Richiesta di esercizio di diritti GDPR: quando si può chiedere il documento?

Per far fronte a una richiesta di esercizio di diritti ai sensi del GDPR è fondamentale che il titolare del trattamento abbia piena consapevolezza dell’ambito di azione entro il quale può operare. In un’ipotetica checklist, la prima considerazione che dovrà fare è quando si può chiedere il documento dell’interessato che avanzi la richiesta di esercizio dei diritti ai sensi del GDPR. Questo per evitare trattamenti ulteriori che vadano in contrasto con i principi del Regolamento.

Ma andiamo con ordine.

Quali sono i diritti dell’interessato secondo il GDPR?

Gli articoli 15-22 del GDPR indicano quali sono i diritti riconosciuti agli interessati del trattamento, precisando anche le modalità, le tempistiche e gli obblighi in capo al titolare che debba dar riscontro alle relative istanze.

La normativa privacy prevede infatti che il titolare del trattamento non debba solo informare adeguatamente gli interessati, ma anche garantire un effettivo riscontro alle richieste degli interessati circa l’esercizio dei propri diritti ai sensi del GDPR.

I diritti degli interessati nei confronti del titolare, è opportuno ricordarlo, sono:

• accesso ai dati personali (art. 15 GDPR);
• rettifica (art. 16);
• cancellazione/oblio (art. 17);
• limitazione del trattamento (art. 18);
• portabilità dei dati (art. 20);
• opposizione (art. 21);
• non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona (art. 22).

Qualora ritenga di voler esercitare uno o più di questi diritti, l’interessato può rivolgersi senza particolari formalità direttamente al titolare del trattamento. In alternativa, se designato, al relativo DPO, i cui dati di contatto devono essere opportunamente indicati nell’informativa ex artt. 13 – 14 GDPR.

Qui il Garante mette a disposizione un utile modello per la richiesta di esercizio dei diritti.

I doveri del titolare destinatario di una richiesta di esercizio dei diritti GDPR

Come precisato dall’art. 12 GDPR, il titolare deve agevolare l’esercizio dei diritti dell’interessato ex artt. 15 – 22, adottando ogni misura tecnica e organizzativa a ciò idonea.

La corretta gestione delle richieste degli interessati, oltre a consentire il rispetto dei diritti di questi ultimi, permette al titolare di avere pronta contezza di eventuali trattamenti non aderenti al Regolamento. In questo modo può prevenire possibili sanzioni del Garante e richieste di risarcimento da parte dei danneggiati.

Le attività da svolgere possono essere raccolte in quattro momenti fondamentali:

1. Ricezione e presa in carico della richiesta di esercizio dei diritti ai sensi del GDPR;
2. Corretta individuazione e identificazione dell’interessato (a volte anche mediante richiesta di esibire il documento d’identità);
3. Approfondimento della richiesta;
4. Gestione della richiesta, rispettando le tempistiche.

Per garantire l’esatta esecuzione di queste fasi, il titolare deve approntare tutte le misure tecniche e organizzative necessarie, coinvolgendo tutti i soggetti che intervengono nel trattamento oggetto della richiesta. Tra di essi, per esempio, eventuali contitolari, responsabili e sub-responsabili, soggetti autorizzati, amministratori di sistema, ecc.

L’identificazione dell’interessato che avanzi richiesta di esercizio dei diritti GDPR: è possibile chiedere copia del documento?

Veniamo al punto centrale della questione. La possibilità di chiedere il documento spesso solleva dubbi in chi deve gestire una richiesta di esercizio dei diritti ai sensi del GDPR.

L’art. 12 del GDPR infatti individua tra gli obblighi informativi del titolare la piena trasparenza circa tutti i diritti che spettano all’interessato, da rendere sia in forma scritta, in modo intellegibile e facilmente accessibile, che in forma orale, se richiesto, previa verifica dell’identità del richiedente.

Una volta pervenuta la richiesta di esercizio dei diritti, la prima operazione da effettuare è ovviamente la verifica dell’identità dell’interessato, per assicurarsi che l’istanza provenga dalla persona legittimata.

L’identificazione dell’interessato è un’attività da svolgere in via preliminare, il più delle volte obbligatoria, perché permette al titolare di dare riscontro alla richiesta senza incorrere nel rischio di violare (o meglio, di trattare in modo illecito) dati personali altrui.

Può sembrare scontato, ma non è sempre facile identificare il soggetto che avanzi la richiesta.

Si pensi ad esempio al soggetto che si metta in contatto mediante l’invio di una semplice e-mail, indicando magari soltanto il proprio nome utente. In questo caso al destinatario della richiesta è riconosciuta la facoltà di richiedere informazioni aggiuntive, ed eventualmente, se necessario, una copia del documento di identità.

Può verificarsi però che l’identificazione mediante consegna del documento non sia necessaria per le finalità del trattamento.

In tali ipotesi, in virtù dei principi di sicurezza dei trattamenti, di minimizzazione, di limitazione delle finalità e della conservazione e del più generale principio di liceità di cui all’art. 5 del GDPR, la conservazione del documento deve essere limitata al periodo in cui tale attività sia necessaria per identificare il soggetto che vuole esercitare i suoi diritti.

Come identificare correttamente l’interessato?

Per dirla in termini pratici, se in base alle sole informazioni a disposizione del titolare questi non riesca a identificare l’interessato che faccia richiesta di esercizio dei diritti di cui al GDPR, sarà possibile farsi consegnare una copia del documento d’identità.

Sarebbe opportuno fornire ai soggetti preposti alla gestione delle richieste delle linee guida sull’intero ciclo delle operazioni: quali soggetti consultare, quali informazioni ulteriori richiedere all’interessato, quali tempistiche nella conservazione della corrispondenza e dell’eventuale documento necessario per l’identificazione, ecc.

Ad esempio, nell’ipotesi in cui la richiesta di esercizio di diritto venga avanzata da un genitore nell’interesse del figlio minore, il soggetto destinatario della richiesta deve curarsi di richiedere solo le informazioni necessarie per la corretta individuazione del richiedente, e di restituire solo quanto strettamente necessario ai fini dell’esercizio del diritto.

Nelle ipotesi in cui il trattamento non preveda un’identificazione degli interessati e il titolare non sia in grado di identificare l’interessato, nell’informativa deve obbligatoriamente esser menzionata tale circostanza, eventualmente indicando strumenti alternativi per l’esercizio dei diritti ex artt. 15 – 22 GDPR (si pensi, ad esempio, a forme di cifratura che consentano di evitare l’identificazione).

È bene ricordare, da ultimo, che, a fronte di un rifiuto dell’interessato di fornire le informazioni richieste necessarie per l’esercizio dei diritti, ai sensi dell’art. 12 par. 6 GDPR al titolare è riconosciuta la facoltà di non adempiere alla richiesta effettuata, comunicando tale rifiuto al richiedente.

Procedure e best practices nella gestione della richiesta di esercizio dei diritti GDPR

È opportuno premettere che, senza una puntuale mappatura dei trattamenti svolti, anche la più semplice richiesta di esercizio dei diritti ai sensi del GDPR risulterà operazione assai complessa.

In ottica cybersecurity però la semplice mappatura dei trattamenti potrebbe non bastare. È opportuno infatti predisporre un sistema aziendale che consenta di individuare le fragilità dei sistemi informatici e di analizzare le possibili aree di vulnerabilità (ne avevamo parlato qui).

Parallelamente alle misure di sicurezza, il titolare deve implementare un modello di gestione privacy su misura per la sua realtà, che consenta ai soggetti che intervengono nel trattamento di conoscere “a monte” chi è autorizzato a fare cosa e con quali attribuzioni.

Solo dopo aver raggiunto la piena consapevolezza dell’uso che si fa dei dati personali raccolti, il titolare dovrebbe predisporre appositi canali per informare gli interessati sugli strumenti di tutela a disposizione e sulle modalità per avanzare le relative richieste.

Nella gestione delle richieste di esercizio dei diritti GDPR, ad esempio, potrebbe essere utile fornire solo al soggetto preposto le chiavi di accesso ai canali a disposizione degli interessati, per evitare pericolose “fughe” di informazioni.

Chi deve, in pratica, occuparsi delle richieste di esercizio dei diritti?

Come anticipato, se il titolare risponde ai requisiti di cui all’art. 37 GDPR, questi sarà tenuto a nominare un Responsabile della Protezione Dati (o DPO – Data Protection Officer).

A tale figura spetta anche il compito di fungere da punto di contatto tra l’interessato e il titolare per tutte le questioni relative al trattamento dei dati personali e all’esercizio dei loro diritti (art. 38 par. 4 GDPR). Sarà quindi importante mettere a disposizione in modo trasparente i dati di contatto del DPO, non solo nell’ informativa, ma anche predisponendo un apposito form sul proprio sito web che consenta un contatto diretto tra le parti.

Qualora il titolare non sia tenuto alla nomina del DPO, è cruciale in ogni caso individuare la figura, all’interno della struttura, preposta alla ricezione delle richieste di esercizio dei diritti GDPR.

Al DPO devono inoltre essere fornite le indicazioni e tutti gli strumenti utili per lo svolgimento di questa delicata attività. Potrebbe bastare semplicemente creare un apposito indirizzo e-mail dedicato esclusivamente alla gestione delle richieste.

Ovviamente, anche in tale ipotesi, i dati di contatto devono essere adeguatamente portati a conoscenza degli interessati, in aderenza al principio di trasparenza.

Alcuni esempi pratici di gestione illecita delle richieste

Esempio 1

Al referente privacy dell’azienda X, Tizio, è stata affidata la mansione di gestire l’intero ciclo di operazioni relative alle richieste di esercizio dei diritti da parte degli interessati.

Ricevuta via e-mail la richiesta da parte di Caio, Tizio, per accertarsi dell’identità del richiedente, si fa inviare una copia del documento dello stesso. Dopo aver verificato l’identità e dopo aver evaso correttamente la richiesta di esercizio dei diritti GDPR, Tizio omette di eliminare dai sistemi dell’azienda la copia del documento dell’interessato, che viene successivamente reso pubblico a seguito di un grave data breach.

È evidente che siamo di fronte a un trattamento illecito dei dati personali di Caio, che può esporre il titolare del trattamento a sanzioni dell’Autorità e a richieste di risarcimento, a meno che non dimostri che Tizio ha agito contrariamente alle istruzioni date.

Esempio 2

Nell’informativa fornita agli interessati, l’azienda Y indica come e-mail di riferimento per le richieste di esercizio dei diritti l’indirizzo generico della società. A questa casella e-mail ha accesso tutto il management, anche i soggetti non direttamente coinvolti nel trattamento dei dati.

Tale condotta può, di per sé, costituire un illecito trattamento dei dati personali, poiché il titolare sta agendo contrariamente ai principi del GDPR, primi fra tutti quelli di limitazione delle finalità e di integrità e riservatezza.

Esempio 3

Sempronio, l’addetto privacy della società Z, appunta i numeri di telefono degli interessati che lo contattano per l’esercizio dei diritti di cui al GDPR su un quaderno, per poterli ricontattare per approfondire i motivi della richiesta.

La scrivania di Sempronio si trova in una zona “trafficata” degli uffici, ai quali hanno accesso sia i colleghi che gli addetti alla pulizia.

È opportuno che Sempronio si attivi affinché questi dati siano accessibili ai soli soggetti che intervengono nel trattamento. Potrebbe essere utile passare a metodi di conservazione più sicuri (potrebbe bastare un file excel protetto da password), o, perlomeno, assicurarsi che il quaderno sia riposto in luoghi non accessibili.

Gli adempimenti ulteriori

Una volta identificato l’interessato, il titolare dovrà attivarsi per far pervenire ai soggetti interessati congrue risposte entro un mese dalla richiesta, con possibilità di proroga a tre mesi in caso di numero elevato di richieste o casi di particolare complessità.

È importante adempiere nei tempi e con la dovuta diligenza, tenendo sempre traccia di tutte le istanze ricevute, anche in ottica accountability. Una gestione negligente, ma anche un ritardo ingiustificato nell’evadere le richieste, comportano una violazione dei principi del trattamento. Di conseguenza, l’azienda potrebbe ritrovarsi esposta a pesanti sanzioni da parte del Garante (di cui abbiamo parlato qui), ed eventuali richieste di risarcimento (qui il nostro approfondimento).

Continua a seguire SmartIUS per restare sempre aggiornato sugli adempimenti dei professionisti in ambito GDPR, e non solo!