La policy di riscontro delle richieste degli interessati


Tra le policy più importanti da mettere a punto riguardo alla gestione della data protection in ambito privacy vi è sicuramente quella che riguarda il riscontro che il titolare del trattamento, o il suo rappresentante se nominato, deve dare all'interessato. Questa policy rientra tra quelle obbligatorie e si dovrà basare sugli artt. da 15 a 22 del regolamento europeo UE 2016/679 e in particolare:

  • Articolo 15 - Diritto di accesso dell'interessato
  • Articolo 16 - Diritto di rettifica
  • Articolo 17 - Diritto di cancellazione (diritto all'oblio)
  • Articolo 18 - Diritto di limitazione di trattamento
  • Articolo 19 - Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
  • Articolo 20 - Diritto alla portabilità dei dati
  • Articolo 21 - Diritto di opposizione
  • Articolo 22 - Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

Inoltre occorre tenere conto anche dei considerando 59, 64 e 73:
(59) È opportuno prevedere modalità volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti di cui al presente regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare l’accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione. Il titolare del trattamento dovrebbe predisporre anche i mezzi per inoltrare le richieste per via elettronica, in particolare qualora i dati personali siano trattati con mezzi elettronici. Il titolare del trattamento dovrebbe essere tenuto a rispondere alle richieste dell’interessato senza ingiustificato ritardo e al più tardi entro un mese e a motivare la sua eventuale intenzione di non accogliere tali richieste.
(64) Il titolare del trattamento dovrebbe adottare tutte le misure ragionevoli per verificare l’identità di un interessato che chieda l’accesso, in particolare nel contesto di servizi online e di identificativi online. Il titolare del trattamento non dovrebbe conservare dati personali al solo scopo di poter rispondere a potenziali richieste.
(73) Il diritto dell’Unione o degli Stati membri può imporre limitazioni a specifici principi e ai diritti di informazione, accesso, rettifica e cancellazione di dati, al diritto alla portabilità dei dati, al diritto di opporsi, alle decisioni basate sulla profilazione, nonché alla comunicazione di una violazione di dati personali all'interessato e ad alcuni obblighi connessi in capo ai titolari del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica, ivi comprese la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, le attività di prevenzione, indagine e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, o di violazioni della deontologia professionale, per la tutela di altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, tra cui un interesse economico o finanziario rilevante dell’Unione o di uno Stato membro, per la tenuta di registri pubblici per ragioni di interesse pubblico generale, per l’ulteriore trattamento di dati personali archiviati al fine di fornire informazioni specifiche connesse al comportamento politico sotto precedenti regimi statali totalitari o per la tutela dell’interessato o dei diritti e delle libertà altrui, compresi la protezione sociale, la sanità pubblica e gli scopi umanitari. Tali limitazioni dovrebbero essere conformi alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. 
Per le richieste da parte degli interessati non esistono formalismi particolari da seguire, in effetti le richieste possono essere fatte anche via email, pec, posta ordinaria, raccomandata, le richieste devono essere conservate dal titolare del trattamento oppure dal suo rappresentante se nominato. Siccome in taluni ambiti le richieste potrebbero essere tante sarebbe opportuno organizzarsi con un registro anche in formato elettronico che sostanzialmente contenga le seguenti informazioni:
  • Numero di protocollo
  • Data di ricezione della richiesta
  • Mezzo con cui è stata comunicata la richiesta (telefono, email, pec, raccomandata)
  • Nome e cognome dell'interessato che ha fatto la richiesta
  • Modalità di identificazione dell'interessato
  • Diritto in base al quale è stata fatta la richiesta (es. diritto all'oblio)
  • Data riscontro
  • Azione intrapresa
  • Estremi e modalità di comunicazione del riscontro
Come abbiamo visto dal considerando 59 il tempo massimo per il riscontro deve essere di 30 giorni. Un punto molto importante è l'identificazione del richiedente che può essere fatta anche attraverso un documento d'identità, una volta identificato l'interessato, in un'ottica di minimizzazione dei dati personali, non è necessario conservare nella documentazione della richiesta la copia del documento d'identità che quindi può essere cancellata. 

Commenti