La corretta gestione del diritto di accesso ai propri dati personali
Purtroppo, sono ancora oggi numerosi i titolari che ritengono che l’ interessato al trattamento, vale a dire la persona fisica, i cui dati sono stati acquisiti dal titolare, non abbia particolari diritti, in merito alle modalità di trattamento di dati stessi. Chi scrive più volte si è confrontato con situazioni nelle quali l’interessato, che voleva esercitare il diritto di accesso, si è sentito rispondere testualmente dal titolare: “non posso darle i dati per ragione di privacy!”.
Invece, è proprio nel rispetto del regolamento generale europeo che il titolare deve tempestivamente e compiutamente rispondere ad una richiesta di diritto di accesso.
È ben vero che il regolamento europeo prevede alcune eccezioni, come ad esempio la comunicazione di dati afferenti ad indagini della polizia giudiziaria, ma ci troviamo davanti a rarissime eccezioni, a fronte di un obbligo generalizzato di evasione corretta e tempestiva della richiesta di accesso.
Il garante inglese per la protezione dati personali ha recentemente sviluppato uno studio, inviando un questionario a migliaia di titolari del trattamento, per chiedere di venire a conoscenza delle modalità, grazie alle quali questi titolari gestivano una richiesta di accesso, da parte di un qualsiasi cittadino.
I problemi che più frequentemente si sono presentati sono i seguenti:
- ritardo nella risposta
- gestione inappropriata, dovuta ad assenza di specifici punti di contatto, a quesiti rimasti senza risposta ed a risposte incomplete o insoddisfacenti,
- mancanza di fiducia, da parte dell’interessato, sulle risposte ottenute,
- incomprensione, vale a dire insufficiente chiarezza delle informazioni.
Ecco perché è opportuno offrire ai titolari del trattamento alcune preziose indicazioni sulle modalità di gestione di una richiesta di accesso.
Stabilite un chiaro punto di contatto, che preferibilmente possa essere raggiunto anche per telefono.
La indicazione di un indirizzo di posta elettronica può essere utile per un gran numero di interessati, ma per alcune particolari categorie, come ad esempio interessati poco familiari con l’informatica o di una certa età, il collegamento telefonico rappresenta indubbiamente la forma più efficiente ed efficace di contatto.
Ecco perché è opportuno indicare un numero telefonico ed i giorni e le ore nelle quali il contatto è disponibile.
Addestrate il soggetto, che riceve le richieste di accesso, sia per posta elettronica, sia telefoniche, a stabilire un dialogo costruttivo con il richiedente.
Un appropriato addestramento permette al soggetto coinvolto di raccogliere tutte le appropriate informazioni e definire le modalità di risposta, che è bene che non avvengano per via telefonica, ma per posta elettronica o con posta convenzionale. Rimarrà così una traccia oggettiva di quanto è stato richiesto e di quanto è stato inviato, ad evasione del diritto di accesso. Ancora una volta, un dialogo competente e costruttivo rappresenta un prezioso strumento di gestione del contatto.
Ricordatevi di accertare sempre la identità del richiedente.
Il diritto di accesso ai propri dati può essere esercitato solo dallo specifico soggetto interessato. Ecco la ragione per la quale è indispensabile accertare sempre l’identità del richiedente, ad esempio chiedendo di inviare fotocopia di un documento di identità in corso di validità. Parimenti, il richiedente dovrà indicare l’indirizzo al quale dovrà essere spedito la documentazione, ad evasione del diritto di accesso.
Gestite la richiesta in modo tempestivo.
Talvolta l’evasione della richiesta è piuttosto complessa e in questo caso è possibile che non tutte le informazioni richieste siano immediatamente disponibili. Questo fatto deve essere chiaramente illustrato all’interessato, che avanza la richiesta di accesso, dando immediata evasione a quelle porzioni della richiesta, che sono immediatamente disponibili, e prendendo contatto con l’interessato per spiegare le ragioni per le quali ulteriori dati potranno arrivare con un certo ritardo di tempo. Di tutti questi contatti deve essere tenuta una traccia, in modo che, in caso di ispezione da parte degli inviati dell’autorità garante, si possa dimostrare di aver gestito in maniera tempestiva e quanto più possibile efficace la richiesta dell’interessato.
Nella risposta, si usi sempre un linguaggio semplice e comprensibile da persone di medio livello di cultura.
Purtroppo gli esperti nel settore della protezione dati personali tendono spesso ad utilizzare espressioni, che per loro sono assolutamente trasparenti, ma sono assolutamente incomprensibili per una persona “normale”.
Ecco perché chi elabora la risposta ad una richiesta di accesso deve mettersi nei panni del richiedente, in modo che il testo della risposta sia completo ma, soprattutto, comprensibile per il destinatario.
Infine, si assuma sempre un comportamento onesto e trasparente nel rapporto con l’interessato.
Il titolare del trattamento tenga sempre a mente il fatto che, con il nuovo regolamento europeo, le autorità garanti nazionali possono infliggere sanzioni di livello estremamente elevato, soprattutto quando si mette in evidenza la malafede del titolare, nella gestione di una richiesta di accesso. Ecco perché il titolare deve sempre mettere a confronto i rischi cui va incontro, in caso di risposta incompleta, insoddisfacente o non tempestiva, con i vantaggi legati all’assunzione di un atteggiamento onesto e trasparente.
Oggi sono disponibili numerosi formati, messi a disposizione da varie autorità garanti nazionali, che possono aiutare i titolari di buona volontà a gestire in modo appropriato tutte le richieste di accesso, che legittimamente gli interessati possono avanzare.
Adalberto Biasiotti
I contenuti presenti sul sito PuntoSicuro non possono essere utilizzati al fine di addestrare sistemi di intelligenza artificiale.