Enti locali, come soddisfare le richieste degli interessati: la procedura

DPO in pillole/ Data protection e cybersecurity: come gestire i diritti che garantiscono a tutte le persone fisiche il controllo sui propri dati personali?

6 Marzo 2023
Scarica PDF Stampa
Modifica zoom
100%
di LUISA DI GIACOMO*

Abbiamo appreso che la redazione delle informative costituisce un adempimento nonché un documento di accountability fondamentale per tutti gli Enti locali, ed altresì che all’interno delle informative è obbligatorio elencare i diritti degli interessati, ossia una serie di diritti che garantiscono a tutte le persone fisiche il controllo sui propri dati personali:

  1. il diritto di essere informato (da cui le informative ex art. 12, 13 e 14 GDPR cui si è accennato sopra e in altro articolo di questa rubrica);
  2. il diritto di accesso (art. 15), cioè il diritto di accedere ai dati personali che riguardano gli interessati e di ottenerne copia, con particolare riferimento alle finalità del trattamento, le categorie di dati trattati, i destinatari a cui i dati sono stati o saranno comunicati, il periodo di conservazione previsto o i criteri utilizzati per determinarlo, l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica/cancellazione/limitazione dei dati personali che lo riguardano o di opporsi al loro trattamento, il diritto di proporre reclamo all’autorità di controllo, l’origine dei dati, se questi non sono stati raccolti direttamente presso l’interessato, l’esistenza di un processo decisionale automatizzato;
  3. il diritto di rettifica (art. 16), ossia il diritto di ottenere dal titolare del trattamento, senza ingiustificato ritardo, la rettifica dei dati personali inesatti che riguardano gli interessati. I dati possono essere aggiornati, e corretti, quelli incompleti possono essere integrati mediante una dichiarazione integrativa purché questa non sia superflua rispetto alle finalità trattamento, questo per non rischiare di violare il principio di minimizzazione dei dati.
  4. il diritto di cancellazione (art. 17) o diritto all’oblio, cioè il diritto di ottenere dal titolare del trattamento, senza ingiustificato ritardo, la cancellazione dei dati personali nel caso in cui i dati siano stati trattati illecitamente o non siano più necessari rispetto alle finalità per le quali sono stati raccolti, oppure il trattamento dei dati fosse basato solo sul consenso dell’interessato che chiede la cancellazione (caso che non riguarda nello specifico gli Enti locali, in quanto essi non trattano mai i dati sulla base del consenso), oppure questo l’interessato si oppone al trattamento in assenza di altre basi giuridiche;
  5. il diritto di limitazione del trattamento (art. 18), cioè il diritto di ottenere una restrizione del trattamento dei dati in alcune ipotesi dettagliate dalla norma;
  6. il diritto alla portabilità (art. 20), ossia il diritto per l’interessato di ottenere e riutilizzare i propri dati per scopi diversi, trasmettendoli ad un altro titolare del trattamento;
  7. il diritto di opposizione (art. 21), cioè il diritto che ha l’effetto di far cessare, in via permanente, il trattamento dei dati da parte del titolare del trattamento, fatte salve le operazioni svolte prima dell’opposizione e salvo che egli dimostri l’esistenza di motivi legittimi cogenti per procedere al trattamento che prevalgono sugli interessi, sui diritti e sulle libertà dell’interessato oppure per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

L’esercizio di questi diritti, come tutto il resto della normativa in tema di protezione dei dati, deve essere effettivo perché si possa parlare di accountability: questo significa che non è sufficiente che il Titolare li elenchi nelle proprie informative, ma deve occuparsi e preoccuparsi di metterli in pratica, renderli sostanziali, ossia saper rispondere a questa domanda: come fanno gli interessati ad esercitare uno qualsiasi dei diritti sopra elencati?

Poiché le richieste possono essere macchinose e rispondere può richiedere tempo e risorse, è bene che l’Ente, per non rischiare di “perderne” qualcuna ed incorrere quindi nelle sanzioni dell’Autorità Garante, si doti di una policy interna, utile non solo per illustrare i diritti esistenti in capo agli interessati, ma soprattutto per portare a conoscenza dei cittadini quali sono le modalità di esercizio degli stessi e per fornire un riscontro a queste richieste, in conformità al dettato dell’art. 24 del Regolamento, che impone l’adozione di misure tecniche ed organizzative adeguate ad assicurare l’osservanza del Regolamento stesso.

La procedura inizia con la richiesta dell’interessato, che forma istanza per esercitare un proprio diritto e che può arrivare al titolare del trattamento attraverso differenti canali, ad esempio tramite un modulo scaricabile dal sito internet, oppure via email ai dati di contatto presenti nell’informativa, o può essere inserita in un reclamo, o in qualsiasi altra comunicazione, a mezzo e-mail, pec o posta ordinaria.

Il Garante per la protezione dei dati personali, sul proprio sito, mette a disposizione un modello da fornire agli interessati affinché possano formulare le loro richieste in modo corretto.

La procedura consta delle seguenti fasi:

  • Ogni istanza pervenuta, con qualsiasi mezzo, deve essere inoltrata al Data Protection Officer dell’Ente e protocollata. Il titolare del trattamento deve procedere a un’analisi preliminare della richiesta e della verifica dell’identità dell’interessato. A questo scopo occorre verificare se i dati relativi alla posizione dell’interessato siano effettivamente presenti nei sistemi informativi dell’Ente. Se non lo sono, il DPO informerà l’interessato della non sussistenza dei dati, attraverso lo stesso canale utilizzato per la richiesta. Qualora invece venissero individuati, il DPO avvierà le fasi successive della procedura e provvederà a informare il richiedente dell’avvenuta presa in carico della sua richiesta (magari comunicandogli il numero di protocollo).
  • Con l’aiuto del DPO, il Titolare deve evadere la richiesta e predisporre una risposta.
    Per farlo, deve verificare le condizioni di liceità del trattamento e verificare che i periodi di conservazione dei dati siano rispettati. Segue poi la redazione vera e propria della comunicazione.
  • Deve riscontrare l’interessato, senza ingiustificato ritardo e comunque entro un mese dalla richiesta (salvo proroga) con l’invio in un formato di uso comune (o del formato scelto dall’interessato), dei dati richiesti, attraverso i canali dai quali l’istanza è pervenuta o quelli scelti dall’interessato.
  • L’ultima fase consiste nell’archiviazione della documentazione e di ogni comunicazione intercorsa con l’interessato e nell’annotazione del protocollo sull’apposito registro che raccoglie le richieste di esercizio dei diritti ricevute, anche al fine di monitorare eventuali richieste reiterate o eccedenti.

Presupposto logico per l’implementazione di questa procedura sarebbe l’individuazione a monte di una figura o di un team o di un responsabile esterno che dovrebbe gestire le richieste degli interessati coordinandosi con il DPO dell’Ente. Negli Enti di dimensioni più ridotte, sarà sufficiente che un dipendente venga debitamente istruito e formato in tal senso e provveda personalmente ad avvertire il DPO e a collaborare con lui o lei per l’evasione della richiesta.

L’eventuale responsabile esterno designato dovrà fornire al Titolare supporto e assistenza con misure tecniche e organizzative adeguate, al fine di soddisfare le richieste per l’esercizio dei diritti dell’interessato. Quest’obbligo deve essere previsto nel contratto di designazione.

In ogni caso, tutto il personale coinvolto nel trattamento dei dati personali deve essere adeguatamente formato per essere in grado di supportare il DPO o il Privacy Officer designato nella gestione e nell’evasione delle richieste degli interessati.

>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.

Cybersecurity - Luisa Di GiacomoL’AUTORE
* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.

Redazione