Stefano Gazzella : 7 Agosto 2022 09:00
Autore: Stefano Gazzella
Nel momento in cui un interessato rivolge una richiesta per esercitare i propri diritti garantiti dal GDPR al titolare del trattamento, quest’ultimo ha generalmente un mese di tempo per fornire un riscontro ed eventualmente può indicare un termine maggiore per poter provvedere (comunque non superiore ad ulteriori due mesi).
Altrimenti, nel caso in cui vi sia un ingiustificato ritardo o una condotta che non agevola ma anzi ostacola l’esercizio dei diritti è possibile incorrere in provvedimenti sanzionatori come la recente sanzione del Garante Privacy in seguito ad un reclamo presentato da un interessato per il mancato riscontro di una richiesta di accesso.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
L’EDPB ha fornito dei chiarimenti operativi all’interno delle Guidelines 01/2022 on data subject rights – Right of access, precisando così le responsabilità del titolare in tale ambito. Nelle ipotesi in cui le richieste sono “manifestamente infondate o eccessive” il titolare del trattamento ha la facoltà di opporre un rifiuto o altrimenti richiedere un contributo spese per provvedere (art. 12.5 GDPR).
Ovviamente, ciò è possibile a condizione che sia in grado di fornire una dimostrazione a riguardo tramite evidenze, dovendo indicare per l’infondatezza una carenza degli elementi essenziali che consentono di poter dare seguito alla richiesta mentre per l’eccessività una condotta dell’interessato abusiva rispetto alle tutele cui provvedono i diritti oggetto di richiesta.
È bene considerare che le alternative rappresentate non sono equivalenti e l’EDPB ha indicato l’esigenza che vengano riferite a circostanze concrete e rispondano al parametro di adeguatezza. Ad esempio, nel caso di una richiesta infondata la richiesta di contributo è una risposta generalmente inadeguata.
Nell’ipotesi di rifiuto, è sufficiente che entro un mese (o al più il maggior termine previsto comunque non superiore ad altri due mesi) il titolare comunichi tale decisione corredata di una sintetica esposizione delle motivazioni, e l’indicazione del diritto di proporre reclamo all’autorità di controllo e della possibilità di ottenere una tutela in via giurisdizionale.
Nell’ipotesi in cui invece intenda formulare una richiesta di addebito di un contributo spese, il titolare deve indicare tale intenzione prima di proseguire al soddisfacimento della richiesta dell’interessato sempre nei termini definiti dall’art. 12.4 GDPR (un mese, prorogabile di ulteriori due). Inoltre, occorre porre una particolare attenzione al rispetto dei criteri indicati dalla norma e in relazione ai quali – in ragione di accountability – il titolare dovrà sempre essere in grado di rendicontare la decisione assunta anche per la determinazione del quantum richiesto.
Il contributo deve infatti essere “ragionevole” nonché riferibile ai “costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta”. In sostanza deve consistere in una comprovata compensazione per quello sforzo ulteriore che viene richiesto al titolare in conseguenza al carattere eccessivo della richiesta formulata. In caso contrario, il rischio è che la richiesta venga connotata da un carattere punitivo e dunque si ponga in contrasto con l’obbligo di agevolare l’esercizio dei diritti dell’interessato previsto dall’art. 12.2 GDPR.
Stefano GazzellaGli sviluppatori del ransomware Qilin (da noi intervistati recentemente) hanno offerto ai loro partner l’aiuto e la consulenza di un team di avvocati, in modo da poter fare pressione sulle vitt...
Dopo il caso dei 568 endpoint di un’azienda italiana del settore macchinari industriali, un altro accesso compromesso relativo a una società italiana di ingegneria del software &...
Il ritorno di Donald Trump alla Casa Bianca è diventato un doloroso promemoria per l’Europa della sua principale vulnerabilità digitale: il “kill switch” di fatto contro...
Oggi, 23 giugno 2025, esce “Byte The Silence”, il nuovo fumetto sul cyberbullismo realizzato da Red Hot Cyber, è disponibile da oggi gratuitamente in formato elettronico, sulla nost...
Il 17 giugno 2025 un attacco informatico ha paralizzato Bank Sepah, una delle principali istituzioni finanziarie dell’Iran. L’attacco è stato rivendicato dal gruppo Predatory ...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
