Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA ALLA NORMATIVA

Il diritto di accesso ai dati da parte dell’interessato: quali adempimenti per il titolare del trattamento

Il diritto di accesso ai dati consente all’interessato di sapere se è in corso o meno un trattamento di dati personali che lo riguardano. Il titolare del trattamento ha quindi il dovere di fornire tutte le informazioni richieste in tempi e modi ben precisi. Ecco le linee guida affinché il titolare possa garantire il diritto dell’interessato

11 Lug 2019
D

Daniela Di Leo

Avvocato | ICT Law | Consulente Privacy & Data Protection


Tra i vari diritti che il GDPR attribuisce all’interessato troviamo il diritto di accesso ai dati di cui all’art. 15.

In un’ottica di trasparenza del trattamento dei dati, l’interessato ha il diritto di ottenere dal titolare la conferma che sia in corso o meno un trattamento di dati personali che lo riguardano e l’accesso a determinate informazioni, ha il diritto di prendere visione o estrarre copia, dei vari tipi di documenti a lui riferibili.

Da parte sua, il titolare ha il dovere di fornire tutto ciò in tempi e modi ben precisi.

Questo diritto non è una novità introdotta dal Reg. UE 679/2016 (GDPR), era già previsto nel Codice Privacy, ma a differenza dello stesso, il legislatore europeo ha introdotto nuove informazioni che possono essere richieste:

  • i destinatari o le categorie di destinatari (organizzazioni internazionali o paesi terzi) a cui sono o saranno comunicati i dati e le relative garanzie,
  • il periodo di conservazione,
  • l’esistenza di un processo decisionale automatizzato, compresa la profilazione,
  • la logica utilizzata e le conseguenze di tale trattamento per l’interessato.

A differenza del Codice Privacy previgente, non rientra tra le informazioni conoscibili da parte dell’interessato quella sulle “modalità” del trattamento.

Tutte queste novità mirano a conferire all’interessato un maggior controllo sul trattamento dei propri dati: l’interessato assume così un ruolo di rilievo che gli permette di poter controllare attivamente come vengono trattati i propri dati.

Diritto di accesso ai dati: quali informazioni bisogna comunicare

Prima di vedere come il titolare debba gestire le richieste dell’interessato che chiede di ottenere l’accesso dei dati, riportiamo per comodità del lettore le informazioni che l’interessato può richiedere per capire come i suoi dati sono stati ottenuti, per quali finalità vengono trattati e come vengono utilizzati. Esse sono:

  1. le finalità del trattamento (nel codice privacy ante GDPR era possibile richiedere anche le modalità di trattamento);
  2. le categorie di dati personali in questione;
  3. i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali. In tale ultima ipotesi, l’interessato ha anche il diritto di essere informato sull’esistenza di adeguate garanzie riguardanti il trasferimento dei suoi dati, poiché siamo fuori dall’ambito di applicazione delle garanzie previste dal GDPR;
  4. quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
  5. l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali (nei casi in cui i dati siano nel frattempo cambiati oppure sia trascorso il previsto periodo di conservazione) o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento (per esempio quando si richiede di non ricevere più le comunicazioni promozionali o di non voler più ricevere comunicazioni marketing da società terze ai quali i nostri dati sono stati comunicati);
  6. il diritto di proporre reclamo a un’autorità di controllo;
  7. qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
  8. l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

La richiesta può essere effettuata in forma scritta anche elettronica o cartacea oppure verbalmente.

Accesso ai dati: gli oneri per il titolare del trattamento

Innanzitutto, è bene precisare che ci sono delle tempistiche da rispettare: il titolare deve agevolare l’esercizio dei diritti dell’interessato e deve rispondere senza giustificato ritardo entro un mese dal ricevimento della richiesta.

Se necessario, nel caso di numerose richieste o informazioni complesse, tale termine può essere sì prorogato per altri due mesi, ma di tale proroga il titolare deve darne notizia all’interessato entro un mese dalla richiesta.

In considerazione di ciò, è opportuno che il titolare predisponga una procedura aziendale per gestire le richieste, una procedura che sia nota al personale e che affronti tutte le varie problematiche che possono sorgere dal momento in cui il titolare verifica l’identità del richiedente fino alla risposta.

Ad esempio, deve essere chiaro chi dovrà gestire in concreto le richieste ricevute: potrebbe essere il DPO se è prevista tale figura, oppure il delegato alla privacy o un capo area; in tal caso sarebbe consigliabile prevedere un suo sostituto nel caso in cui la persona incaricata sia assente.

Sarebbe opportuno poi predisporre un registro sul quale annotare le richieste di accesso, la data di ricezione, i dettagli della richiesta e la data di invio della risposta.

Ricordiamo che nella logica del GDPR e del principio dell’accountability il titolare non solo deve adottare e predisporre tutte le misure adeguate per la protezione dei dati, ma deve essere altresì in grado di dimostrare il suo operato; quindi, nel caso del diritto di accesso deve essere in grado di dimostrare di aver ottemperato alle richieste ricevute nei modi e tempi previsti in modo da potersi tutelare in caso di eventuali contestazioni.

Come gestire le richieste degli interessati

La prima attività che incombe sul titolare è quella di verificare l’identità del richiedente (ed in un’ottica di minimizzazione dei dati, non devono essere richiesti più dati del necessario) in particolare, nel contesto di servizi online e identificativi online.

Visto che spesso le parti interessate sono già state autenticate dal titolare del trattamento prima di firmare un contratto o di ottenere il consenso per il trattamento, va da sé che i dati personali utilizzati per registrare la persona a cui il trattamento si riferisce possono benissimo essere riutilizzati per eventuali richieste di accesso.

Nei casi in cui è possibile, il titolare del trattamento dovrebbe poter fornire l’accesso remoto ad un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati personali.

Una volta ricevuta la richiesta e verificata l’identità, il titolare deve provvedere a fornire un adeguato riscontro, nei tempi sopra indicati: di norma, è preferibile che la risposta sia fornita in forma scritta anche per avere la prova che il riscontro è avvenuto.

Se richiesto dall’interessato, le informazioni possono comunque essere fornite oralmente, sempre che il titolare abbia prova dell’identità del richiedente.

Si deve tenere presente che la richiesta di accesso ai dati deve essere riscontrata dal titolare anche nelle ipotesi in cui i dati, in tutto o in parte, siano stati già comunicati all’interessato o siano comunque dallo stesso detenuti (magari in seguito ad una precedente richiesta di accesso).

Ciò al fine di consentire all’interessato di poter controllare i dati medesimi e di chiederne, se del caso, l’aggiornamento, l’integrazione o la correzione. Proprio al fine di avere sempre il controllo dei dati trattati, è permesso all’interessato di esercitare il diritto di accesso più volte.

Il riscontro che il titolare deve fornire alla richiesta di accesso deve essere completo, non deve essere limitato alla sola elencazione delle tipologie dei dati detenuti.

Il titolare deve comunicare in modo intellegibile tutte le informazioni in suo possesso e anche in che forma sono trattati e conservati i dati.

La comunicazione deve essere leggibile. Nel caso di una cartella clinica, ad esempio, qualora non sia comprensibile a causa della grafia con cui è stata redatta, l’interessato ha il diritto di ottenere dall’Azienda Ospedaliera una trascrizione dattiloscritta o, comunque, comprensibile delle informazioni contenute (si veda provvedimento Garante Privacy del 30 settembre 2002).

La copia dei dati che il titolare deve fornire all’interessato è gratuita: qualora siano richieste ulteriori copie, può essere previsto un addebito a titolo di contributo spese che sia ragionevolmente basato sui costi amministrativi.

Se invece le richieste sono palesemente infondate o eccessivamente ripetitive il titolare oltre a decidere di addebitare un contributo spese può anche decidere di non soddisfare la richiesta.

Infine, non bisogna dimenticare che il diritto di accesso non deve ledere i diritti e le libertà altrui, una regola che vale in generale tutti i diritti riconosciuti dal Regolamento in capo all’interessato.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5