Caro interessato, ora te la faccio pagare…la richiesta

Autore: Stefano Gazzella

Nel momento in cui un interessato rivolge una richiesta per esercitare i propri diritti garantiti dal GDPR al titolare del trattamento, quest’ultimo ha generalmente un mese di tempo per fornire un riscontro ed eventualmente può indicare un termine maggiore per poter provvedere (comunque non superiore ad ulteriori due mesi).

Altrimenti, nel caso in cui vi sia un ingiustificato ritardo o una condotta che non agevola ma anzi ostacola l’esercizio dei diritti è possibile incorrere in provvedimenti sanzionatori come la recente sanzione del Garante Privacy in seguito ad un reclamo presentato da un interessato per il mancato riscontro di una richiesta di accesso.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

L’EDPB ha fornito dei chiarimenti operativi all’interno delle Guidelines 01/2022 on data subject rights – Right of access, precisando così le responsabilità del titolare in tale ambito. Nelle ipotesi in cui le richieste sono “manifestamente infondate o eccessive” il titolare del trattamento ha la facoltà di opporre un rifiuto o altrimenti richiedere un contributo spese per provvedere (art. 12.5 GDPR).

Ovviamente, ciò è possibile a condizione che sia in grado di fornire una dimostrazione a riguardo tramite evidenze, dovendo indicare per l’infondatezza una carenza degli elementi essenziali che consentono di poter dare seguito alla richiesta mentre per l’eccessività una condotta dell’interessato abusiva rispetto alle tutele cui provvedono i diritti oggetto di richiesta.

È bene considerare che le alternative rappresentate non sono equivalenti e l’EDPB ha indicato l’esigenza che vengano riferite a circostanze concrete e rispondano al parametro di adeguatezza. Ad esempio, nel caso di una richiesta infondata la richiesta di contributo è una risposta generalmente inadeguata.

Nell’ipotesi di rifiuto, è sufficiente che entro un mese (o al più il maggior termine previsto comunque non superiore ad altri due mesi) il titolare comunichi tale decisione corredata di una sintetica esposizione delle motivazioni, e l’indicazione del diritto di proporre reclamo all’autorità di controllo e della possibilità di ottenere una tutela in via giurisdizionale.

Nell’ipotesi in cui invece intenda formulare una richiesta di addebito di un contributo spese, il titolare deve indicare tale intenzione prima di proseguire al soddisfacimento della richiesta dell’interessato sempre nei termini definiti dall’art. 12.4 GDPR (un mese, prorogabile di ulteriori due). Inoltre, occorre porre una particolare attenzione al rispetto dei criteri indicati dalla norma e in relazione ai quali – in ragione di accountability – il titolare dovrà sempre essere in grado di rendicontare la decisione assunta anche per la determinazione del quantum richiesto.

Il contributo deve infatti essere “ragionevole” nonché riferibile ai “costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta”. In sostanza deve consistere in una comprovata compensazione per quello sforzo ulteriore che viene richiesto al titolare in conseguenza al carattere eccessivo della richiesta formulata. In caso contrario, il rischio è che la richiesta venga connotata da un carattere punitivo e dunque si ponga in contrasto con l’obbligo di agevolare l’esercizio dei diritti dell’interessato previsto dall’art. 12.2 GDPR.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Stefano Gazzella

Privacy Officer e Data Protection Officer, è Of Counsel per Area Legale. Si occupa di protezione dei dati personali e, per la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Responsabile del comitato scientifico di Assoinfluencer, coordina le attività di ricerca, pubblicazione e divulgazione. Giornalista pubblicista, scrive su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.

Aree di competenza: Privacy, GDPR, Data Protection Officer, Legal tech, Diritti, Meme

Visita il sito web dell'autore