Il GDPR riconosce all’interessato una serie di diritti contenuti nel Capo III del Regolamento il cui esercizio deve essere agevolato dal titolare del trattamento. Per rispondere alle richieste dell’interessato nel pieno rispetto del GDPR è necessario che il titolare del trattamento adotti alcuni accorgimenti.
Questi sono 5 consigli per gestire al meglio le richieste.
1. Avere conoscenza dei diritti esercitabili dall’interessato
3. Creare specifiche linee guida
1. Avere conoscenza dei diritti esercitabili dall’interessato
Per poter gestire correttamente le richieste dell’interessato, il titolare del trattamento deve prima di tutto conoscere quali sono i diritti che possono essere esercitati dall’interessato.
Secondo il GDPR, l’interessato ha il diritto di ottenere dal titolare del trattamento:
➤ L’accesso ai dati personali che lo riguardano (art. 15);
➤ La rettifica dei dati personali inesatti (art. 16);
➤ La cancellazione dei dati personali (diritto all’oblio – art. 17);
➤ La limitazione del trattamento dei propri dati personali (art. 18);
➤ I propri dati personali per trasmetterli ad altro titolare del trattamento (art. 20);
➤ Opporsi al trattamento dei propri dati personali (art. 21);
➤ Non essere sottoposto ad una decisione basata unicamente su trattamento automatizzato (art. 22).
Un’elencazione di questi diritti dovrà poi essere contenuta anche nell’informativa privacy (privacy policy).
Da ultimo, è importante avere conoscenza delle eventuali eccezioni applicabili ai diritti esercitabili dall’interessato. Tipico esempio è rappresentato dall’esercizio del diritto all’oblio ai sensi dell’articolo 17 GDPR. Il titolare del trattamento potrà opporsi alla cancellazione qualora vi sia un obbligo legale alla conservazione delle informazioni. In questo caso il diritto all’oblio non è assoluto.
Questo è solo uno dei tanti casi che possono presentarsi nella quotidianità. È buona norma avere bene a mente l’estensione dei diritti dell’interessato e cosa può, o non può fare il titolare del trattamento.
2. Preparazione del personale
La preparazione del personale a cui è demandata la responsabilità di rispondere alle richieste dell’interessato rappresenta forse il più importante dei punti qui indicati. Questo non solo perché si potrà meglio eseguire le richieste dell’interessato, ma anche per evitare possibili violazioni dei dati personali (cosiddetto data breach). Avere delle policy interne conformi al GDPR o sistemi informatici volti a garantire la sicurezza dei dati potrebbe infatti essere vanificato dalla impreparazione del personale.
Un esempio in questo senso è rappresentato dalla condivisione dei dati personali dell’interessato effettuata dal dipendente che non ha correttamente accertato l’identità dell’interessato. Questo può condurre anche a richieste di risarcimento danni molto onerose.
Altro esempio può essere quello di non riconoscere quando l’interessato esercita un diritto garantito dal GDPR e la richiesta viene semplicemente cestinata.
Sarà pertanto necessario:
➤ demandare il compito di rispondere alle richieste degli interessati al solo personale che ha svolto il training;
➤ limitare la possibilità degli altri dipendenti di rispondere, ed accertarsi che ogni richiesta venga inoltrata ai soggetti responsabili.
3. Creare specifiche linee guida
La creazione di linee guida costituisce una pratica importante non solamente per facilitare la gestione delle richieste, ma per assicurare la conformità nel tempo alle disposizioni del GDPR.
Le linee guida devono prendere in considerazione tutto quello che deve avvenire dalla ricezione della richiesta, fino alla chiusura della pratica. Alcuni esempi possono riguardare i passi da compiere per identificare l’interessato, con quali modalità deve essere data risposta alle richieste ed entro quali tempi.
È necessario che i soggetti responsabili siano a conoscenza delle linee guida e che queste vengano sempre rispettate.
4. Curare la comunicazione
Il GDPR specifica i requisiti che dovranno avere le comunicazioni con gli interessati. Le disposizioni che riguardano le comunicazioni con gli interessati si applicano sia alle informazioni fornite nell’informativa sulla privacy, che a quelle legate all’esercizio dei diritti riconosciuti agli articoli da 15 a 22.
L’articolo 12, comma 1, del GDPR dispone infatti che le informazioni di cui agli articoli 13 e 14 (quelle dell’informativa privacy) e le comunicazioni di cui agli articoli da 15 a 22 e all’articolo 34 devono essere rese in forma:
➤ concisa;
➤ trasparente;
➤ intelligibile;
➤ facilmente accessibile.
La norma specifica poi che il linguaggio usato nelle comunicazioni dovrà essere semplice e chiaro, soprattutto se queste informazioni sono destinate ai minori, anche in considerazione della particolare tutela di cui godono.
Per quanto riguarda il mezzo con cui le informazioni devono essere fornite, l’articolo 12 dispone che queste devono, di norma, avvenire per iscritto o con mezzi elettronici. Le informazioni possono anche essere rese oralmente (ad es. per telefono) se fosse l’interessato stesso a chiederlo. In quest’ultimo caso però si dovranno adottare i necessari accorgimenti per accertare l’identità del richiedente.
È buona prassi avere dei formulari predisposti a questo scopo così da essere sicuri della conformità delle comunicazioni alle disposizioni del GDPR.
5. Facilitare l’esercizio dei diritti
Sempre l’articolo 12 (il comma 2) chiede al titolare del trattamento di agevolare l’esercizio dei diritti riconosciuti all’interessato agli articoli 15 – 22 del GDPR.
Se il trattamento dei dati personali avviene mediante modalità elettroniche, il GDPR (al considerando 59) impone che vengano predisposte delle modalità per inoltrare le richieste per via elettronica.
Violerebbe la norma il titolare del trattamento che chiedesse l’invio di una raccomandata per l’esercizio dei diritti, tutte quelle volte che il trattamento avviene tramite sito web. Il titolare del trattamento può implementare strumenti che permettono all’interessato di accedere al sistema in autonomia per l’esercizio dei diritti. In alternativa, il titolare del trattamento potrebbe indicare l’e-mail a cui scrivere per l’esercizio dei diritti.
Conclusioni
Questi sono solamente alcuni degli accorgimenti che il titolare del trattamento può immediatamente adottare per porsi in linea con gli obblighi imposti dal GDPR.
Ogni titolare del trattamento deve però avere a mente la realtà in cui opera e adottare misure che rispondono alle proprie esigenze specifiche. Per garantire la propria conformità alla normativa privacy sarà necessario svolgere un privacy audit che identifichi le criticità a cui porre rimedio.
