In primo piano

GDPR: la gestione delle richieste dei cittadini per evitare sanzioni

di LUISA DI GIACOMO*

Tra le varie informazioni che l’art. 13 del GDPR impone all’Ente di dare ai suoi cittadini, interessati al trattamento dei dati, c’è quella dei loro diritti garantiti dal Regolamento e delle modalità per esercitarli.  Come noto, il capo III del GDPR elenca una serie di diritti per l’interessato, tra i quali ricordiamo il diritto di accesso, di rettifica, di cancellazione dei dati, di limitazione del trattamento, di portabilità dei dati, di opposizione e di proporre un reclamo all’Autorità Garante.

Tuttavia, affinché un diritto sia effettivo, occorre poterne garantire l’esercizio; pertanto, è onere preciso dell’Ente agevolarne e renderne concreto e applicabile il libero esercizio, senza frapporre ostacoli di varia natura, tra cui quelli burocratici. In tema di esercizio dei diritti spesso gli Enti locali tendono a glissare e perdersi nei meandri delle problematiche portate dall’accountability, per cui si arriva al paradosso per cui dopo che si sono scritti nell’informativa, si pensa di aver compiuto diligentemente il proprio dovere.

Questo è un errore che può costare caro, in termini di sanzioni, primo perché il Garante è molto attento alla salvaguardia dei diritti e delle libertà fondamentali dei cittadini e secondo perché i cittadini stessi potrebbero anche non sapere nulla di privacy e di GDPR, ma senz’altro sono spesso molto attenti anche loro per quanto riguarda i propri diritti.

Vediamo insieme quali sono gli errori più comuni commessi dagli Enti locali in tema di esercizio dei diritti e come evitare loro e le sanzioni che ne conseguono.

Cominciamo con il riassumere quali sono gli oneri cui è tenuto l’Ente titolare del trattamento:

  1. Fornire agli interessati l’informativa in linguaggio semplice e chiaro, accessibile e comprensibile da tutti, in cui sono compresi i diritti di cui essi (interessati) godono;
  2. Spiegare come detti diritti possono essere esercitati;
  3. Agevolare nella pratica l’esercizio di tali diritti;
  4. Fornire agli interessati che ne facciano richiesta un riscontro preciso e puntuale alle loro istanze.

Poiché, almeno in linea teorica, anche solo un errore (cioè riguardante un solo interessato) può significare sanzione, vediamo insieme i più comuni.

1. La richiesta non viene presa in considerazione

Essere ignorati non è mai piacevole, essere ignorati dal proprio Comune di appartenenza è seccante e pericoloso. Se sull’informativa c’è scritto di indirizzare le richieste sui diritti a un certo indirizzo e-mail e quell’indirizzo non è presidiato, nessuno lo legge e non si sa nemmeno a chi sia stato assegnato, sarà ben difficile che le richieste approdino ad una risposta.

A volte succede però che l’account sia regolarmente presidiato, ma chi ha il compito di leggere ed evadere la richiesta non la “riconosce” come un esercizio di diritti GDPR, perché non ha ricevuto alcuna formazione in merito (in punto formazione potremmo aprire un gran capitolo a parte, ma lo approfondiremo nei prossimi articoli) oppure perché l’interessato stesso si esprime in modo sibillino e non è in effetti sempre chiaro che cosa voglia chiederci.

Qualunque sia il motivo, se la richiesta si arena già in fase di ricezione, partiamo subito molto male. I rimedi possono essere da un lato sottoporre tutto il personale ad adeguata formazione sul regolamento europeo per la protezione dei dati, oppure nello specifico sulla tematica relativa ai diritti degli interessati e dall’altro, proprio per evitare richieste astruse e poco chiare, anziché lasciare alla libera iniziativa degli interessati la possibilità di scrivere ciò che si vuole, predisporre dei form guidati che limitino le scelte (quindi con meno campi liberi in modo da incanalare il cittadino verso il percorso corretto).

2. La richiesta non viene processata nei tempi previsti dal GDPR

Se la persona che monitora l’e-mail privacy, regolarmente o saltuariamente, non inoltra all’ufficio giusto la richiesta, se il DPO non viene avvertito, se l’ente non fornisce al referente privacy le informazioni necessarie per processare la richiesta, se il referente privacy proprio non esiste, se c’è inerzia insomma da parte dell’ente, è possibile che la risposta arrivi all’interessato oltre i tempi previsti dal GDPR. Ed anche in questo caso si è passibili di sanzione.

Il regolamento prevede un termine di un mese per processare la richiesta, che si può estendere fino a tre per i casi maggiormente complicati, ma in ogni caso una risposta, anche interlocutoria, va inviata entro i primi 30 giorni. Qualsiasi risposta arrivi successivamente è considerata tardiva e, pertanto, sanzionabile (a meno che non ci sia un giustificato motivo per il ritardo, che non può evidentemente essere “non abbiamo letto l’e-mail” …)

3. Difficoltà di identificare l’interessato

Negli enti di maggiori dimensioni, ma anche in quelli più piccoli, una richiesta che arriva da Luca Rossi o Maria Bianchi può essere difficile da incanalare nella giusta direzione, perché non è sempre immediato capire di quale Luca o Maria si tratta.

Ci sono casi di omonimia e anche se gli enti locali sono tendenzialmente in grado di reperire tutte le informazioni relative ai propri cittadini, spesso è necessario chiedere a chi presenta le richieste di specificare meglio la propria identità, soprattutto se le e-mail arrivano da indirizzi fantasiosi. In questo caso, chiedere l’invio di un documento di identità potrebbe creare ancora più problemi, perché andrebbe ad aggravare la mole di dati trattati, oltre al fatto che spedire i documenti via e-mail non è mai un’idea ad alto tasso di sicurezza e pertanto un Ente che si voglia dichiarare accountable dovrebbe evitare di farlo.

4. Il Titolare risponde negativamente senza motivare

Ogni richiesta deve ottenere risposta, ma non è detto che ogni risposta debba essere positiva. Alcune volte può capitare che la richiesta non sia legittima e pertanto vada respinta. Ma un conto è analizzare, comprendere, valutare, respingere e motivare, un contro è dire no e basta perché non si hanno il tempo, la voglia o le capacità per motivare un diniego. Questa ultima eventualità è sanzionabile ed è stata sanzionata in passato. Lo abbiamo già detto e ripetuto, ma a volte giova abbondare: il Garante non ci sanziona perché abbiamo sbagliato qualcosa, ci sanziona perché non siamo in grado di motivare il motivo per cui abbiamo fatto quella scelta o non ci siamo posti il problema di un determinato caso. Farsi qualche domanda in più non vuol dire cadere nell’eccesso di burocrazia, ma adottare un atteggiamento positivo e consapevole.

Per concludere. Come evitare le sanzioni: accountability, privacy by design e procedure

Gestire in compliance le richieste dei cittadini non è una missione impossibile. Per farlo è sufficiente rifarsi ai soliti e solidi principi del GDPR dell’accountability e della data protection (o privacy) by design, di cui tanto abbiamo parlato in questa rubrica. L’Autorità Garante per la protezione dei dati personali ha fornito linee guida in accordo con quelle del garante europeo, che si basano sostanzialmente sui principi della correttezza, della buona fede e, soprattutto, della facilità di esercizio dei diritti.

Istituire un canale dedicato o predisporre un modulo guidato che i cittadini possano usare, individuare misure che, di default, facilitino la corretta identificazione degli interessati (senza chiedere documento), fornire una prima risposta anche solo interlocutoria al cittadino, che gli confermi della presa in carico della richiesta ed evasione nei tempi corretti sono tutte misure di facile implementazione che possono evitare all’ente molti dispiaceri. Fondamentale, ed anche questo lo ripetiamo spesso, è non lasciare le cose al caso, all’improvvisazione o alla libera iniziativa del dipendente incaricato. Il titolare deve predisporre una procedura, monitorarla, testarla, adattarla agli eventuali cambiamenti interni dell’ente, spiegarla ai dipendenti, e seguirla scrupolosamente. Solo così si potrà essere ragionevolmente certi di non perdere le richieste per strada, nei meandri delle molteplici attività quotidiane degli enti, di tenere la situazione sotto controllo, di aver posto in essere le misure organizzative e tecniche adeguate a garantire un corretto trattamento dei dati (accountability) e soprattutto di evitare le sanzioni che il mancato controllo su questo delicato aspetto comporta.

>> L’ARCHIVIO INTEGRALE DELLA RUBRICA DELL’AVV. LUISA DI GIACOMO.

DPO in pillole: privacy e cybersecurity

* Luisa Di Giacomo è avvocato da oltre quindici anni, dal 2012 è consulente privacy presso diverse aziende nel nord Italia e dal 2018 ricopre l’incarico di DPO presso diverse Pubbliche Amministrazioni (Comuni, Enti di ricerca, Enti socio assistenziali) e società private. Dal 2022 fa parte del pool di consulenti esperti in Data Protection Law istituito presso l’European Data Protection Board.
Formata nell’ambito del diritto civile e commerciale, negli ultimi dieci anni si è dedicata in via esclusiva al diritto di internet, delle nuove tecnologie, della protezione dei dati personali e della cybersecurity.
Ha svolto periodi di studio e di lavoro all’estero, è docente e formatore per Maggioli spa, responsabile della sezione cybersecurity del portale diritto.it, redattrice per la Gazzetta degli Enti Locali.
Parla inglese e francese a livello madrelingua, ed ha una discreta conoscenza dello spagnolo e del portoghese.
Ama scrivere narrativa e dedicarsi all’attività di formazione in aula e online, già autrice per La Gazzetta degli Enti Locali della rubrica I martedì della cybersecurity.
Le piace definirsi Cyberavvocato.

© RIPRODUZIONE RISERVATA

Ti potrebbe interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Ho letto l'informativa privacy e presto il consenso al trattamento dei dati personali.

© Gruppo Maggioli Tutti i diritti riservati. Maggioli Spa - P.IVA 02066400405
Privacy policy - Cookie policy