Diritto di accesso ai dati personali: ma quanto mi costerà?
Accade spesso che il titolare del trattamento rigetti una richiesta di accesso ai dati, da parte del soggetto coinvolto, adducendo varie motivazioni, come ad esempio la riservatezza dei dati stessi od altri motivi, che il regolamento illustra in dettaglio. È raro che la motivazione del rifiuto sia dovuta ad un costo eccessivo, connesso all’esaudimento della richiesta di dati. Ecco perché risulta interessante in un documento, prodotto dal garante inglese per la protezione dei dati, l’Information Commissioner Office- ICO, che ha offerto delle linee guida sulle modalità in base alle quali si può calcolare quali sia il costo massimo che il titolare del trattamento può accollarsi, per dare risposta una richiesta di accesso ai dati da parte dell’interessato.
Il tema viene trattato, nel Regno Unito, da un apposito decreto legislativo, chiamato FOIA – Freedom of Information Act. Questo testo legislativo evidentemente non si applica solo a richieste afferenti a dati personali, ma più in generale a qualsiasi richiesta che un cittadino possa rivolgere ad una pubblica amministrazione, per avere dati, di cui desideri avere legittima conoscenza. Il testo legislativo consente all’amministrazione coinvolta di rifiutare di soddisfare la richiesta di accesso ai dati, se il costo di questa ricerca supera un certo limite.
Approfondimento della normativa ISO 11064 e altre norme per la progettazione delle sale di controllo, a cura di di Adalberto Biasiotti. |
Il costo viene calcolato sulla base di 25 £ per ora di lavoro del personale addetto. Per le amministrazioni pubbliche centrali, il limite di costo, che il titolare può sostenere, è pari a 600 £, cioè 24 ore di lavoro. Per tutte le altre autorità pubbliche, il limite di costo è di 450 £, pari a 18 ore di lavoro.
Il documento precisa successivamente quali siano le ore di lavoro da calcolare:
- individuazione dell’archivio, fisico od informatico, dove le informazioni sono custodite,
- il recupero delle informazioni, e
- l’estrazione delle informazioni specifiche, presenti in un documento che ne potrebbe contenere anche altre.
Il documento legislativo specifica con chiarezza che il tempo dedicato alla estrazione dei dati, magari oscurando altri dati non rilevanti, non può essere calcolato nel monte ore sopraindicato.
Particolarmente interessante è la disposizione che precisa come il titolare del trattamento possa condurre un’indagine preliminare, per avere un’idea più corretta del costo complessivo dell’indagine. In caso, è consentito al titolare di rispondere solo ad una parte del quesito, posto dall’interessato, fino alla concorrenza massima del limite di spesa che la disposizione legislativa accolla al titolare.
Ove la valutazione preliminare del titolare confermi che l’esaudimento della richiesta dell’interessato può portare ad un costo eccessivo per il titolare stesso, il titolare è comunque obbligato a rispondere alla richiesta, precisando il motivo per cui non è in grado di soddisfarla.
La disposizione legislativa prevede anche che il titolare del trattamento proponga all’interessato anche possibili altre soluzioni, che permettano, per quanto possibile, di esaudire in parte la sua richiesta, senza eccedere il limite di spesa previsto. Una nuova richiesta, così articolata, emessa dall’interessato al trattamento, deve essere trattata come una nuova richiesta.
Ritengo che questa impostazione sia oltremodo interessante, perché ad oggi le modalità di valutazione del “costo eccessivo” sono affidate in via pressoché esclusiva al titolare del trattamento, che potrebbe, seppure in buona fede, assumere atteggiamenti oltremodo prudenziali, che potrebbero portare al rifiuto di esaudire la richiesta dell’interessato.
Raccomando che i lettori tengano ben presente queste linee guida, perché, ove vengano a conoscenza di richieste di accesso, rifiutata dal titolare per motivi di costo eccessivo, nel raccogliere i dati della risposta, possano effettuare contro-valutazioni equilibrate e rispettose dei diritti di tutti i soggetti coinvolti.
Adalberrto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.