Guidelines 01/2022 on data subject rights – Right of access, in pubblica consultazione fino all'11 marzo 2022

https://edpb.europa.eu/our-work-tools/documents/public-consultations/2022/guidelines-012022-data-subject-rights-right_en

L’approfondimento di giovedì scorso ha riguardato le Linee Guida dell’European Data Protection Board n. 1/2022 sui diritti dell’interessato – Diritto di Accesso.

È stato un Coffee privacy particolarmente aderente a quello che è il suo spirito, cioè permettere a tutto il Team di restare aggiornato anche nei periodi più convulsi a livello di impegni lavorativi.

Il Diritto di Accesso ai dati personali, come delineato dall’European Data Protection Board, è uno degli  strumenti essenziale per poter  esercitare  altri diritti previsti dal GDPR.

Il lavoro dell’EDPB non poteva che essere ‘corposo’, vista l’importanza del topic.

Sessanta pagine che, in modo estremamente ben stratificato e ricco di esemplificazioni, vanno ad approfondire i capisaldi del Diritto di Accesso, quindi:

• la ‘mission’ del diritto di accesso: fornire all’Interessato informazioni trasparenti ed accessibili rispetto ai processi di trattamento in corso sui suoi dati personali da parte di un Titolare;
• le modalità organizzative che incombono sul Titolare affinché sia certo che l’istanza venga raccolta e processata secondo i tempi previsti dal GDPR. Su questo punto il Board si è soffermato moltissimo, delineando con fermezza la necessità che il Titolare predisponga procedure adeguate  in modo che ogni istanza venga adeguatamente valutata; e ciò anche in considerazione del fatto che l'interessato non è tenuto a utilizzare i canali specifici predisposti dal Titolare del trattamento per la gestione delle istanze, ben potendo inviare la richiesta a un punto di contatto ufficiale del Titolare.  Le ultime sanzioni delle Autorità di Controllo europee e - anche recentemente - del nostro Garante per la Protezione dei dati Personali, stigmatizzano pesantemente proprio tali  carenze;
• i limiti e le modalità di identificazione di chi esercita il Diritto di accesso. Anche su questo punto si è molto apprezzato l’apporto delle Linee Guida, che suggeriscono, in pieno ’spirito GDPR’ di individuare di volta in volta le informazioni supplementari che è possibile richiedere, rintracciando le misure meno invasive per ottenere il risultato, così da evitare una raccolta eccessiva di dati;
• le tipologie di dati e le informazioni oggetto del Diritto di accesso;
• le modalità pratiche di accesso potenzialmente configurabili, anche in ragione dei singoli sistemi informatici e strumenti di archiviazione non informatici in uso presso il Titolare;
• i requisiti che deve rispettare la comunicazione del Titolare con l’interessato, in particolare rispetto ai profili di trasparenza e chiarezza, così da consentire all’interessato di comprendere in maniera adeguata le informazioni fornite;
• i tempi di risposta all’interessato – pari a un mese estendibile a due in considerazione della complessità e del numero delle richieste;
• i limiti all’esercizio del diritto di accesso, in quanto ad es. in grado di pregiudicare i diritti e le libertà di terzi (ex art. 15, par. 4), ovvero in quanto manifestamente infondate o eccessive (ex art. 12 par. 5) o in quanto oggetto di restrizione ai sensi dell’art. 23 del GDPR.

A queste utilissime Linee Guida è poi allegata una Flowchart (Annex), che rappresenta graficamente gli elementi da tenere in considerazione rispetto alla gestione del Diritto di accesso.

Dal confronto è emersa l’importanza di valutare l’esercizio del Diritto di accesso secondo un approccio case by case che tenga conto delle specifiche caratteristiche del trattamento svolto, e la centralità del principio di proporzionalità rispetto agli sforzi che il Titolare del trattamento deve porre in essere per soddisfare la richiesta dell'interessato.

Importante e chiaro anche il messaggio più ampio che emerge dal lavoro dell’EDPB:

chi tratta dati personali, nel valutare se e attraverso quali modalità rispondere ad una istanza di accesso, deve avere un approccio particolarmente improntato ai principi di correttezza e buona fede.

Attendiamo quindi le eventuali modifiche che saranno apportate all’esito della pubblica consultazione.