Una richiesta di diritto di accesso ai dati personali non dovrebbe mai cogliere impreparati.
Può arrivare tramite e-mail, PEC, raccomandata oppure mediante un semplice messaggio trasmesso all’azienda o allo studio.
Un cliente scrive un messaggio compilando il form online: “Vorrei sapere quali dati personali conservate su di me”.
Oppure un ex dipendente domanda: “vorrei avere una copia dei miei dati personali e delle informazioni relative ai trattamenti effettuati quando ero un vostro dipendente”.
Sono situazioni sempre più frequenti. La sempre più diffusa attenzione verso la protezione dei dati personali ha infatti reso gli interessati più consapevoli dei diritti previsti dal GDPR e, tra questi, il diritto di accesso è indubbiamente uno dei più esercitati.
Eppure, molte organizzazioni si limitano semplicemente ad inserire un passaggio nell’informativa privacy, dotandosi di un indirizzo email o di un canale dedicato a rispondere a tali richieste, restando, tuttavia, sprovviste di una reale procedura che renda davvero efficace ciò che è scritto nell’informativa e questo è un passaggio fondamentale, in un periodo in cui si passa dalla compliance alla governance, che richiede alle organizzazioni di rendere effettivo ciò che viene scritto nella documentazione, di cui, in modo solerte, esse si dotano.
E’ bene comprendere che l’assenza di una procedura ad hoc che renda effettivo l’esercizio dei diritti degli interessati, non è soltanto una questione di rispetto delle norme.
Una gestione caotica, infatti, può minare il rapporto di fiducia con clienti, dipendenti e collaboratori, oltre a esporre l’organizzazione a reclami e contestazioni.
Il diritto di accesso: più di una mera richiesta di documenti
L'articolo 15 del Regolamento Generale sulla Protezione dei Dati (GDPR) riconosce all’interessato il diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguarda.
Quando tale trattamento esiste, la persona può richiedere informazioni sulle finalità perseguite, sulle categorie di dati trattati, sui destinatari, sui tempi di conservazione e, soprattutto, ottenere una copia dei dati personali oggetto del trattamento.
E’ importante però chiarire un passaggio: il diritto di accesso non coincide con il diritto a ricevere qualsiasi documento presente negli archivi aziendali.
In realtà, il diritto riguarda i dati personali dell’interessato e non necessariamente l’intera documentazione in cui tali dati possono essere contenuti.
La distinzione può apparire relativa, ma è stata più volte richiamata sia dalla giurisprudenza europea sia dalle autorità di controllo.
Il primo errore da evitare: rispondere senza controllare l’identità dell’istante.
Quando si riceve una richiesta di accesso, prima di trasmettere qualsiasi informazione, occorre avere la ragionevole certezza che la persona che formula la richiesta sia effettivamente l’interessato o un soggetto legittimato a rappresentarlo.
Questo non significa chiedere regolarmente copie di documenti di identità o acquisire ulteriori dati personali senza esigenze.
Il GDPR impone, infatti, un equilibrio tra due necessità: assicurare l’effettivo esercizio del diritto, da un lato e tutelare i dati da comunicazioni indebite, dall’altro.
La verifica dell’identità deve, quindi, essere proporzionata alle circostanze e al rischio connesso ai dati richiesti.
Il secondo errore cruciale: non sapere internamente a chi è demandato il compito di gestire la richiesta.
In molte organizzazioni, le richieste degli interessati giungono al customer service, all’area legale, al servizio clienti, a volte ai consulenti esterni.
Ma se il personale non è stato adeguatamente formato, il rischio è che l’istanza venga trascurata, accantonata erroneamente oppure inviata con ritardo ai soggetti competenti.
Per tale motivo, ogni organizzazione dovrebbe stabilire anzitempo una procedura interna che descriva come deve essere gestito l’esercizio dei diritti degli interessati.
La procedura dovrebbe essere resa nota non soltanto al DPO o al referente privacy, ma soprattutto a tutti i dipendenti e collaboratori che potrebbero ricevere una richiesta.
In effetti, la procedura ideata può essere anche la più snella, ma perde la sua efficacia se le persone che devono renderla operativa non ne conoscono l’esistenza o non hanno nemmeno letto di cosa si tratta.
E’ importante comprendere inoltre che il termine di risposta non decorre da quando l’organizzazione decide di occuparsene. L’articolo 12 del GDPR stabilisce, infatti, che il titolare del trattamento fornisca riscontro all’interessato, senza ingiustificato ritardo e, comunque, entro un mese dal ricevimento della richiesta.
Questo vuol dire che il termine di risposta parte dal momento in cui la richiesta viene ricevuta dall’organizzazione e non da quando raggiunge l’ufficio competente.
Per garantire che la risposta sia fornita nei termini previsti dal GDPR, è pertanto importante che il personale abbia chiaro in mente cosa deve fare e come muoversi quando gli arriva una richiesta di esercizio del diritto di accesso, come per gli altri diritti.
Una richiesta rimasta per settimane nella casella di posta di un collaboratore non interrompe né sospende i termini previsti dalla normativa!
La risposta deve essere completa, ma anche accessibile
Un altro errore frequente consiste nel predisporre risposte particolarmente tecniche, spesso formulate unicamente con chiaro intento difensivo.
Il GDPR richiede, invece, che le informazioni siano fornite in forma concisa, trasparente, intelligibile e facilmente accessibile.
E qui cambiare prospettiva diventa fondamentale. Non si tratta, infatti, di considerare che le procedure debbano essere predisposte per rispondere solo ad un obbligo normativo, ma di impostarle per permettere all’interessato di comprendere realmente come vengono utilizzati i suoi dati personali.
Una risposta formalmente corretta, ma incomprensibile rischia di tradire i principi del Regolamento n. 679/2016.
Attenzione ai dati di terzi
A volte accade che i documenti da trasmettere all’interessato, per consentirgli di ricevere i dati trattati, contengano anche informazioni di soggetti terzi. Prima di trasmettere qualunque documento occorre, pertanto, accertarsi che l’esercizio del diritto di accesso non comprometta i diritti e le libertà di altre persone.
È un principio che emerge chiaramente dall’articolo 15 del GDPR e che è stato più volte richiamato dalle autorità di controllo e dalla giurisprudenza.
E’ necessario, dunque, effettuare un controllo preventivo ed eventualmente procedere all’oscuramento delle informazioni riferite a terze persone o limitare alcuni dati contenuti nei documenti.
La procedura interna è una misura di accountability
Quando si parla di accountability si pensa spesso a registri, informative e policy, ma questa è la compliance che non basta più!
Oggi serve provare di disporre di un sistema di gestione dei dati personali veramente efficace e concreto. Dimostrare di saper gestire celermente e correttamente situazioni reali come l’esercizio dei diritti degli interessati, significa essere realmente allineati con il principio dell’accountability.
Una procedura ben congegnata dovrebbe permettere di rispondere ad alcune domande fondamentali:
Chi riceve la richiesta? Chi verifica l’identità dell’interessato? Chi raccoglie le informazioni? Chi approva la risposta finale? Come viene verbalizzata l’attività svolta?
La presenza di regole chiare limita il rischio di errori e garantisce processi efficienti.
Formare le persone coincide con proteggere realmente i diritti
L’esperienza attesta che le criticità più frequenti non derivano dall’assenza di una procedura, ma dal fatto che la procedura esiste, ma le persone non la sanno padroneggiare.
Per questo motivo, è importante che i dipendenti autorizzati al trattamento ricevano istruzioni precise sulla gestione delle richieste di accesso.
Questo naturalmente non significa che debbano diventare esperti in materia di privacy, ma semplicemente che siano consapevoli di cosa significa esercizio dei diritti, di come riconoscere una richiesta di questo tipo proveniente dall’interessato e di come agire per soddisfarla.
In fondo, come accade spesso nella protezione dei dati personali, la differenza non la fa il documento ben redatto, completo di tutto, ma poi conservato in una cartella o in un archivio, bensì la persona che sa esattamente come renderlo operativo, quando se ne presenta l’occasione e, prima o poi, l’occasione arriva sempre!
Le richieste di accesso ai dati personali non dovrebbero essere viste come una preoccupazione da gestire o un adempimento a cui sottostare, esse rappresentano piuttosto uno dei momenti in cui l’organizzazione dimostra veramente il proprio livello di trasparenza e di attenzione verso gli interessati.
Per questo motivo, non basta sapere a mena dito il contenuto degli articoli 12 e 15 del GDPR.
Occorre prevedere procedure semplici, comprensibili e realmente applicabili in base al contesto organizzativo in cui esse devono operare. Ma anche questo non basta: è anche necessario accertarsi che chiunque sia stato autorizzato a ricevere una richiesta, sappia come curarla.
E’ chiaro che la conformità non dipende unicamente dalle norme scritte, ma dalle persone chiamate a renderle operative nella quotidianità.
Una questione di consapevolezza, prima ancora che di adempimenti
Al di là degli aspetti giuridici e organizzativi, le richieste di accesso ai dati personali ricordano una cosa semplice, ma spesso trascurata: la richiesta non apre un “problema” per l’azienda, soddisfa il diritto di una persona con cui l’azienda è entrata in relazione.
Quando un cliente, un dipendente o un ex collaboratore esercita un diritto previsto dal GDPR non sta necessariamente discutendo sull’operato dell’organizzazione. Nella maggior parte dei casi sta unicamente chiedendo chiarezza e conferma che i propri dati siano stati gestiti correttamente.
Per questo motivo, il modo in cui si risponde a una richiesta di accesso non è mai un aspetto meramente formale. È anche un momento in cui si misura il livello di attenzione, rispetto e maturità organizzativa di un’azienda o di uno studio professionale.
Un riscontro ben gestito non serve soltanto ad evitare sanzioni o reclami. Serve a costruire fiducia. E la fiducia, nel tempo, riduce le dispute più di qualsiasi procedura difensiva.
In questo senso, la vera sfida del GDPR non è soltanto “fare le cose come la norma lo richiede”, ma imparare ad osservare le situazioni da un altro punto di vista, quello di chi esercita i propri diritti. È qui che la compliance si trasforma in etica d’impresa e non resta confinata nella semplice esecuzione di un obbligo giuridico.