privacy

GDPR, gli errori più comuni che fanno sanzionare le aziende

Che vuol dire, in pratica “agevolare l’esercizio dei diritti”? E, soprattutto, è davvero così semplice adempiere a tale prescrizione, quando si opera in strutture articolate come le grandi imprese, i gruppi aziendali, gli enti pubblici? Ecco quali sono gli errori che possono implicare sanzioni e come evitarli

Pubblicato il 20 Mar 2023

Sergio Aracu

Founding Partner di Area Legale S.r.l.

Non-disclosure agreement, Cyber,Security,And,Data,Privacy,Protection,Concept,With,Icon,Of

È facile notare una azione sempre più incisiva, da parte delle Autorità di Controllo, nel sanzionare i titolari del trattamento per non aver ottemperato in modo corretto ai doveri previsti dal capo III del GDPR (rubricato: Diritti dell’interessato).

Riassumendoli, i Titolari sono tenuti a:

  • fornire, agli interessati tutte le informazioni necessarie a renderli edotti di come tratteranno i loro dati e di quali sono i loro diritti;
  • agevolare l’esercizio di tali diritti;
  • fornire agli interessati un riscontro puntuale rispetto all’azione intrapresa a seguito di una istanza di esercizio dei diritti.

Titolare, responsabile e contitolare del trattamento dati: i chiarimenti dell’EDPS

Cosa significa “agevolare l’esercizio dei diritti”, in pratica

Sebbene circolino ancora moltissime informative (ed informazioni) che non rispondono assolutamente ai canoni richiesti per poterle definire conformi alle previsioni dell’art. 12 (le stesse dovrebbero essere rese in forma concisa, trasparente, intellegibile, facilmente accessibile, con linguaggio semplice e chiaro), oggi puntiamo il faro sul punto ‘B’ dell’elenco di cui sopra.

Cosa significa “agevolare l’esercizio dei diritti”, in pratica?

Soprattutto, è davvero così semplice adempiere a tale prescrizione, quando si opera in strutture articolate come le grandi imprese, i gruppi aziendali, gli enti pubblici?

Abbiamo visto che anche un solo errore di gestione riguardo ad un solo interessato su migliaia, può portare ad una sanzione.

Perché?

Gli errori che possono portare a sanzioni

Il più delle volte la sanzione arriva perché l’azione ispettiva rileva delle malpractices nella gestione delle istanze di esercizio dei diritti.

Facciamo alcuni esempi.

La richiesta non viene affatto presa in considerazione

Primo: La richiesta non viene affatto presa in considerazione.

Questo accade per mille ragioni, tra le quali potremmo elencare le seguenti:

  • Il punto di contatto su cui arriva la richiesta (ad esempio: e-mail, tradizionale o certificata) non è presidiato.

Quanti siti web ospitano account info@___ attivi senza che nessuno li monitori? Molti.

  • Chi presidia l’account non riconosce, nel messaggio ricevuto, una istanza di esercizio dei diritti.

Partendo dal presupposto che non tutti (per fortuna) sono esperti di linguaggio giuridico, è verosimile che l’interessato medio (che guarda caso è proprio quello su cui si deve concentrare l’azione di trasparenza del Titolare) non scriva/dica cose tipo: “ai sensi e per gli effetti dell’art. 15 del Regolamento generale per la protezione dei dati personali, richiedo di ottenere la conferma che sia o meno in corso un trattamento dei dati personali che mi riguardano e, in tale primo caso, di ottenere l’accesso ai dati personali e …”

No. Qualsiasi privacy specialist sa benissimo che l’interessato medio si divide in due categorie: c’è quello che ha il ‘cugino avvocato’ o che fa un copia incolla da istanze trovate su internet, e c’è una larga fascia di interessati che scrive in modo molto meno forbito e tecnico cose tipo: “chi siete? Non mi sono mai iscritto alla vostra piattaforma! Cancellate immediatamente tutte le informazioni che avete su di me! Sono stufo di ricevere le vostre e-mail! etc.”.

Siamo sicuri che chi gestisce la pec istituzionale, chi risponde al centralino ufficiale, chi presiede le reception, chi sta a contatto con i lavoratori e li coordina, chi gestisce e monitora i canali social, sappia riconoscere in una simile rimostranza una istanza di esercizio dei diritti?

Il risultato, comunque, è che l’interessato non riceve riscontro e, in una percentuale di volte sempre più importante, si rivolge all’Autorità di Controllo.

Responsabile del trattamento, chi è e cosa fa: tutto quello che c’è da sapere 

La richiesta non viene processata nei tempi previsti dal GDPR

Secondo: la richiesta non viene processata nei tempi previsti dal GDPR.

Spesso questo accade perché:

  • Il Referente privacy (o chi è incaricato di dare riscontro) non riceve in tempo le istanze di esercizio dei diritti, poiché le stesse non vengono correttamente incardinate;

Spesso le richieste si fermano sulla e-mail di chi le riceve per giorni, settimane.

Oppure vengono inoltrate all’ufficio sbagliato.

  • Il Referente privacy (o chi è incaricato di dare riscontro) non riceve dalla struttura le informazioni necessarie a processare l’istanza.

Esempio banale ma incredibilmente comune: la struttura non risponde all’ufficio privacy che chiede contezza dell’esistenza o meno dei dati dell’interessato all’interno dei singoli data base.

In molti casi, questo non accade per inerzia o mala fede, ma semplicemente perché la struttura non è in grado di individuare le informazioni necessarie a dar seguito alla richiesta del Referente privacy.

  • La struttura non è in grado di identificare l’interessato.

Questo, come già descritto in numerosi altri articoli, sia a firma del sottoscritto che di molti altri Colleghi, è un punto delicato.

È infatti ormai noto che l’identificazione dell’interessato debba avvenire solo in via residuale per mezzo del trattamento di dati ulteriori quali ad esempio quelli contenuti in un documento di identità. D’altro canto, il titolare deve evitare di incorrere in violazioni di riservatezza (come minimo), anche molto gravi, per non aver saputo identificare correttamente l’interessato concedendo ad un terzo l’accesso alle informazioni dell’interessato. Come fare?

Il Titolare risponde negativamente senza dimostrare la validità del diniego

Terzo: il Titolare risponde negativamente senza però poter poi dimostrare, di fronte all’Autorità di Controllo adita dall’interessato, che le motivazioni dell’inottemperanza erano effettivamente valide.

Il più delle volte, da casistiche del genere, scaturiscono sanzioni che stigmatizzano comportamenti volutamente contrari all’obbligo di agevolare l’interessato nell’esercizio dei suoi diritti.

Tra questi vado a ricomprendere anche l’eccessiva burocrazia e formalismo in fase di identificazione dell’interessato o la previsione di percorsi non facilmente fruibili per poter presentare l’istanza.

Tutti comportamenti sanzionati. Più volte.

Come evitare sanzioni

Come approcciarsi, quindi, alla questione per evitare di incorrere in sanzioni?

In tutti questi casi entra in gioco alcuni punti fondamentali che ruotano però intorno ad un unico principio: la privacy by design.

Facilitare la vita agli interessati

Primo punto: facilitare la vita agli interessati.

In linea con quanto disposto dallo European Data Protection Board in molteplici linee guida e più volte ribadito dalle Autorità di Controllo (inclusa la nostra Autorità Garante) per quanto riguarda la gestione delle richieste da parte degli interessati è necessario garantire un approccio teso alla correttezza, alla buona fede e, soprattutto, alla facilità di esercizio dei diritti.

È quindi doveroso studiare il livello medio di interessati cui ci rivolgiamo e che, pertanto, si rivolgono alla nostra struttura al fine di individuare i mezzi più adeguati ad interagire con loro.

Sempre in ossequio alle disposizioni sanzionatorie delle Autorità di Controllo in materia, è inoltre importantissimo:

• tenere presente che l’utilizzo di un modulo ad-hoc per l’esercizio dei diritti dovrebbe essere solo alternativo agli altri canali ritenuti più comodi dagli interessati, sempre ovviamente nei limiti della razionalità della scelta.

• individuare misure che, di default, assicurino l’identificazione certa dell’interessato riducendo al minimo la necessità di richiedere documenti di identità. Ad esempio, agevolare la presentazione della richiesta a valle di un log-in a piattaforma o utilizzare canali di identificazione alternativi.

• fornire una prima risposta immediata all’interessato, che lo rassicuri circa la presa in carico della sua richiesta e lo informi delle tempistiche di riscontro, chiedendo ove possibile sin da subito eventuali necessarie ulteriori delucidazioni per ottemperare alla sua istanza.

Accertarsi di intercettare tutte le istanze

Secondo punto: accertarsi di intercettare tutte le istanze.

Quindi, mappare tutti i punti di contatto (ufficiali e non ufficiali) con gli interessati e disattivare i punti di contatto da remoto non presidiati (es: account e-mail/numeri di telefono pubblicati su siti web),

Accertarsi che le istanze vengano riconosciute e correttamente incardinate

Terzo punto: accertarsi che le istanze vengano riconosciute e correttamente incardinate. Quindi, individuare chi presidia tali punti di contatto e formarlo in modo da renderlo in grado di:

  • riconoscere una istanza anche se non formulata in modo rituale/formale;
  • saperla instradare correttamente sino al soggetto che dovrà offrire riscontro.

Monitoraggio ed accountability

Quarto punto: monitoraggio ed accountability. Quindi, appuntare puntualmente la data di ricezione e la data di evasione delle singole istanze in un apposito registro.

Non lasciare nulla al caso

Quinto punto: non lasciare nulla al caso. Quindi, redigere una procedura ad hoc.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • GDPR

    GDPR, tutto ciò che c'è da sapere per essere in regola

    05 Apr 2024

    di Anna Cataleta, Alessandro Longo e Raffaella Natale

    Condividi

Prossimo

GDPR, tutto ciò che c'è da sapere per essere in regola

Articolo 1 di 2