Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Caro interessato, ora te la faccio pagare…la richiesta

Stefano Gazzella : 7 Agosto 2022 09:00

  

AutoreStefano Gazzella

Nel momento in cui un interessato rivolge una richiesta per esercitare i propri diritti garantiti dal GDPR al titolare del trattamento, quest’ultimo ha generalmente un mese di tempo per fornire un riscontro ed eventualmente può indicare un termine maggiore per poter provvedere (comunque non superiore ad ulteriori due mesi).

Altrimenti, nel caso in cui vi sia un ingiustificato ritardo o una condotta che non agevola ma anzi ostacola l’esercizio dei diritti è possibile incorrere in provvedimenti sanzionatori come la recente sanzione del Garante Privacy in seguito ad un reclamo presentato da un interessato per il mancato riscontro di una richiesta di accesso.

L’EDPB ha fornito dei chiarimenti operativi all’interno delle Guidelines 01/2022 on data subject rights – Right of access, precisando così le responsabilità del titolare in tale ambito. Nelle ipotesi in cui le richieste sono “manifestamente infondate o eccessive” il titolare del trattamento ha la facoltà di opporre un rifiuto o altrimenti richiedere un contributo spese per provvedere (art. 12.5 GDPR).

Ovviamente, ciò è possibile a condizione che sia in grado di fornire una dimostrazione a riguardo tramite evidenze, dovendo indicare per l’infondatezza una carenza degli elementi essenziali che consentono di poter dare seguito alla richiesta mentre per l’eccessività una condotta dell’interessato abusiva rispetto alle tutele cui provvedono i diritti oggetto di richiesta.

È bene considerare che le alternative rappresentate non sono equivalenti e l’EDPB ha indicato l’esigenza che vengano riferite a circostanze concrete e rispondano al parametro di adeguatezza. Ad esempio, nel caso di una richiesta infondata la richiesta di contributo è una risposta generalmente inadeguata.

Nell’ipotesi di rifiuto, è sufficiente che entro un mese (o al più il maggior termine previsto comunque non superiore ad altri due mesi) il titolare comunichi tale decisione corredata di una sintetica esposizione delle motivazioni, e l’indicazione del diritto di proporre reclamo all’autorità di controllo e della possibilità di ottenere una tutela in via giurisdizionale.

Nell’ipotesi in cui invece intenda formulare una richiesta di addebito di un contributo spese, il titolare deve indicare tale intenzione prima di proseguire al soddisfacimento della richiesta dell’interessato sempre nei termini definiti dall’art. 12.4 GDPR (un mese, prorogabile di ulteriori due). Inoltre, occorre porre una particolare attenzione al rispetto dei criteri indicati dalla norma e in relazione ai quali – in ragione di accountability – il titolare dovrà sempre essere in grado di rendicontare la decisione assunta anche per la determinazione del quantum richiesto.

Il contributo deve infatti essere “ragionevole” nonché riferibile ai “costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta”. In sostanza deve consistere in una comprovata compensazione per quello sforzo ulteriore che viene richiesto al titolare in conseguenza al carattere eccessivo della richiesta formulata. In caso contrario, il rischio è che la richiesta venga connotata da un carattere punitivo e dunque si ponga in contrasto con l’obbligo di agevolare l’esercizio dei diritti dell’interessato previsto dall’art. 12.2 GDPR.

Stefano Gazzella
Privacy Officer e Data Protection Officer, specializzato in advisoring legale per la compliance dei processi in ambito ICT Law. Formatore e trainer per la data protection e la gestione della sicurezza delle informazioni nelle organizzazioni, pone attenzione alle tematiche relative all’ingegneria sociale. Giornalista pubblicista, fa divulgazione su temi collegati a diritti di quarta generazione, nuove tecnologie e sicurezza delle informazioni.