Cos'è il diritto d'accesso ai dati personali, chi lo può esercitare e come.
In questo articolo, dopo aver spiegato cosa sono i dati personali, scopriamo cos'è il diritto d'accesso e come lo possiamo esercitare per tutelare i nostri dati personali e come anche la tua azienda deve comportarsi.
In questo articolo, dopo aver spiegato cosa sono i dati personali, scopriamo cos'è il diritto d'accesso e come lo possiamo esercitare per tutelare i nostri dati personali e come anche la tua azienda deve comportarsi.
1. COSA SONO I DATI PERSONALI
Per dati personali si intendo le informazioni che identificano o rendono identificabile, direttamente o indirettamente, una persona fisica e che possono fornire informazioni sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, ecc…
Particolarmente importanti sono:
- i dati che permettono l’identificazione diretta – come i dati anagrafici (ad esempio: nome e cognome), le immagini, ecc. – e i dati che permettono l’identificazione indiretta, come un numero di identificazione (ad esempio, il codice fiscale, l’indirizzo IP, il numero di targa);
- i dati rientranti in particolari categorie: si tratta dei dati c.d. “sensibili”, cioè quelli che rivelano l’origine razziale od etnica, le convinzioni religiose, filosofiche, le opinioni politiche, l’appartenenza sindacale, relativi alla salute o alla vita sessuale. Il Regolamento (UE) 2016/679 (articolo 9) ha incluso nella nozione anche i dati genetici, i dati biometrici e quelli relativi all’orientamento sessuale;
- i dati relativi a condanne penali e reati: si tratta dei dati c.d. “giudiziari”, cioè quelli che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato. Il Regolamento (UE) 2016/679 (articolo 10) ricomprende in tale nozione i dati relativi alle condanne penali e ai reati o a connesse misure di sicurezza.
2. CHI È IL TITOLARE DEI DATI
Le parti in gioco sono: l’Interessato, il Titolare e il Responsabile.
Interessato è la persona fisica alla quale si riferiscono i dati personali. Quindi, se un trattamento riguarda, ad esempio, l’indirizzo, il codice fiscale, ecc. di Mario Rossi, questa persona è l”interessato” (articolo 4, paragrafo 1, punto 1), del Regolamento UE 2016/679).
Titolare è la persona fisica, l’autorità pubblica, l’impresa, l’ente pubblico o privato, l’associazione, ecc., che adotta le decisioni sugli scopi e sulle modalità del trattamento (articolo 4, paragrafo 1, punto 7), del Regolamento UE 2016/679).
Responsabile è la persona fisica o giuridica alla quale il titolare richiede di eseguire per suo conto specifici e definiti compiti di gestione e controllo per suo conto del trattamento dei dati (articolo 4, paragrafo 1, punto 8), del Regolamento UE 2016/679). Il Regolamento medesimo ha introdotto la possibilità che un responsabile possa, a sua volta e secondo determinate condizioni, designare un altro soggetto c.d. “sub-responsabile” (articolo 28, paragrafo 2).
3. COS’È IL DIRITTO D’ACCESSO AI DATI PERSONALI
Tra i vari diritti che il GDPR attribuisce all’interessato troviamo il diritto di accesso ai dati di cui all’art. 15.
In un’ottica di trasparenza del trattamento dei dati, l’interessato ha il diritto di ottenere dal titolare la conferma che sia in corso o meno un trattamento di dati personali che lo riguardano e l’accesso a determinate informazioni, ha il diritto di prendere visione o estrarre copia, dei vari tipi di documenti a lui riferibili.
Da parte sua, il titolare ha il dovere di fornire tutto ciò in tempi e modi ben precisi.
Questo diritto non è una novità introdotta dal Reg. UE 679/2016 (GDPR), era già previsto nel Codice Privacy, ma a differenza dello stesso, il legislatore europeo ha introdotto nuove informazioni che possono essere richieste:
- i destinatari o le categorie di destinatari (organizzazioni internazionali o paesi terzi) a cui sono o saranno comunicati i dati e le relative garanzie;
- il periodo di conservazione;
- l’esistenza di un processo decisionale automatizzato, compresa la profilazione;
- la logica utilizzata e le conseguenze di tale trattamento per l’interessato.
A differenza del Codice Privacy previgente, non rientra tra le informazioni conoscibili da parte dell’interessato quella sulle “modalità” del trattamento.
Tutte queste novità mirano a conferire all’interessato un maggior controllo sul trattamento dei propri dati: l’interessato assume così un ruolo di rilievo che gli permette di poter controllare attivamente come vengono trattati i propri dati.
4. CHI E COME SI PUÒ ESERCITARE IL DIRITTO D’ACCESSO AI DATI PERSONALI
Per quanto riguarda il “chi e il come” si può esercitare il diritto d’accesso ai dati personali, il titolare deve agevolare l’esercizio dei diritti dell’interessato e deve rispondere senza giustificato ritardo entro un mese dal ricevimento della richiesta.
Se necessario, nel caso di numerose richieste o informazioni complesse, tale termine può essere sì prorogato per altri 2 mesi, ma di tale proroga il titolare deve darne notizia all’interessato entro un mese dalla richiesta.
È opportuno che il titolare predisponga una procedura aziendale per gestire le richieste, una procedura che sia nota al personale e che affronti tutte le varie problematiche che possono sorgere dal momento in cui il titolare verifica l’identità del richiedente fino alla risposta.
Sarebbe opportuno, anche, predisporre un registro sul quale annotare le richieste di accesso, la data di ricezione, i dettagli della richiesta e la data di invio della risposta.
Ricordiamo che nella logica del GDPR e del principio dell’accountability il titolare non solo deve adottare e predisporre tutte le misure adeguate per la protezione dei dati, ma deve essere altresì in grado di dimostrare il suo operato; quindi, deve essere in grado di dimostrare di aver ottemperato alle richieste ricevute nei modi e tempi previsti in modo da potersi tutelare in caso di eventuali contestazioni.
La prima attività che incombe sul titolare è quella di verificare l’identità del richiedente in particolare, nel contesto di servizi online e identificativi online.
Nei casi in cui sia possibile, il titolare del trattamento dovrebbe poter fornire l’accesso remoto ad un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati personali.
Una volta ricevuta la richiesta e verificata l’identità, il titolare deve provvedere a fornire un adeguato riscontro, nei tempi sopra indicati: di norma, è preferibile che la risposta sia fornita in forma scritta anche per avere la prova che il riscontro è avvenuto.
Se richiesto dall’interessato, le informazioni possono comunque essere fornite oralmente, sempre che il titolare abbia prova dell’identità del richiedente.
Si deve tenere presente che la richiesta di accesso ai dati deve essere riscontrata dal titolare anche nelle ipotesi in cui i dati, in tutto o in parte, siano stati già comunicati all’interessato o siano comunque dallo stesso detenuti.
Ciò al fine di consentire all’interessato di poter controllare i dati medesimi e di chiederne, se del caso, l’aggiornamento, l’integrazione o la correzione.
Proprio al fine di avere sempre il controllo dei dati trattati, è permesso all’interessato di esercitare il diritto di accesso più volte.
Il riscontro che il titolare deve fornire alla richiesta di accesso deve essere completo, non deve essere limitato alla sola elencazione delle tipologie dei dati detenuti.
Il titolare deve comunicare in modo intellegibile tutte le informazioni in suo possesso e anche in che forma sono trattati e conservati i dati.
La comunicazione deve essere leggibile.
Nel caso di una cartella clinica, ad esempio, qualora non sia comprensibile a causa della grafia con cui è stata redatta, l’interessato ha il diritto di ottenere dall’Azienda Ospedaliera una trascrizione dattiloscritta o, comunque, comprensibile delle informazioni contenute (si veda provvedimento Garante Privacy del 30 settembre 2002).
La copia dei dati che il titolare deve fornire all’interessato è gratuita: qualora siano richieste ulteriori copie, può essere previsto un addebito a titolo di contributo spese che sia ragionevolmente basato sui costi amministrativi.
Se invece le richieste sono palesemente infondate o eccessivamente ripetitive il titolare oltre a decidere di addebitare un contributo spese può anche decidere di non soddisfare la richiesta.
Infine, non bisogna dimenticare che il diritto di accesso non deve ledere i diritti e le libertà altrui, una regola che vale in generale tutti i diritti riconosciuti dal Regolamento in capo all’interessato.
Come probabilmente avrai notato leggendo l’articolo, essere in regola riguardo il rispetto delle normative rivolte a consentire l’accesso ai dati è indispensabile ma non semplice.
Se vuoi consentire alla tua azienda di operare nel pieno rispetto della legge, contattaci subito scrivendoci all’indirizzo info@abinnovationconsulting.com, oppure compilando il modulo che trovi di seguito.
