La vicenda di Google Analytics e le richieste di cancellazione dei dati inviate in modo massimo a tanti titolari di siti web hanno evidenziano la poca consapevolezza in merito ai diritti degli interessati e molta difficoltà nel gestire correttamente la richiesta di esercizio dei diritti GDPR.
La vicenda di Google Analytics e, soprattutto, la richiesta di cancellazione dei dati (art.17 del GDPR) inviata dal sig. Federico Leva a moltissimi titolari del trattamento ha evidenziato una certa impreparazione su come gestire i diritti riconosciuti dal GDPR a tutti gli interessati e le relative risposte.
Come sappiamo, il GDPR negli articoli dal 15 al 22 riconosce e garantisce agli interessati, cioè alle persone fisiche a cui i dati si riferiscono diversi diritti che possono essere esercitati nei confronti dei titolari del trattamento, in particolare il diritto di accesso, di rettifica, di cancellazione, di limitazione del trattamento, di portabilità e di opposizione.
Ogni Titolare del trattamento, quindi, deve garantire e facilitare l’interessato nell’esercitare i propri diritti.
In che modo il titolare può facilitare l’esercizio di tali diritti ?
Il Titolare dovrà :
– Definire il canale di comunicazione attraverso il quale l’interessato potrà inviare le proprie richieste. Quindi, potrà essere individuato un canale telematico ( indirizzo email o PEC), o analogico ( indirizzo sede legale), o nel caso dei siti web, prevedere dei meccanismi per facilitare la richiesta.
– I canali scelti dovranno essere comunicati agli interessati mediante specifica indicazione nell’informativa privacy predisposta ai sensi dell’articolo 13 del GDPR .
– Rispondere alla richiesta in modo gratuito, salvo il caso in cui la gestione della richiesta sia particolarmente onerosa o infondata, in questa circostanza il titolare avrà facoltà di richiedere un contributo spese ragionevole ai soggetti interessati oppure rifiutarsi di soddisfare la richiesta (articolo 12, paragrafo 5 GDPR).
Pervenuta la richiesta da parte dell’interessato, il titolare dovrà gestirla in modo da evitare eventuali contestazioni.
Pertanto, la gestione di questo tipo di richieste dovrà essere prevista nel modello organizzativo privacy adottato da ogni titolare del trattamento e predisposta un’apposita procedura che definisca le fasi principali di tale attività, a partire dalla presa in carico della richiesta, fino ad arrivare al riscontro all’interessato.
Cosa bisogna prevedere in una procedura di gestione delle richieste degli interessati?
Il titolare deve prevedere:
– le modalità di identificazione del soggetto interessato, in modo da essere certi che la richiesta arrivi dalla persona corretta. Questa attività potrebbe essere gestita all’interno dell’organizzazione del titolare, utilizzando, ad esempio, informazioni tecniche, o legate al profilo utente ( in caso di utente registrato), o in mancanza di queste informazioni si potrebbe richiedere un documento d’identità.
Per quanto riguarda il documento d’identità nelle Guidelines 01/2022 on data subject rights – Right of access l’ EDPB ha stabilito che “La richiesta di ulteriori informazioni deve essere proporzionata alla tipologia dei dati trattati, al danno che potrebbe verificarsi… onde evitare un eccesso di dati collezione.” ed ancora “l’utilizzo della copia di un documento di identità come parte dell’autenticazione crea un rischio per la sicurezza dei dati personali e può portare a trattamenti non autorizzati o illeciti e, come tale, è da considerarsi inappropriato, a meno che non sia strettamente necessario, idoneo, e in linea con il diritto nazionale…”
Nel caso in cui non sia possibile identificare l’interessato, o nel caso in cui vi sia un rifiuto al riconoscimento, il titolare del trattamento avrà facoltà di non adempiere alla richiesta effettuata, comunicando in ogni caso il rifiuto al soggetto interessato (articolo 11 comma 2 e articolo 12 comma 6 GDPR).
– Analisi della richiesta ricevuta. il Titolare in base al tipo di diritto azionato dovrà analizzare la richiesta, verificare la presenza dei dati personali e la finalità del trattamento attuato. verificare le condizioni di liceità del trattamento ed in particolare la concessione, da parte dell’interessato, dei consensi relativi alle finalità della raccolta dati effettuata, laddove prevista, ovvero l’esistenza di altra base giuridica del trattamento.
– Rispondere all’interessato. La risposta all’interessato dovrà avvenire senza ritardo e comunque entro il termine di trenta giorni dalla data di ricezione della richiesta. Nel caso in cui la gestione della richiesta sia particolarmente complessa, il termine di 30 giorni potrà essere prorogato fino ad un massimo di tre mesi. In ogni caso, il Titolare dovrà rispondere e informare l’interessato dell’eventuale proroga e dei relativi motivi.
Le risposte all’interessato dovranno essere scritte con un linguaggio semplice e chiaro ed inviate utilizzando il canale di comunicazione utilizzato dall’interessato, o da quest’ultimo indicato.
– Documentare le attività di identificazione, analisi della richiesta e di risposta in modo permettere al titolare di documentare le attività eseguite in caso di contestazione. Al riguardo, il titolare potrà predisporre uno specifico registro dove annotare:
– data di ricezione dell’istanza
– nominativo del richiedente/interessato (se diverso dal richiedente)
– descrizione della richiesta
– strutture organizzative o banche dati coinvolte
– azione intrapresa riguardo alla richiesta
– riferimenti della nota di riscontro all’interessato (data e protocollo)
– note e commenti.
La gestione del tema dei diritti degli interessati richiede molta attenzione ed i titolari devono organizzarsi in modo da non trovarsi impreparati.
I diritti degli interessati sono spesso sottovalutati, ma rappresentano un rischio di non conformità al GDPR molto elevato. Infatti, la violazione dell’articolo 12 rientra nello scaglione delle sanzioni pecuniarie più elevato ed il Garante della privacy in diversi provvedimenti sanzionatori ha dato molto risalto all’omessa, o tardiva risposta dell’interessato .
Adottare un procedura di gestione delle richieste degli interessati è il primo passo per garantire un’ efficiente e puntuale risposta all’interessato ed effettuare il trattamento dei dati in modo conforme.