Il Regolamento Generale sulla Protezione dei Dati (GDPR) è entrato in vigore il 25 maggio 2018 e ha completamente rivisto il modo in cui le aziende elaborano e gestiscono i dati. Le organizzazioni hanno dovuto adattarsi rapidamente per assicurarsi di essere conformi alla nuova legislazione e di non incorrere nelle ingenti multe che hanno dominato i titoli dei giornali negli ultimi mesi.

Quello che molte organizzazioni non avevano previsto è l’ondata di persone che esercitano i loro diritti in base alla nuova normativa presentando richieste di accesso ai dati personali. Il GDPR ha rafforzato i diritti esistenti per gli individui e li ha messi in condizione di scoprire come vengono utilizzati i loro dati personali.  

La Richiesta di Accesso Soggetto (SAR) è il diritto di accesso che consente a un individuo di richiedere quali informazioni un’organizzazione detiene su di lui, perché le detiene e con chi sono condivise. Dall’entrata in vigore del GDPR, il L‘ICO ha rilevato un “aumento senza precedenti della domanda” di segnalazioni. Questo, a sua volta, ha messo a dura prova i servizi pubblici e le organizzazioni che sono obbligate a rispondere entro un determinato periodo di tempo.

Si ritiene che il drammatico aumento delle segnalazioni sia stato determinato da un aumento delle violazioni dei dati e da una generale sfiducia del pubblico nei confronti del modo in cui le organizzazioni utilizzano i loro dati.

Una parte importante della conformità al GDPR è capire come gestire efficacemente una segnalazione. Il mancato rispetto delle scadenze o la mancata fornitura ai singoli di tutte le informazioni necessarie potrebbero esporre la tua organizzazione a provvedimenti normativi e a multe salate.

Come gestire le richieste di accesso ai soggetti

1. Riconoscere la richiesta di accesso ai soggetti

Il GDPR non stabilisce termini specifici su come un individuo possa fare una richiesta di informazioni valida, quindi può essere fatta verbalmente, per iscritto o anche sui social media. Non è nemmeno necessario che la richiesta contenga l’espressione “richiesta di accesso ai dati personali”, purché l’individuo chiarisca che sta richiedendo i suoi dati personali. Le organizzazioni devono assicurarsi che il personale specifico sia addestrato a identificare una SAR e che siano in vigore i protocolli corretti per registrare le richieste.

2. Conoscere i propri obblighi

Un individuo ha diritto solo ai propri dati personali e non alle informazioni relative ad altre persone. Pertanto, devi stabilire se le informazioni richieste rientrano nella definizione di dati personali.

L’Unione Europea definisce “dati personali” tutte le informazioni che possono essere utilizzate per identificare direttamente o indirettamente un individuo (soggetto interessato). Questo può includere qualsiasi cosa, dal nome, all’indirizzo e-mail, all’indirizzo IP e alle immagini. Sono inclusi anche i dati personali sensibili come i dati biometrici o i dati genetici che potrebbero essere elaborati per identificare un individuo.

A meno che l’individuo non abbia specificato esattamente le informazioni di cui ha bisogno, dovrai cercare tutte le informazioni disponibili che sono rilevanti per la persona. Oltre a una copia dei dati personali, dovrai fornire alle persone le seguenti informazioni:

  • Lo scopo del trattamento
  • I tipi di dati personali interessati
  • Informazioni sulla fonte dei dati
  • Con chi sono stati condivisi i dati
  • Per quanto tempo i dati saranno conservati
  • L’esistenza del diritto di richiedere la rettifica, la cancellazione o la limitazione del trattamento o di opporsi a tale trattamento.
  • Il diritto di presentare un reclamo all’ICO o ad un’altra autorità di controllo.
  • L’esistenza di un processo decisionale automatizzato, compresa la profilazione
  • Le garanzie che fornisci se trasferisci i dati personali in un paese al di fuori dell’UE o a un’organizzazione internazionale.

3. Verifica l’identità dell’individuo

Prima di rispondere a una segnalazione, dovrai assicurarti che la persona che richiede i suoi dati personali sia la persona che dice di essere. Per verificare la sua identità, puoi richiedere un documento d’identità con fotografia o una bolletta. Se la persona che effettua la richiesta è un dipendente della tua organizzazione, non avrai bisogno di ulteriori prove di identificazione.

La comunicazione può essere effettuata anche tramite una terza persona, come un avvocato o un familiare stretto. In questi casi, dovrai confermare che la terza parte è stata incaricata di agire per conto dell’individuo.

4. Rispondere entro i tempi previsti

Ai sensi del GDPR, le organizzazioni sono tenute a rispondere “senza indebito ritardo” ed entro un mese dalla ricezione della richiesta. Se l’identità dell’individuo deve essere confermata, il termine di risposta decorre dal momento in cui l’individuo fornisce le informazioni richieste.

Se la richiesta è complessa o se hai ricevuto più richieste dallo stesso individuo, il tempo per rispondere può essere esteso di altri due mesi. In questo caso, dovrai comunicare all’interessato i motivi per cui è necessaria la proroga.

5. Esenzioni alle richieste di accesso ai soggetti

Non devi divulgare i dati personali di una persona se ciò potrebbe ledere i diritti di altre persone. Le eccezioni sono rappresentate dal caso in cui l’altra persona abbia dato il proprio consenso alla divulgazione, oppure se è ragionevole soddisfare la richiesta senza il consenso della persona.

Il GDPR e il Data Protection Act 2018 stabiliscono anche alcune esenzioni che si applicano in determinate circostanze. Ad esempio, nel caso in cui la divulgazione pregiudichi funzioni normative definite o per comunicazioni soggette a privilegio professionale legale.

6. Tariffe e richieste eccessive

Secondo la vecchia legge, le organizzazioni potevano chiedere fino a 10 sterline per effettuare una SAR, ma il GDPR ha eliminato questa barriera e le informazioni devono ora essere fornite gratuitamente. Tuttavia, l’ICO ha dichiarato che se ricevi una richiesta di accesso che è “manifestamente infondata o eccessiva”, puoi addebitare una tariffa ragionevole per far fronte ai costi amministrativi.

7. Divulgare in modo sicuro le informazioni

Se un individuo fa una richiesta per via elettronica, devi rispondere fornendo le informazioni in formato elettronico, a meno che l’individuo non specifichi diversamente. Le informazioni devono essere divulgate nel modo più sicuro possibile.

8. Conservare un registro della richiesta di accesso ai soggetti

Dovresti conservare una chiara traccia di controllo della SAR nel caso in cui venga presentato un reclamo all’ICO in un secondo momento. Dovrebbe includere le informazioni raccolte, il processo di revisione, le decisioni chiave prese, l’eventuale applicazione di esenzioni, la risposta fornita e la corrispondenza intercorsa con l’individuo o con terze parti.

MetaPrivacy è stato progettato per fornire un approccio ottimale alla conformità dei dati personali. Contattaci per avere maggiori informazioni su come possiamo aiutare la tua organizzazione a migliorare la sua struttura di conformità.

DISCLAIMER: Il contenuto e le opinioni contenute in questo blog hanno uno scopo puramente informativo. Non intendono costituire una consulenza legale o professionale di altro tipo e non devono essere considerati come sostitutivi di una consulenza specifica relativa a circostanze particolari, al Data Protection Act o a qualsiasi altra legislazione attuale o futura. MetaCompliance non si assume alcuna responsabilità per eventuali errori, omissioni o dichiarazioni fuorvianti, né per eventuali perdite derivanti dall’aver fatto affidamento sui materiali contenuti in questo blog.