L’esercizio dei diritti dell’interessato molto spesso mette in difficoltà il titolare del trattamento che, per varie ragioni, si trova del tutto impreparato davanti a una simile richiesta con la conseguenza che si improvvisano risposte e procedure non sempre corrette.
La situazione ideale prevederebbe una policy interna con la individuazione dei soggetti da coinvolgere e delle procedure da seguire pedissequamente, ma la realtà, molto spesso, è ben altra.
Cosa fare quindi nel caso in cui non ci siano regolamenti che intervengono a supporto?
In queste situazioni la cosa migliore da fare è quella di procedere secondo l’analisi delle norme di riferimento e dell’organigramma aziendale al fine di stabilire chi debba fare cosa.
Individuazione dei soggetti, uffici, comparti coinvolti
In primo luogo il soggetto che riceve la richiesta di cancellazione deve valutare se, e in che limiti, la gestione di una simile richiesta possa rientrare nelle proprie mansioni.
L’interessato, infatti, potrebbe rivolgersi anche a soggetti che non hanno alcuna competenza al riguardo, magari perché formulata insieme ad altre istanze, ma questo non esime il titolare dal dare riscontro alla richiesta ricevuta.
Il dipendente interpellato, quindi, dovrà individuare, all’interno dell’azienda, il soggetto preposto alla gestione di simili istanze e dovrà quindi, senza ritardo, procedere all’inoltro di quanto ricevuto.
Un’importante annotazione riguarda il coinvolgimento di soggetti terzi: è necessario che la richiesta venga inoltrata unicamente all’ufficio o alla persona preposta, prevedendo al massimo il coinvolgimento del DPO qualora fosse nominato.
A tal riguardo, tuttavia, si deve sottolineare che il dipendente potrebbe non essere a conoscenza dell’esistenza di tele figura. Se è vero, infatti, che i dipendenti devono essere formati con riferimento alla data protection e alla data governace e, in tal caso, sono verosimilmente a conoscenza della nomina di un DPO, è altrettanto vero che un’azienda che non sia dotata di una procedura per il riscontro delle richieste degli interessati è un’azienda con qualche lacuna organizzativa, che, potrebbe non essere perfettamente allineata alla normativa anche con riferimento alla formazione dei dipendenti, ma, evidentemente, questa è solo un’ipotesi.
A questo punto, individuato il referente corretto e informato, insieme al DPO, della richiesta, questa verrà gestita da tali figure con, di fatto, l’estromissione del dipendente che l’abbia ricevuta poiché non più competente per le relative attività.
La protocollazione
La richiesta dovrebbe essere protocollata e inserita nel registro dedicato all’esercizio dei diritti degli interessati.
Anche nel caso in cui mancasse la relativa procedura, l’azienda comunque dovrà annotare nel registro delle istanze degli interessati, le richieste ricevute, seguendo un ordine cronologico e di protocollo.
Si dovrà inoltre tenere traccia, attraverso l’annotazione nel registro, delle attività fatte per riscontrare la richiesta nonché della relativa eventuale documentazione necessaria per fornire riscontro all’interessato.
L’identificazione dell’interessato
Un passaggio, tanto delicato, quanto importante, è quello relativo alla identificazione del soggetto che ha inoltrato la richiesta.
Nella policy interna saranno indicate le varie modalità per poter procedere all’identificazione e, in tal caso, dovrà essere pedissequamente seguito quando indicato dalla procedura.
Laddove, invece, tale policy manchi o sia generica, si dovrà valutare attentamente il contesto nel quale si inserisce la richiesta e, in base a questo, decidere la modalità più opportuna. Nella pratica questo comporta un’attenta analisi dei dati che devono essere richiesti per l’identificazione, la loro gestione e la loro, eventuale, conservazione in una sorta di valutazione del rischio che porterà alla scelta del mezzo di identificazione e che dovrà essere documentata ai fini dell’accountability.
È sempre necessario richiedere un documento di identità? No, anche in considerazione del fatto che tutti gli ulteriori dati richiesti, che dovranno comunque rispondere al principio di minimizzazione, rientreranno nell’ambito di applicazione del GDPR.
È possibile, quindi, procedere alla identificazione con altre modalità? Assolutamente sì, anche se non esiste un sistema valido e compliant che possa dirsi universalmente applicabile.
Individuazione dei dati oggetto di trattamento di cui si chiede la cancellazione
Ai fini dell’evasione della richiesta è fondamentale individuare i dati che si riferiscono all’interessato che ha avanzato l’istanza di cancellazione.
In altre parole devono identificati i soggetti che, anche a diverso titolo, li hanno trattati, dove sono stati trattati, conservati, salvati e sulla base di questa analisi si deve procedere alla cancellazione.
Devono essere considerati anche gli eventuali backup? Assolutamente sì, i dati vanno cancellati da qualsiasi supporto e qualsiasi luogo in cui siano stati salvati e conservati.
Devono essere considerate anche le eventuali copie effettuate da terzi? Certamente: i dati devono essere cancellati totalmente.
Esistono delle eccezioni all’obbligo di cancellazione? Anche in questo caso la risposta è affermativa. Nell’ipotesi, per esempio, di un obbligo di legge per la conservazione non sarà possibile dare riscontro positivo alla richiesta di cancellazione. Si pensi al caso dell’obbligo di conservazione, ai fini fiscali, delle fatture: in questo caso il titolare dovrà informare l’interessato dell’impossibilità di procedere alla cancellazione giustificando la propria posizione.
Eventuale comunicazione a terzi
Della richiesta di cancellazione dovranno essere informati anche gli eventuali soggetti terzi ai quali, per varie ragioni, siano stati comunicai i dati.
È il caso, per esempio, di dati trasmessi a consulenti esterni per l’esecuzione delle rispettive attività.
Anche questi soggetti dovranno procedere alla cancellazione dei dati e il titolare dovrà fornire all’interessato l’indicazione di aver provveduto a informare questi soggetti chiedendo di riscontrare la richiesta dello stesso interessato.
Conclusioni
La procedura per il riscontro alle istanze degli interessati è senza dubbio una delle policy aziendali che dovrebbero essere considerate essenziali.
Sarebbe pertanto auspicabile che ogni azienda cristallizzasse i passaggi e le regole interne da seguire per ottemperare alle richieste degli interessati. Tali procedure, infatti, riflettono i propri effetti positivi sulla gestione aziendale, sia per quanto attiene alle tempistiche di gestione, sia per quanto concerne il contenimento di eventuali errori dovuti alla mancanza, appunto, di una procedura prestabilita.
