano essere i limiti al diritto di accesso, dettagliando le fattispecie previste dall’art. 15 del GDPR (cioè se il diritto di accesso possa in qualche modo condizionare i diritti e le libertà altrui) e l’art. 12 dello stesso Regolamento, ossia ove la richiesta sia manifestamente eccessiva o infondata.

Ad esempio, nel primo caso il titolare deve fare tutto il possibile per rispondere all’interessato, oscurando, se il caso, i dati riferibili ai terzi, ma può rifiutarsi di rispondere se dalla risposta stessa possano emergere segreti industriali. Nel secondo caso, invece, il titolare può non rispondere all’interessato se costui ha presentato più di una richiesta in un tempo ragionevolmente breve o se la richiesta riguardi trattamenti palesemente non eseguiti dal titolare.

Ad ogni buon conto, la richiesta non può essere considerata eccessiva se l’interessato non l’ha motivata, se costui utilizza un linguaggio improprio e/o scortese o se l’interessato intenda utilizzare i dati così ottenuti per avanzare ulteriori pretese, anche in sede giudiziaria, contro il titolare.

Conclusioni

Le Linee Guida sul diritto di accesso adottate dall’EDPB sono un valido strumento per i titolari del trattamento e i loro consulenti per costruire una robusta procedura tailor-made che permetta agli interessati di esercitare l’accennato diritto senza complicazioni da entrambi i lati.

Infatti, come anche chiarito dall’EDPB, la procedura può prevedere meccanismi di risposta tempestivi all’interessato, soluzioni per la comunicazione interna fra i dipendenti, ove, ad esempio, la risposta richieda la collaborazione di più organi aziendali, e task per fare in modo che le risposte siano veloci, intellegibili e satisfattive delle aspettative della persona fisica.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • marketing e tutele

    Equo compenso degli influencer, due pesi due misure: i problemi della legge

    21 Dic 2023

    di Flavio Genzano

    Condividi

Prossimo

Equo compenso degli influencer, due pesi due misure: i problemi della legge

Articolo 1 di 2