Il Regolamento UE 679/2016 (General Data Protection Regulation o GDPR) garantisce ai soggetti interessati una serie di diritti nei confronti del titolare del trattamento, tra cui il diritto di accesso, di rettifica, di cancellazione, di limitazione del trattamento, di portabilità e di opposizione.
Tali diritti vengono disciplinati negli articoli dal 15 al 22 del GDPR e la loro esistenza dovrà essere sempre comunicata agli interessati per mezzo dell’apposita informativa ex articolo 13 GDPR.
Indice degli argomenti
Gestire le richieste di esercizio dei diritti: le procedure
Per garantire l’esercizio di tali diritti, il titolare dovrà definire appropriate misure e adottare procedure, al fine di garantire la conformità al GDPR dei processi di gestione delle richieste pervenute dai soggetti interessati in merito all’esercizio dei suddetti diritti.
Tali misure e procedure dovranno essere rivolte a tutto il personale coinvolto nel processo di gestione e protezione dei dati personali e dovranno garantire l’esercizio dei diritti dei soggetti interessati entro i termini previsti dalla normativa applicabile, nonché nel rispetto dei principi di minimizzazione, trasparenza, liceità e correttezza dei dati.
In primo luogo, sarà utile definire i canali attraverso cui i soggetti interessati potranno esercitare i loro diritti, quindi prevedere un indirizzo e-mail dedicato alle richieste degli interessati o un’apposita sezione sul sito web del titolare.
In tal modo, sarà possibile avere evidenza in tempi rapidi delle richieste pervenute, poterle gestire e rispondere. I canali attraverso cui si potranno esercitare i diritti dovranno essere comunicati ai soggetti interessati all’interno dell’informativa al trattamento dei dati personali, ai sensi dell’articolo 13 GDPR.
Qualora il titolare avesse un proprio portale web a cui l’interessato abbia accesso, è raccomandabile consentire a quest’ultimo di esercitare direttamente i propri diritti all’interno di tale portale, ad esempio avendo accesso ai dati, potendoli modificare e potendo rettificare i consensi dati.
Gestire le richieste di esercizio dei diritti: tempi di risposta
Le risposte all’esercizio dei diritti dovranno pervenire ai soggetti interessati entro un mese dal ricevimento della richiesta, ma tale periodo potrà essere prorogato fino ad un massimo di tre mesi, tenendo conto del numero delle richieste e della complessità delle stesse.
In tal caso, tuttavia, occorrerà informare i soggetti dell’eventuale proroga entro un mese dal ricevimento della richiesta, unitamente ai motivi del ritardo.
Il termine di un mese è certamente un termine congruo, in cui un titolare sarà in grado di evadere una richiesta, ma tale termine potrebbe non essere sufficiente se il titolare non è organizzato per ricevere e adempiere in modo adeguato alle richieste.
L’articolo 12, paragrafo 3 del GDPR specifica inoltre che le risposte ai soggetti interessati in merito all’esercizio dei diritti dovranno avvenire senza ritardo; di conseguenza il titolare dovrà fare in modo di evadere la richieste in un tempo inferiore ai trenta giorni qualora la stessa non sia complessa (non potrà ad esempio attendere l’ultimo dei trenta giorni a disposizione per modificare un consenso o rettificare un dato).
Le operazioni poste in essere dall’azienda per ottemperare alle richieste sono gratuite, tuttavia qualora le richieste risultino manifestamente infondate o eccessive (in particolare per il carattere ripetitivo della richiesta), il titolare avrà facoltà di richiedere un contributo spese ragionevole ai soggetti interessati oppure di rifiutarsi di soddisfare la richiesta (articolo 12, paragrafo 5 GDPR).
Ciò premesso, è opportuno che il titolare si doti di uno o più soggetti che si occupino di verificare e rispondere alle richieste dei soggetti interessati, in modo da avere sempre sotto controllo ogni questione attinente alla protezione dei dati personali dei soggetti interessati ed evitare eventuali errori o dimenticanze.
Nella gestione dei diritti degli interessati, sarà molto utile per il titolare l’adozione di un’apposita procedura che definisca le fasi principali di tale attività, a partire dalla ricezione della richiesta fino ad arrivare al riscontro all’interessato ed al successivo reporting delle richieste ricevute ed evase.
Ricevimento della richiesta
Una volta definiti i canali per ricevere le richieste, il titolare dovrà verificare puntualmente l’eventuale ricezione di comunicazioni di esercizio dei diritti.
Come già accennato, è consigliabile la presenza di un soggetto che si occupi del controllo e del censimento delle richieste pervenute, al fine di consentire un controllo delle stesse ed avere la certezza di fornire i dovuti riscontri entro i termini previsti dalla normativa.
Controllo dell’identità dell’interessato
Pervenuta la richiesta, occorrerà in primo luogo identificare il soggetto interessato, in modo da essere certi che la richiesta arrivi dalla persona corretta.
È chiaro che non sarà semplice identificare un soggetto che invia un messaggio via e-mail, ma ciò si potrà effettuare ad esempio domandando alcune informazioni legate al suo profilo oppure chiedendo copia del documento di identità, che non verrà poi conservata ma verrà trattata dal titolare unicamente per verificare l’identità del soggetto.
Qualora non sia possibile identificare il soggetto, in quanto lo stesso si è rifiutato o comunque non ha fornito le informazioni richieste, o comunque il titolare nutra dubbi sulla sua effettiva identità, quest’ultimo avrà facoltà di non adempiere alla richiesta effettuata, comunicando tal rifiuto al soggetto interessato (articolo 11 paragrafo 2 e articolo 12 paragrafo 6 GDPR).
Analisi ed esecuzione della richiesta
Successivamente all’identificazione del soggetto interessato, il Titolare, attraverso il soggetto autorizzato al trattamento, dovrà analizzare la richiesta, al fine di compiere quanto domandato dal soggetto interessato.
In tale attività, qualora necessario, il titolare potrà chiedere ausilio al Data Protection Officer, qualora avesse necessità di un suo parere, prima di procedere all’esercizio della richiesta del soggetto interessato, nonché ai responsabili del trattamento, qualora la richiesta riguardasse dati che vengono trattati anche da tali soggetti.
L’analisi della richiesta sarà volta anche a verificare se la stessa sia fondata o meno e se vada quindi adempiuta da parte del titolare.
Una volta verificata la richiesta ricevuta, il titolare dovrà innanzitutto individuare a quale diritto si riferisca. Difficilmente infatti il soggetto interessato indicherà il diritto a cui si riferisce la sua domanda, ma dovrà essere il titolare ad individuarlo e classificarlo, al fine di verificare la fondatezza della richiesta e procedere all’evasione della stessa.
Sarà poi opportuno che il Titolare definisca in una procedura come dovranno comportarsi i soggetti che si occupano della gestione delle richieste degli interessati. Tali soggetti dovranno in primo luogo conoscere esattamente quali siano i diritti che possono essere esercitati, saperli classificare e sapere come procedere difronte alle varie richieste.
Risposta agli interessati
Una volta elaborata e gestita la richiesta, il titolare dovrà darne conferma al soggetto interessato. Tale comunicazione dovrà avvenire attraverso il medesimo canale utilizzato dall’interessato e, come già anticipato, dovrà essere fornita entro trenta giorni, salvo proroghe.
La risposta al soggetto interessato dovrà essere trasparente e facilmente accessibile, nonché dovrà essere formulata utilizzando un linguaggio semplice e chiaro.
Registrazione delle richieste
È infine necessario che il titolare tenga traccia di tutte le richieste ricevute, in modo da averne sempre visione e potersi anche eventualmente difendere in caso di eventuali contestazioni.
Ciò consentirà anche al Data Protection Officer, che dovrà ricevere apposito report dai soggetti incaricati all’evasione delle richieste degli interessati, di sorvegliare sulle attività di trattamento dei dati in modo più agevole e analizzare il numero di richieste ricevute, l’esito delle stesse, nonché i tempi di risposta.
