Le regole

Accesso ai dati, come fare: tutte le istruzioni dell’EDPB nelle nuove linee guida

L’EDP ha pubblicato a gennaio 2022 le linee guida per chiarire gli aspetti pratici legati al diritto degli interessati di accesso ai dati: nel corposo documento viene spiegato oltre al contesto normativo come per esempio valutare le richieste e come garantire l’accesso in modo adeguato

01 Feb 2022
Nicoletta Pisanu

Redattrice Cybersecurity360

Qual è la portata dei diritti degli interessati per accedere ai propri dati, come valutare le loro richieste, che limiti e restrizioni sono previste: per chiarire questi aspetti l’EDPB ha pubblicato le linee guida 01/2022 sul diritto di accesso ai dati. Un principio sancito dall’articolo 8 della Carta dei diritti fondamentali dell’UE e dall’articolo 15 del GDPR, su cui ora il gruppo dei Garanti privacy europei interviene fornendo utili indicazioni su come concretizzare le norme. 

LEGGI le Linee guida EDPB sull’accesso ai dati – PDF

Perché è importante che l’EDPB intervenga sul diritto di accesso

Lo scopo principale del diritto di accesso è fornire agli interessati informazioni sul trattamento dei loro dati. Notizie che devono essere:

  • sufficienti;
  • trasparenti;
  • facilmente reperibili.

Questo è fondamentale perché gli interessati siano consapevoli del trattamento effettuato e possano controllarne la legittimità, oltre che verificare che i dati siano esatti. In questo modo, spiega l’EDPB, per gli interessati è molto più semplice poter esercitare i propri diritti, come quello di cancellazione o di rettifica dei dati.

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Sicurezza

Come spiegato nelle linee guida, il diritto all’accesso include tre differenti aspetti:

  • avere la conferma dell’effettivo trattamento, o meno, dei dati dell’interessato;
  • poter accedere ai propri dati;
  • accedere alle informazioni sul trattamento. Per esempio, si legge nel documento, scopo, categorie di dati e destinatari, durata del trattamento, garanzie nel caso di trasferimento verso Paesi terzi. 

Accesso ai dati, il ruolo del titolare del trattamento

I garanti europei sottolineano che gli interessati non sono tenuti a motivare le richieste di accesso ai dati e non è compito del titolare del trattamento verificare se l’istanza darà effettivamente supporto all’interessato che la avanza per attività di controllo sulla legittimità del trattamento o per esercitare altri diritti che gli spettano. Dunque, spiega l’EDPB, il titolare dovrà trattare la richiesta a meno che risulti evidente che la richiesta sia stata avanzata sulla base di norme diverse da quelle in materia di data protection. 

Data Protection Engineering, come si fa il GDPR in pratica secondo Enisa

Nell’analizzare il contenuto della richiesta, il titolare deve valutare, come riporta il documento EDPB:

  • se la richiesta riguarda i dati personali della persona che fa la richiesta;
  • se la richiesta rientra nel campo di applicazione dell’articolo 15 del GDPR;
  • se ci sono altre disposizioni normative più specifiche che regolano l’accesso in un certo settore;
  • se la richiesta si riferisce a tutti o solo a una certa parte dei dati trattati del soggetto.

Accesso ai dati, come si fa la richiesta

Le linee guida EDPB precisano che non sono previsti requisiti particolari sul formato della richiesta di accesso ai dati. Certo il titolare del trattamento deve fornire adeguati canali per comunicare in modo facile, mettendoli a disposizione degli interessati, ma gli interessati non sono obbligati a servirsi di questi canali, ma ha la possibilità anche di inviare la sua istanza a un contact point ufficiale del titolare.

Casi di rifiuto da parte del titolare

Considerando ciò, l’EDPB precisa che il titolare del trattamento non è obbligato ad avviare iniziative su richieste inviate a indirizzi totalmente casuali o in apparenza sbagliati. 

Oltretutto, se il titolare del trattamento non è in grado di individuare con certezza i dati relativi all’interessato, deve informarlo di ciò e può rifiutarsi di concedere l’accesso, a meno che non siano forniti dall’interessato ulteriori informazioni integrative per consentire l’individuazione. 

Lo stesso vale nel caso in cui il titolare del trattamento abbia dubbi sulla vera identità dell’interessato che avanza la richiesta: il titolare in questa circostanza può chiedere ulteriori informazioni per avere certezza sull’identità del richiedente. 

Come fornire l’accesso ai dati

L’EDPB nelle nuove linee guida chiarisce che i modi per garantire agli interessati l’accesso ai dati sono soggetti a parametri come la quantità delle informazioni e la complessità del trattamento effettuato. In generale la richiesta di accesso si intende essere relativa a tutti i dati: se si tratta di una grande quantità di informazioni, il titolare può chiedere di formulare con precisione la richiesta. 

I dati dovranno essere cercati ovunque: in tutti i sistemi IT e in quelli di archiviazione non IT, servendosi di criteri di ricerca come il nome o il codice cliente. EDPB sottolinea nel documento, traducendo letteralmente le indicazioni riportate, che “la comunicazione dei dati e delle altre informazioni sul trattamento deve essere fornita in una forma concisa, trasparente, intelligibile e facilmente accessibile, utilizzando un linguaggio chiaro e semplice. I requisiti più precisi a questo proposito dipendono dalle circostanze del trattamento dei dati e dalla capacità della persona interessata di afferrare e comprendere la comunicazione”, per esempio considerando se l’interessato è un bambino o ha esigenze particolari. Dunque se i dati si presentano come codici o comunque in modo difficilmente comprensibile, dovranno essere spiegati. 

La richiesta deve essere soddisfatta nel minor tempo possibile. Oltretutto, si legge nel documento che “la copia dei dati e le informazioni aggiuntive dovrebbero essere fornite in una forma permanente come testo scritto, che potrebbe essere in un formato elettronica comunemente usato, in modo che la persona interessata possa facilmente scaricarlo”. 

@RIPRODUZIONE RISERVATA

Articolo 1 di 2