EntiOnLine
Categorie
indietro
19/03/2020 Federprivacy: La gestione delle richieste d'accesso ai dati durante il periodo d'emergenza Covid-19.

Fonte: Federprivacy

Le richieste di accesso ai dati possono essere messe in lista d’attesa. È uno degli effetti della situazione emergenziale dovuta al contagio Covid-19. Anche se per arrivare a questo risultato interpretativo la strada è, come al solito, tortuosa. Si prenda il caso, purtroppo, comune di una organizzazione in cui i dipendenti sono in cassa integrazione per un lungo periodo o istituti simili. Per quanto la tecnologia di appoggio allo smart working dovrebbe sopperire, non è detto che gli archivi siano facilmente ed integralmente raggiungibili.

Un altro intoppo potrebbe derivare dal fatto che le richieste potrebbero arrivare a mezzo di posta cartacea e che non tutti i servizi aziendali sono presidiati con continuità o con la stessa continuità.

Il problema che si pone, dunque, è come trattare queste richieste considerato che, nella pratica, potrebbe porsi il problema del superamento dei termini previsti, a pena di sanzioni amministrative, dal regolamento Ue 2016/679 (Gdpr).

Il quesito non riguarda solo le richieste di accesso ai dati, ma tutte le richieste di esercizio dei diritti previsti dagli articoli da 15 a 22 del Gdpr.

Partiamo, quindi, proprio dal Gdpr, che disciplina espressamente all’articolo 12, paragrafo 3, i tempi della risposta alle richieste di esercizio dei diritti.

In dettaglio e in via preliminare si nota che la regola generale è che il titolare del trattamento deve fornire all'interessato le informazioni relative all'azione intrapresa riguardo a una richiesta di esercizio dei diritti senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa.

Questo termine non è assoluto e perentorio, perché lo stesso articolo 12 prosegue prescrivendo che esso può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. In questo caso il titolare del trattamento deve informare l'interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. (Si veda il modello di risposta nell'area download "Differimento risposta interessato per cause di forza maggiore)

La clausola utilizzata per poter differire il tempo della richiesta fa riferimento a due situazioni:

1) complessità delle richieste
2) numero delle richieste.

Il problema, sollevato nella prassi, concerne la possibilità di invocare la situazione emergenziale per rinviare la risposta, profilo al quale, almeno in apparenza, non si attagliano in maniera diretta le due ipotesi riportate.

Certamente non si attaglia il numero delle richieste, elemento ostativo, che ovviamente può essere invocato a prescindere dalla ricorrenza di una situazione emergenziale.

Invece, con riferimento alla “complessità delle richieste” l’estraneità è meramente apparente. O, detto altrimenti, è questa la fattispecie in grado di dare copertura giuridica al differimento della risposta alla richiesta di accesso ai dati o di esercizio di altri diritti, quale conseguenza del quadro di emergenza sanitaria nazionale.

La complessità della richiesta, infatti, deve essere intesa non solo avendo riguardo al numero dei dati o al volume di attività da compiere per evadere la richiesta.

La “complessità” può, infatti, derivare anche da una situazione oggettiva, non strumentale e non ostruzionistica, che dipenda, non dalla caratteristica intrinseca della richiesta, ma dalla compatibile situazione di difficoltà, che rende complicato anche operazioni semplici, come la consultazione di archivi.

Attenzione, peraltro, al fatto che rimane a carico del titolare del trattamento la dimostrazione dei presupposti del differimento della risposta.

Ci si sofferma su questo aspetto perché la ragione della complessità non può essere presunta o automatica, ma sempre da valutarsi in concreto con riferimento alla situazione della singola organizzazione.

In questo senso il titolare del trattamento deve informare l'interessato del differimento, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. A questo riguardo oltre al riferimento alla situazione emergenziale si dovrà aggiungere, sinteticamente, ragioni organizzative che descrivono la complessità della situazione, quali la cassa integrazione o altre ragioni organizzative.

Si deve anche ricordare che il Gdpr accorda un rinvio di due mesi, ragione per la quale, comunque, l’incombenza non può essere posposta sine die.

In materia si deve aggiungere che l’articolo 12 Gdpr, paragrafo 5, se le richieste dell'interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, autorizza il titolare del trattamento a rifiutare di soddisfare la richiesta.

Incombe al titolare del trattamento l'onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta. Beninteso, il carattere eccessivo o l’infondatezza non esime dalla risposta,

che sarà un diniego motivato, da formularsi espressamente e mai tacito.

Quanto detto vale, in generale, per i titolari di trattamento privati.In proposito, infatti, non bisogna dimenticare che, ai sensi dell’articolo 23 Gdpr, l’esercizio dei diritti può essere limitato per ragioni prevalenti di sicurezza nazione o di sicurezza pubblica. In questo ambito siamo di fronte alla “messa tra parentesi” dei diritti ad opera di autorità investite istituzionalmente di compiti di interesse della collettività nel suo insieme.

All Privacy Entionline - Servizio online, in cloud e con tecnologia ICT, GDPR e DPO

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Parole chiave
Banca dati