Il regolamento generale sulla protezione dei dati (GDPR) è entrato in vigore il 25 maggio 2018 e ha completamente rivisto il modo in cui le aziende elaborano e gestiscono i dati. Le organizzazioni hanno dovuto adattarsi rapidamente per assicurarsi di essere conformi alla nuova legislazione e non essere responsabili delle grandi multe che hanno dominato i titoli dei giornali negli ultimi mesi.
Quello che molte organizzazioni non avevano previsto era l'assalto degli individui che esercitano i loro diritti ai sensi della nuova legislazione, presentando richieste di accesso al soggetto. Il GDPR ha rafforzato i diritti esistenti per gli individui e li ha autorizzati a scoprire come vengono utilizzati i loro dati personali.
Una Subject Access Request (SAR) è il diritto di accesso che consente a un individuo di richiedere quali informazioni un'organizzazione detiene su di lui, perché sta tenendo queste informazioni e con chi sono condivise. Dall'implementazione del GDPR, l'ICO ha notato un "aumento senza precedenti della domanda" di SAR. Questo, a sua volta, ha posto un'enorme tensione sui servizi pubblici e sulle organizzazioni che sono obbligate a rispondere entro un determinato periodo di tempo.
Si pensa che il drammatico aumento delle segnalazioni sia stato spinto da un aumento delle violazioni dei dati e da una generale sfiducia del pubblico su come le organizzazioni utilizzano i loro dati.
Una parte importante della conformità al GDPR è capire come gestire efficacemente una segnalazione. Non riuscire a rispettare la scadenza o fornire agli individui tutte le informazioni di cui hanno bisogno potrebbe esporre la vostra organizzazione a un'azione normativa e a multe salate.
Come trattare le richieste di accesso al soggetto
1. Riconoscere la richiesta di accesso del soggetto
Il GDPR non stabilisce termini specifici su come un individuo può fare una valida richiesta di informazioni, quindi può essere fatta verbalmente, per iscritto o anche sui social media. La richiesta non ha nemmeno bisogno di includere la frase "richiesta di accesso soggetto", purché l'individuo chiarisca che sta richiedendo le sue informazioni personali. Le organizzazioni dovrebbero garantire che il personale specifico sia addestrato a identificare una SAR e che siano in vigore i protocolli corretti per la registrazione delle richieste.
2. Conoscere i propri obblighi
Un individuo ha diritto solo ai propri dati personali e non alle informazioni relative ad altre persone. Pertanto, è necessario stabilire se le informazioni richieste rientrano nella definizione di dati personali.
L'UE definisce i "dati personali" come qualsiasi informazione che può essere utilizzata per identificare direttamente o indirettamente un individuo (soggetto dei dati). Questo può includere tutto, da un nome, un indirizzo e-mail, un indirizzo IP e immagini. Include anche i dati personali sensibili come i dati biometrici o i dati genetici che potrebbero essere trattati per identificare un individuo.
A meno che l'individuo non abbia specificato le informazioni esatte di cui ha bisogno, dovrete cercare tutte le informazioni disponibili che sono rilevanti per la persona. Oltre a una copia dei loro dati personali, dovete anche fornire agli individui le seguenti informazioni:
- Lo scopo del suo trattamento
- I tipi di dati personali interessati
- Informazioni sulla fonte dei dati
- Con chi sono stati condivisi i dati
- Per quanto tempo i dati saranno conservati
- L'esistenza del loro diritto di chiedere la rettifica, la cancellazione o la limitazione o di opporsi a tale trattamento
- Il loro diritto di presentare un reclamo all'ICO o ad altre autorità di controllo
- L'esistenza di un processo decisionale automatizzato, compresa la profilazione
- Le garanzie che fornite se trasferite i dati personali in un paese al di fuori dell'UE o a un'organizzazione internazionale.
3. Verificare l'identità dell'individuo
Prima di rispondere a una segnalazione, dovrete assicurarvi che la persona che richiede i dati personali sia chi dice di essere. Per verificarne l'identità, potete richiedere un documento d'identità fotografico o una bolletta. Se la persona che fa la richiesta è un dipendente della vostra organizzazione, non avrete bisogno di ulteriori prove di identificazione.
Una comunicazione di sospetto può anche essere effettuata tramite una terza parte, come un avvocato o un familiare stretto. In questi casi, avrete bisogno della conferma che la terza parte è stata incaricata di agire per conto della persona in questione.
4. Rispondere entro il tempo stabilito
Secondo il GDPR, le organizzazioni sono tenute a rispondere "senza indebito ritardo" ed entro un mese dal ricevimento della richiesta. Se l'identità dell'individuo deve essere confermata, il termine di risposta parte da quando forniscono le informazioni richieste.
Se la richiesta è complessa o hai ricevuto più richieste dallo stesso individuo, il tempo per rispondere può essere esteso di altri due mesi. In questo caso, devi notificare all'individuo il motivo per cui l'estensione è necessaria.
5. Esenzioni alle richieste di accesso soggetto
Non dovreste divulgare i dati personali di un individuo se ciò potrebbe pregiudicare i diritti di altri individui. Le eccezioni a questo sono quando l'altro individuo ha dato il suo consenso alla divulgazione, o se è ragionevole soddisfare la richiesta senza il consenso dell'individuo.
Il GDPR e il Data Protection Act 2018 stabiliscono anche alcune esenzioni che si applicano in determinate circostanze. Ad esempio, dove la divulgazione pregiudicherebbe funzioni normative definite o per comunicazioni che sono soggette al privilegio professionale legale.
6. Tasse e richieste eccessive
Sotto la vecchia legge, le organizzazioni potevano addebitare fino a 10 sterline per effettuare un SAR, ma il GDPR ha rimosso questa barriera e le informazioni devono ora essere fornite gratuitamente. Tuttavia, l'ICO ha dichiarato che se si riceve una richiesta di accesso soggetto che è "manifestamente infondata o eccessiva", è possibile addebitare una tassa ragionevole per affrontare i costi amministrativi.
7. Divulgare in modo sicuro le informazioni
Se un individuo fa una richiesta per via elettronica, si dovrebbe rispondere fornendo le informazioni in formato elettronico, a meno che l'individuo non specifichi diversamente. Le informazioni dovrebbero essere divulgate nel modo più sicuro possibile.
8. Tenere un registro della richiesta di accesso del soggetto
Dovreste mantenere una chiara traccia di controllo del SAR nel caso in cui un reclamo venga presentato all'ICO in una data successiva. Questo dovrebbe includere le informazioni che sono state raccolte, il processo di revisione, le decisioni chiave prese, se sono state applicate esenzioni, la risposta fornita, così come la corrispondenza fatta con l'individuo o terze parti.
MetaPrivacy è stato progettato per fornire l'approccio migliore alla conformità alla privacy dei dati. Contattateci per ulteriori informazioni su come possiamo aiutare la vostra organizzazione a migliorare la sua struttura di conformità.
DISCLAIMER: Il contenuto e le opinioni di questo blog sono solo a scopo informativo. Non sono intesi a costituire una consulenza legale o professionale e non devono essere considerati o trattati come un sostituto di consigli specifici relativi a circostanze particolari, il Data Protection Act, o qualsiasi altra legislazione attuale o futura. MetaCompliance non accetta alcuna responsabilità per eventuali errori, omissioni o dichiarazioni fuorvianti, o per qualsiasi perdita che possa derivare dall'affidamento sui materiali contenuti in questo blog.