Richieste degli interessati — La guida completa per DPO

Una richiesta dell'interessato e una richiesta formale da parte di un individuo a un titolare del trattamento, che esercita il proprio diritto ai sensi dell'Articolo 15 del GDPR di ottenere la conferma che i propri dati personali siano o meno oggetto di trattamento e, in caso affermativo, l'accesso a tali dati insieme a specifiche informazioni supplementari. Qualsiasi persona fisica i cui dati vengono trattati puo presentare una richiesta. Non ci sono requisiti formali — la richiesta puo essere fatta verbalmente, via email, attraverso un modulo web o persino tramite social media. L'identita del richiedente deve essere verificata, ma l'organizzazione non puo imporre barriere irragionevoli alla presentazione di una richiesta. Le richieste non si limitano ai clienti. Dipendenti, ex dipendenti, candidati, visitatori del sito web e persino contatti commerciali possono presentarle. Per le organizzazioni con operazioni HR significative, le richieste dei dipendenti sono spesso le piu complesse — coinvolgono dati distribuiti tra sistemi di payroll, archivi email, valutazioni delle prestazioni e altro.

La scadenza standard per rispondere a una richiesta e di un mese dalla ricezione della richiesta — non un mese dalla verifica dell'identita o dalla presa in carico, ma dalla ricezione. Questa scadenza si calcola per mese di calendario: una richiesta ricevuta il 15 marzo scade il 15 aprile. Le proroghe sono possibili ai sensi dell'Articolo 12(3) del GDPR: se la richiesta e particolarmente complessa o se l'organizzazione riceve un numero elevato di richieste, la scadenza puo essere prorogata di due mesi ulteriori. Tuttavia, il titolare deve informare l'interessato della proroga entro il termine originale di un mese, indicando i motivi del ritardo. Nella pratica, la maggior parte delle autorita di controllo vede con sfavore le proroghe utilizzate come pratica standard. Sono pensate per casi genuinamente complessi — non come un buffer di default. Se si trova regolarmente nella necessita di proroghe, e un segnale che il Suo processo di gestione delle richieste necessita di miglioramento. Per i DPO esterni che gestiscono 15 clienti con una media di 3 richieste per cliente all'anno, si tratta di 45 scadenze individuali da monitorare. Il monitoraggio manuale con voci di calendario e soggetto a errori e non scala. Una singola scadenza mancata puo generare un reclamo all'autorita di controllo e un danno reputazionale sia per il cliente che per il DPO.

L'Articolo 15 richiede ai titolari di fornire le seguenti informazioni in risposta a una richiesta: le finalita del trattamento, le categorie di dati personali interessati, i destinatari o le categorie di destinatari, il periodo di conservazione previsto o i criteri per determinarlo, l'esistenza del diritto di rettifica, cancellazione o limitazione, il diritto di proporre reclamo a un'autorita di controllo, la fonte dei dati (se non raccolti direttamente dall'interessato) e l'esistenza di processi decisionali automatizzati inclusa la profilazione. Oltre a queste metainformazioni, il titolare deve fornire una copia dei dati personali in corso di trattamento. La prima copia deve essere fornita gratuitamente; per copie aggiuntive puo essere addebitato un contributo spese ragionevole. La risposta deve essere fornita in un formato elettronico di uso comune se la richiesta e stata effettuata per via elettronica. Deve essere concisa, trasparente e in un linguaggio chiaro e semplice — in particolare se l'interessato e un minore.

Non tutte le richieste devono essere soddisfatte integralmente. L'Articolo 12(5) consente ai titolari di rifiutare richieste "manifestamente infondate o eccessive" — ad esempio, richieste ripetute dalla stessa persona senza che sia intervenuto alcun nuovo trattamento. L'onere della prova che una richiesta sia manifestamente infondata ricade sul titolare. Anche il segreto professionale e i segreti commerciali possono limitare cio che deve essere divulgato. Se fornire una copia completa di tutti i dati rivelerebbe algoritmi proprietari, strategie commerciali o informazioni su altri individui, il titolare puo oscurare o trattenere quelle informazioni specifiche — ma deve comunque rispondere alla richiesta nel suo complesso. Le richieste dei dipendenti sono particolarmente complesse. Spesso coinvolgono dati detenuti da piu dipartimenti (HR, IT, finanza, direzione) e possono includere comunicazioni interne riguardanti il dipendente. Le autorita di controllo generalmente si aspettano che le organizzazioni cerchino in tutti i sistemi pertinenti, inclusa la posta elettronica, ma le discussioni riservate della direzione su ristrutturazioni o procedimenti disciplinari possono essere esentate in determinate circostanze. In caso di dubbio, documenti il Suo ragionamento per qualsiasi limitazione o esenzione applicata. Le autorita di controllo sono molto piu comprensive quando un titolare puo mostrare un processo decisionale ragionato e documentato piuttosto che quando incontrano rifiuti generici.