Con l’entrata in vigore del GDPR, la più urgente preoccupazione delle aziende era fondamentalmente quella di adempiere all’obbligo posto a loro carico dall’art. 13 GDPR, di fatto “spuntando” dalla check list delle cose da fare uno degli incombenti più urgenti: quello dell’informativa.
Tralasciando in questa sede ogni considerazione in merito alla veridicità e correttezza dell’informativa fornita, in molti casi tutta da verificare, un punto spesso sottovalutato, quando non relegato a semplice “copia e incolla”, è rappresentato dai diritti dell’interessato.
Indice degli argomenti
Diritti dell’interessato, cosa prevede la normativa
Un’informativa esaustiva dovrebbe comunicare che l’interessato può esercitare nei confronti del Titolare i diritti di accesso (art. 15), di rettifica (art. 16), di cancellazione (art. 17), di limitazione del trattamento (art. 18) , di portabilità, ove applicabile (art. 20) , di opposizione (art. 21), di revoca del consenso precedentemente prestato, di proporre reclamo all’autorità di controllo o ricorso giurisdizionale.
Dovrebbe inoltre riportare dati di contatto del Titolare o del DPO eventualmente nominato, cui far pervenire le proprie richieste. Ma cosa accade quando l’interessato decide effettivamente di esercitare i suoi diritti? Il Titolare che riceve la richiesta deve dare risposta entro un mese (termine che può essere esteso sino a tre mesi in casi di particolare complessità) e deve farlo, anche in caso di diniego, in modo conciso, trasparente ed utilizzando un linguaggio semplice e chiaro. Un mese per rispondere, quindi.
Potrebbe essere un termine congruo, all’apparenza, che, tuttavia diventa assai stringente se il Titolare non è preparato a gestire la richiesta.
D’altra parte la possibile estensione del termine a tre mesi, che pure va comunicata al richiedente, non può rappresentare una scappatoia, se si pretende da parte del Titolare di far passare per “particolare complessità” ciò che non è altro se non propria disorganizzazione o impreparazione.
Una disorganizzazione che può costare molto cara, dal momento che gli ostacoli frapposti all’esercizio dei diritti degli interessati da parte del Titolare del Trattamento, sono oggetto delle sanzioni più gravi comminate dal GDPR, che possono arrivare sino a 20 milioni di euro o al 4% del fatturato globale annuo dell’esercizio precedente, se superiore.
Assume dunque particolare importanza per i Titolari del Trattamento, anche in aderenza al dettato dell’art. 24 del Regolamento, che impone l’adozione di misure tecniche ed organizzative adeguate ad assicurare l’osservanza del Regolamento, dotarsi di procedure predeterminate, per fornire compiuto e tempestivo riscontro alle richieste di esercizio dei diritti da parte degli interessati e per far sì che quanto declamato nell’informativa non rimanga una semplice dichiarazione di principio.
Ruoli e compiti
Presupposto logico per l’adozione e l’implementazione delle procedure è l’istituzione di un “organigramma privacy”, ovverosia l’individuazione di una figura (comunque di rango dirigenziale) o dipartimento aziendale che dovrà presiedere alle politiche in materia di protezione dei dati personali e gestire, per quanto qui ci interessa, le richieste degli interessati.
Nelle realtà in cui è operativo un Data Protection Officer (per obbligo di Regolamento o per scelta del Titolare), quest’ultimo fungerà da punto di contatto per gli interessati, ricevendo le loro richieste e coordinandosi con le unità operative cui il Trattamento è demandato, per istruirle e fornire loro riscontro.
Per tutte le attività relativa alla gestione delle richieste, ove non sia stato nominato un DPO, andrà preventivamente individuato nel “Privacy Officer” o in altra figura aziendale equipollente il soggetto (o l’unità operativa) che dovrà prendere in carico le istanze degli interessati e procedere alla loro gestione.
Qualora le attività di trattamento coinvolte dalla richiesta siano svolte anche (o soltanto) da un Responsabile esterno, quest’ultimo, secondo quanto dispone l’art. 30 del Regolamento, dovrà fornire al Titolare supporto ed assistenza con misure tecniche e organizzative adeguate, al fine di soddisfare l’obbligo di quest’ultimo di dare seguito alle richieste per l’esercizio dei diritti dell’interessato.
È, dunque, importante che ciascun contratto di designazione del responsabile esterno, rimandi a tale specifico obbligo.
È inoltre fondamentale che tutto il personale coinvolto nel trattamento dei dati personali riceva adeguata formazione per essere in grado, oltre che di effettuare il trattamento stesso in modo conforme al Regolamento, anche di supportare il DPO o il Privacy Officer designato nella gestione e nell’evasione delle richieste degli interessati.
La procedura
Di seguito tentiamo di analizzare in concreto il procedimento mediante il quale queste richieste giungono al Titolare e vengono da questi gestite.
La ricezione delle richieste degli interessati può avvenire attraverso differenti canali e con differenti modalità, non necessariamente soltanto attraverso i dati di contatto presenti in informativa.
Ad esempio una richiesta può essere inserita all’interno di un reclamo, o in qualsivoglia comunicazione indirizzata al titolare, via email, PEC, fax, posta ordinaria.
Sul sito del Garante per la Protezione dei Dati personali, è presente un modello che è auspicabile il Titolare fornisca a ciascun richiedente, affinché la sua istanza possa essere correttamente veicolata, valutata e gestita. Ove sia presente un DPO, ciascuna richiesta dovrà essere veicolata a quest’ultimo dalle Unità Organizzative che per prime la ricevono.
Ricevuta la richiesta, il DPO dovrà:
- effettuare un check preliminare sulla richiesta ricevuta;
- identificare l’esistenza della posizione dell’interessato all’interno dei sistemi aziendali;
- protocollare la richiesta (anche ricevuta tramite e-mail) nel caso essa sia consistente.
L’identificazione della posizione dell’interessato necessiterà, naturalmente, del supporto dei responsabili delle strutture aziendali coinvolte, così da consentire un celere recupero di tutti i dati di interesse.
Se il controllo preliminare dà esito negativo, cioè se non vengono rintracciati i dati relativi all’interessato, quest’ultimo verrà informato dal DPO, attraverso lo stesso canale utilizzato per la richiesta, della non sussistenza dei dati richiesti.
Qualora invece il check conduca all’individuazione dei dati dell’interessato, il DPO avvierà la gestione e provvederà ad informare il richiedente della avvenuta presa in carico dell’istanza.
Sarà cura del DPO protocollare ciascuna richiesta, nonché ogni comunicazione da e verso gli interessati e tenere ed aggiornare un Registro delle richieste degli interessati , anche al fine anche di disciplinare eventuali richieste reiterate, considerando tali quelle pervenute all’azienda in un periodo di tempo inferiore a 15 giorni e aventi un oggetto sostanzialmente identico.
A tal proposito va ricordato che le comunicazioni e azioni intraprese ai sensi degli articoli da 15 a 22 del Regolamento sono gratuite. Tuttavia, se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il Titolare del trattamento può:
- addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni/comunicazioni o intraprendere l’azione richiesta; oppure
- rifiutare di soddisfare la richiesta;
In tal caso, incombe al Titolare dimostrare il carattere manifestamente infondato o eccessivo della richiesta, informandone comunque l’interessato senza ritardo, e al più tardi entro un mese dal ricevimento dell’istanza, motivando il diniego ed informando il richiedente della possibilità di proporre, avverso il rifiuto, reclamo a un’autorità di controllo o ricorso giurisdizionale.
Negli altri casi, vagliata la documentazione preliminare dell’interessato, il DPO in base alla tipologia della richiesta, ovverosia a seconda di quale sia il diritto che l’interessato intende esercitare, opererà con modalità differenti da caso a caso, secondo procedure predeterminate.
Un possibile modello
In via meramente esemplificativa si ipotizza di seguito un possibile modello di procedura per la gestione del diritto di accesso previsto dall’art. 15 GDPR.
Compiuta la valutazione preliminare con esito positivo, protocollata la richiesta dell’interessato e data notifica a quest’ultimo della presa in carico dell’istanza, il DPO dovrà per prima cosa verificare le condizioni di liceità del trattamento ed in particolare la concessione, da parte dell’interessato, dei consensi relativi alle finalità della raccolta dati effettuata, laddove prevista, ovvero l’esistenza di altra base giuridica del trattamento.
Successivamente, dovrà compiere indagini ed interrogazioni presso i referenti aziendali per rilevare tutti i dati relativi all’interessato allocati nei diversi sistemi informativi e/o ricercando le informazioni conservate su supporto cartaceo, prestando particolare attenzione ai dati reperiti per verificare se fra questi vi siano delle informazioni che, ai sensi del periodo di conservazione di uno specifico trattamento, avrebbero dovuto essere cancellate in precedenza.
Seguirà poi la redazione di uno o più documenti, in formato digitale idoneo anche per la stampa, contenenti i dati personali richiesti, il caricamento degli stessi su un supporto mobile (ad esempio un DVD non riscrivibile) oppure, la stampa dei dati oggetto della richiesta o la produzione copia di quelli presenti in formato cartaceo.
L’ultimo step sarà costituito dall’invio all’interessato, nel formato da questi prescelto o, in mancanza, in formato di uso comune, dei dati richiesti, attraverso i canali dai quali è pervenuta l’istanza o mediante canali differenti eventualmente dallo stesso indicati. Ciascuno dei passi procedurali appena descritti dovrà essere infine documentato nel Registro delle Richieste degli interessati.