Uno degli obbiettivi fondamentali del GDPR è quello di rafforzare la protezione dei dati personali, individuando alcuni strumenti efficaci per consentire agli individui (i.e.gli interessati) di esercitare il controllo sui dati personali che li riguardano. Non vi può essere infatti tutela davvero efficace se non garantendo agli individui stessi la possibilità di tutelare i propri dati personali. A tal fine il GDPR disciplina, agli articoli da 12 a 22, i diritti che spettano agli interessati, nonché le modalità, le tempistiche e gli adempimenti che i Titolari del trattamento devono adottare per garantirne il rispetto.

Secondo quanto previsto dalla normativa il Titolare del trattamento ha il dovere non solo di informare gli interessati (art. 13 e 14 del GDPR) ma anche di dare riscontro alle loro richieste di esercizio dei diritti (artt. da 15 a 22 del GDPR).

Ciascun interessato può infatti richiedere al Titolare del trattamento:

  • l’accesso ai dati personali
  • la rettifica o la cancellazione degli stessi
  • la limitazione del trattamento dei dati personali che lo riguardano
  • di opporsi al loro trattamento,
  • la portabilità dei dati.

Inoltre, l’interessato ha diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona.

Il Titolare, assistito dal Responsabile del trattamento, è chiamato a rispondere alla richiesta, e deve farlo rispettando una serie di vincoli, tra i quali:

  • fornire le informazioni richieste in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro;
  • dare riscontro entro un mese dalla richiesta, termine che può essere prorogato sino ad un massimo complessivo di tre mesi;
  • se ritiene necessario prorogare il termine di risposta all’interessato, deve comunque informarlo entro un mese di tale proroga e dei motivi del ritardo;
  • se non può soddisfare la richiesta dell’interessato, il Titolare deve comunque informarlo entro un mese dei motivi dell’inottemperanza.

Gli oneri sopra descritti in capo al Titolare prevedono una serie di passaggi e presuppongono un tempo di risposta davvero limitato in alcuni casi. Vediamoli insieme.

  1. Prendere in carico richiesta

E’ una questione che può sembrare di banale soluzione, ma che può diventare problematica in casi di richieste complesse o di un numero di richieste elevato. Chi, all’interno della struttura del Titolare, è competente per riceverle, chi per gestirle? Che cosa succede se la richiesta viene presentata in forma orale? Come assicurarsi che la richiesta venga evasa nel tempo previsto?

Immaginiamo ad esempio richieste di accesso ai propri dati personali da parte di alcuni pazienti di un ospedale, o da parte di cittadini nei confronti di un comune. In tal caso, fattori di complessità quali il volume, la varietà, il formato dei dati personali possono facilmente aumentare il rischio di non gestire correttamente la richiesta, o di non farlo entro i tempi previsti, se tali fattori non sono stati preventivati  in precedenza.

  1. Identificare l’interessato

Ricevuta la richiesta il Titolare può dover assicurarsi di identificare l’interessato. In alcuni casi, il compito può richiedere passaggi ulteriori rispetto al semplice esame della richiesta così ricevuta. Pensiamo ad una richiesta di portabilità da parte di un cliente della società Titolare, che il cliente ha inviato utilizzato un indirizzo e-mail non presente nel database della società. Il Titolare deve gestire anche questo tipo di situazione e dunque attivarsi (come? con quale procedura?) per verificare l’identità del cliente, evitando così da un lato di ignorare una richiesta di esercizio dei diritti (e quindi violare la normativa), dall’altro di soddisfare la richiesta senza verificare chi sia il soggetto da cui proviene (e potenzialmente commettere un data breach, ad esempio fornendo ad uno sconosciuto i dati personali del proprio cliente).

  1. Valutare la richiesta

Quando l’interessato esercita i suoi diritti nei confronti del Titolare, quest’ultimo ha il compito di valutare se sia legittimo soddisfarla. Il GDPR infatti pone requisiti e limiti, specifici e diversi per ogni tipologia di diritto esercitabile, all’esercizio di quasi tutti i diritti. Se per una richiesta di rettifica o di accesso non sussistono particolari confini, essi si pongono invece in relazione alla cancellazione, limitazione, portabilità e, in alcuni casi, opposizione. Pensiamo ad esempio ad una richiesta di cancellazione di un set di dati personali che il Titolare deve conservare per ottemperare ad un obbligo di legge, o ad una richiesta di portabilità in relazione ad un fascicolo cartaceo. Infine, anche nel caso in cui il Titolare non possa soddisfare una richiesta, dovrà comunque informare l’interessato dei motivi.

  1. Gestire la richiesta entro le tempistiche

Il time-management è forse, in relazione al tema dei diritti, l’aspetto più sfidante per i Titolari. Il Titolare è infatti responsabilizzato (principio di accountability) anche in relazione alla gestione delle tempistiche, dovendo organizzarsi poter gestire la richiesta (o le richieste) entro un mese dal ricevimento della stessa. Ciò dipende dal numero di richieste, dalla tipologia, dal volume dei dati personali che ne sono oggetto, o dalle caratteristiche del trattamento di tali dati, anche considerando la possibilità -per la complessità o il numero delle richieste- che sia necessario valutare una proroga dei tempi di risposta, per un massimo complessivo di tre mesi dal ricevimento della richiesta. Inoltre, anche nel caso di una richiesta di esercizio di diritti piuttosto semplice la gestione del tempo può risultare problematica, se non affrontata adeguatamente. Ad esempio perché può essere necessario coinvolgere uno o più Responsabili inquadrati all’interno del trattamento di dati personali oggetto dell’istanza. In tal caso il Titolare dovrà valutare la richiesta, individuare il trattamento cui i dati personali si riferiscono, nonché identificare i Responsabili coinvolti nel trattamento e richiede la loro assistenza.

Come creare un sistema di gestione delle richieste efficace e funzionale?

Per i Titolari del trattamento affrontare il tema dei diritti degli interessati in modo impreparato, o, più propriamente detto, in modo deresponsabilizzato (principio di accountability), comporta un elevato rischio di non conformità al GDPR.

Se da un lato ciò mina sensibilmente il diritto degli interessati di esercitare il controllo sui dati che li riguardano, dall’altro si palesa anche un rischio di tipo economico, dato che la normativa si munisce di strumenti sanzionatori. Infatti, non solo il GDPR prevede, al verificarsi di violazione delle disposizioni a norma degli articoli da 12 a 22, lo scaglione di sanzioni pecuniarie più elevato (fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore), ma lo stesso Garante Privacy pone particolare attenzione al mancato rispetto delle disposizioni relative all’esercizio dei diritti, sottolineando in recenti provvedimenti sanzionatori il mancato riscontro alle istanze formulate dagli interessati, nonché il tempo impiegato per fornire riscontro al di là dei termini previsti per legge.

Emerge dunque la necessità per i Titolari di adottare un sistema di gestione delle istanze degli interessati efficace. Per questo è consigliabile rivolgersi ad un professionista in grado di supportare il Titolare, affiancandolo nella creazione di tale sistema, un sistema, in breve, che consenta di adempiere correttamente al GDPR e la comunicazione con gli interessati senza per questo precludere, anzi ottimizzando la gestione delle proprie attività di business.