L’ EDPB ha adottato le nuove Linee Guida sul diritto di accesso ai dati personali da parte dell’interessato. Una necessità dovuta all’alto numero di istanze avanzate dagli interessati che non hanno trovato idonei risconti e alle difficoltà pratiche.
Linee Guida EDPB: perché è importante questo intervento?
L’European Data Protection Board ha adottato le Linee Guida il 19 Gennaio 2022 in sessione plenaria. Queste rispondono e chiariscono una serie di problematiche ricorrenti e, raccogliendo le opinioni dei principali player, forniscono indicazioni pratiche. Sono trattati temi come i limiti della portata del diritto di accesso, il tipo di informazioni che un titolare del trattamento ha l’obbligo di fornire all’interessato, le modalità di richiesta di accesso e fornitura dello stesso ecc… Sono puntualizzate anche le situazioni definibili come “richiesta eccessiva” e “manifestamente infondata”.
Insomma sono tutte questioni che attengono al diritto di accesso dell’interessato ai propri dati, diritto estremamente importante nel GDPR. Ne va sia della possibilità per l’interessato sia di essere consapevole del trattamento, sia di valutarne la legittimità così come di verificare l’esattezza dei dati per poterne richiedere cancellazione o rettifica.
Il problema delle richieste di accesso ai dati personali non soddisfatte
Le Linee Guida discendono anzitutto da un problema tracciato nella relazione annuale sul 2020 del Garante europeo. Qui emergeva il problema di come la maggior parte delle istanze di accesso ai propri dati da parte degli interessati non abbiano trovato risconto oppure riscontro non idoneo. Il problema si è fatto così incalzante da aver avuto strasichi anche in Italia. Nel Dicembre 2021 infatti il Garante italiano ha sanzionato Tim per 150000 euro. Il motivo? Un cliente TIM ha chiesto l’accesso ai propri tabulati telefonici per produrre materiale difensivo per un processo penale in corso. TIM ha più e più volte ignorato le richieste del cliente il quale si è quindi rivolto al Garante.
C’è, sul punto, anche un problema ricorrente legato alle modalità di richiesta. La relazione annuale sottolinea come sia molto diffuso il presentare alcune istanze facendo riferimento al GDPR per richiedere però non l’accesso a dati personali ma a documentazione amministrativa. Le linee Guida affrontano e dettagliano anche questo problema.
Diritto all’accesso ai dati personali: quali aspetti
Le linee Guida tracciano intanto tre differenti aspetti del diritto all’accesso, che devono essere garantiti all’interessato:
- ricevere conferma dell’effettivo trattamento dei dati;
- poter accedere ai propri dati;
- consultare le informazioni attinenti al trattamento per avere consapevolezza delle categorie di dati trattati, della durata del trattamento, della finalità ecc…
Resta, come sottolineato da molti garanti europei, che gli interessati non sono tenuti a motivare la richiesta di accesso ai dati. Il titolare quindi deve espletare la richiesta indipendetemente dalle motivazioni dell’interessato, fatti salvi casi in cui la richiesta non sia conforme alle disposizioni normative.
L’EDPB puntualizza che il titolare deve valutare solo:
- se la richiesta riguardi i dati personali del richiedente;
- se la richiesta rientri nell’ambito di applicazione dell’art 15. GDPR;
- se vi siano disposizioni normative specifiche che regolano l’accesso in quel dato settore;
- se la richiesta prevede l’accesso integrale ai dati o ad una parte.
Modalità di richiesta di accesso ai dati
Sul punto l’EDPB chiarisce che non vi sono requisiti specifici. Il titolare del trattamento ha l’obbligo di prevedere canali di comunicazione con gli interessati, ma gli interessati non hanno alcun obbligo di servirsene. E’ valida qualsiasi richiesta inviata a qualsiasi punto di riferimento dell’azienda o dell’ente.
I casi in cui il titolare può rifiutare l’accesso
Lasciando da parte la teoria e tornando alla pratica, l’EDPB spiega come il titolare del trattamento non abbia alcun obbligo di soddisfare istanze pervenute a indirizzi casuali o sbagliati. Può anche rifitutarsi nel caso in cui non possa individuare con certezza i dati relativi al richiedente: deve però informarlo di ciò e allora può rifiutare l’accesso. Se però l’interessato fornisce ulteriori indicazioni valide a identificare tra i tanti i propri dati personali, il titolare deve soddisfare l’istanza.
Altro motivo di rifiuto dell’accesso si ha quando il titolare ha dubbi o non può risalire alla vera identità del richiedente. In questo caso può rifiutare l’accesso finchè il richiedente non prova la propria identità.
Il testo completo delle linee guida è disponibile qui.
Cerchi piattaforme per adempiere a 360° al GDPR ed evitare sanzioni? Vedi qui!
Oppure ti serve formazione? O un consulente privacy? Abbiamo quel che cerchi!