diritti dell’interessato

Richiesta di cancellazione dati: come gestirla senza errori



Indirizzo copiato

Gestire le richieste di cancellazione dati richiede policy aziendali chiare, con l’identificazione di procedure e responsabili specifici. In mancanza, è vitale seguire le norme di privacy e l’organigramma aziendale. Procedure ben definite prevengono errori e migliorano la gestione aziendale

Pubblicato il 15 feb 2024

Federica De Stefani

avvocato e docente di Digital Media Law presso Università degli Studi Link



diritto all'oblio
diritto all'oblio

L’esercizio dei diritti dell’interessato molto spesso mette in difficoltà il titolare del trattamento che, per varie ragioni, si trova del tutto impreparato davanti a una simile richiesta con la conseguenza che si improvvisano risposte e procedure non sempre corrette.

La situazione ideale prevederebbe una policy interna con la individuazione dei soggetti da coinvolgere e delle procedure da seguire pedissequamente, ma la realtà, molto spesso, è ben altra.

Cosa fare quindi nel caso in cui non ci siano regolamenti che intervengono a supporto?

In queste situazioni la cosa migliore da fare è quella di procedere secondo l’analisi delle norme di riferimento e dell’organigramma aziendale al fine di stabilire chi debba fare cosa.

Individuazione dei soggetti, uffici, comparti coinvolti

In primo luogo il soggetto che riceve la richiesta di cancellazione deve valutare se, e in che limiti, la gestione di una simile richiesta possa rientrare nelle proprie mansioni.

L’interessato, infatti, potrebbe rivolgersi anche a soggetti che non hanno alcuna competenza al riguardo, magari perché formulata insieme ad altre istanze, ma questo non esime il titolare dal dare riscontro alla richiesta ricevuta.

Il dipendente interpellato, quindi, dovrà individuare, all’interno dell’azienda, il soggetto preposto alla gestione di simili istanze e dovrà quindi, senza ritardo, procedere all’inoltro di quanto ricevuto.

Un’importante annotazione riguarda il coinvolgimento di soggetti terzi: è necessario che la richiesta venga inoltrata unicamente all’ufficio o alla persona preposta, prevedendo al massimo il coinvolgimento del DPO qualora fosse nominato.

A tal riguardo, tuttavia, si deve sottolineare che il dipendente potrebbe non essere a conoscenza dell’esistenza di tele figura. Se è vero, infatti, che i dipendenti devono essere formati con riferimento alla data protection e alla data governace e, in tal caso, sono verosimilmente a conoscenza della nomina di un DPO, è altrettanto vero che un’azienda che non sia dotata di una procedura per il riscontro delle richieste degli interessati è un’azienda con qualche lacuna organizzativa, che, potrebbe non essere perfettamente allineata alla normativa anche con riferimento alla formazione dei dipendenti, ma, evidentemente, questa è solo un’ipotesi.

A questo punto, individuato il referente corretto e informato, insieme al DPO, della richiesta, questa verrà gestita da tali figure con, di fatto, l’estromissione del dipendente che l’abbia ricevuta poiché non più competente per le relative attività.

La protocollazione

La richiesta dovrebbe essere protocollata e inserita nel registro dedicato all’esercizio dei diritti degli interessati.

Anche nel caso in cui mancasse la relativa procedura, l’azienda comunque dovrà annotare nel registro delle istanze degli interessati, le richieste ricevute, seguendo un ordine cronologico e di protocollo.

Si dovrà inoltre tenere traccia, attraverso l’annotazione nel registro, delle attività fatte per riscontrare la richiesta nonché della relativa eventuale documentazione necessaria per fornire riscontro all’interessato.

L’identificazione dell’interessato

Un passaggio, tanto delicato, quanto importante, è quello relativo alla identificazione del soggetto che ha inoltrato la richiesta.

Nella policy interna saranno indicate le varie modalità per poter procedere all’identificazione e, in tal caso, dovrà essere pedissequamente seguito quando indicato dalla procedura.

Laddove, invece, tale policy manchi o sia generica, si dovrà valutare attentamente il contesto nel quale si inserisce la richiesta e, in base a questo, decidere la modalità più opportuna. Nella pratica questo comporta un’attenta analisi dei dati che devono essere richiesti per l’identificazione, la loro gestione e la loro, eventuale, conservazione in una sorta di valutazione del rischio che porterà alla scelta del mezzo di identificazione e che dovrà essere documentata ai fini dell’accountability.

È sempre necessario richiedere un documento di identità? No, anche in considerazione del fatto che tutti gli ulteriori dati richiesti, che dovranno comunque rispondere al principio di minimizzazione, rientreranno nell’ambito di applicazione del GDPR.

È possibile, quindi, procedere alla identificazione con altre modalità? Assolutamente sì, anche se non esiste un sistema valido e compliant che possa dirsi universalmente applicabile.

Individuazione dei dati oggetto di trattamento di cui si chiede la cancellazione

Ai fini dell’evasione della richiesta è fondamentale individuare i dati che si riferiscono all’interessato che ha avanzato l’istanza di cancellazione.

In altre parole devono identificati i soggetti che, anche a diverso titolo, li hanno trattati, dove sono stati trattati, conservati, salvati e sulla base di questa analisi si deve procedere alla cancellazione.

Devono essere considerati anche gli eventuali backup? Assolutamente sì, i dati vanno cancellati da qualsiasi supporto e qualsiasi luogo in cui siano stati salvati e conservati.

Devono essere considerate anche le eventuali copie effettuate da terzi? Certamente: i dati devono essere cancellati totalmente.

Esistono delle eccezioni all’obbligo di cancellazione? Anche in questo caso la risposta è affermativa. Nell’ipotesi, per esempio, di un obbligo di legge per la conservazione non sarà possibile dare riscontro positivo alla richiesta di cancellazione. Si pensi al caso dell’obbligo di conservazione, ai fini fiscali, delle fatture: in questo caso il titolare dovrà informare l’interessato dell’impossibilità di procedere alla cancellazione giustificando la propria posizione.

Eventuale comunicazione a terzi

Della richiesta di cancellazione dovranno essere informati anche gli eventuali soggetti terzi ai quali, per varie ragioni, siano stati comunicai i dati.

È il caso, per esempio, di dati trasmessi a consulenti esterni per l’esecuzione delle rispettive attività.

Anche questi soggetti dovranno procedere alla cancellazione dei dati e il titolare dovrà fornire all’interessato l’indicazione di aver provveduto a informare questi soggetti chiedendo di riscontrare la richiesta dello stesso interessato.

Conclusioni

La procedura per il riscontro alle istanze degli interessati è senza dubbio una delle policy aziendali che dovrebbero essere considerate essenziali.

Sarebbe pertanto auspicabile che ogni azienda cristallizzasse i passaggi e le regole interne da seguire per ottemperare alle richieste degli interessati. Tali procedure, infatti, riflettono i propri effetti positivi sulla gestione aziendale, sia per quanto attiene alle tempistiche di gestione, sia per quanto concerne il contenimento di eventuali errori dovuti alla mancanza, appunto, di una procedura prestabilita.

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati