L’esercizio dei diritti in materia di protezione dei dati personali tra formalismo e sostanza
La possibilità di esercitare i propri diritti è sempre stato un nodo centrale per il corretto svolgimento della vita sociale. L’impossibilità o la difficoltà di accedere a quello che l’ordinamento ci assicura come una nostra prerogativa, è invero causa di profonda frustrazione. La materia del trattamento dei dati personali non fa ovviamente eccezione e ce ne rendiamo conto ogni volta che un contact center illegale ci telefona e non riusciamo ad ottenere nulla dall’operatore con cui parliamo, né a rintracciare la fonte della telefonata. Ma, come diceva qualcuno, il telemarketing è solo la puntura di spillo in un campo sterminato di situazioni in cui l’orecchio di chi dovrebbe ascoltare la nostra istanza è lontano e spesso difficile da raggiungere.
(Nella foto: Sergio Aracu, membro Gruppo di Lavoro Federprivacy per l’agevolazione dell’esercizio dei diritti dell’interessato)
Le Linee Guida 01/2022 sui diritti degli interessati – diritto di accesso dello EDPB, ancora in consultazione, hanno chiarito che i titolari devono agevolare l’esercizio dei diritti degli interessati – o di coloro che, a ciò legittimati, agiscano per far valere i diritti di cui agli artt. da 15 a 22 del GDPR – al di là di qualsiasi formalismo. E che, di conseguenza, sia onere di chi tratti dati individuare i punti di contatto che l’interessato potrebbe considerare come ‘opportuni e comodi’ per esplicitare la propria richiesta.
Gli esempi fatti dal Board aiutano a riportare il focus di chi deve elaborare una procedura di esercizio dei diritti sul core dell’intero GDPR: la persona.
Ancora una volta, un approccio premuroso e analitico ai processi di trattamento si rivela essenziale per presidiare ogni possibile punto di accesso con autorizzati debitamente formati a:
a) riconoscere un’istanza di esercizio dei diritti degli interessati a prescindere dalla forma con cui venga esplicitata.
Non siamo tutti avvocati. Non tutti sappiamo esprimerci in modo forbito o chiaro. Il GDPR in primis non prevede alcun vincolo di forma per l’esercizio dei diritti da parte degli interessati. È dunque utilissimo predisporre moduli ad hoc, che siano però a portata di mano per l’interessato, intuitivi e di facile compilazione.
b) trasmettere correttamente l’istanza nella struttura affinché si possa dare riscontro nei tempi previsti.
Non sempre possiamo addossare all’interessato l’onere di incardinare lui stesso l’istanza. Ad esempio, non tutti hanno accesso ad un pc o ad una Pec.
Se decidiamo di tenere attivi e pubblicizzati account e-mail - come ad esempio il classico [email protected] - dovremo presidiarli e gestire le istanze che ivi venissero inviate, quale che sia la forma con cui le stesse siano formulate.
È sempre necessario effettuare tutti i dovuti approfondimenti per evitare di incorrere in un data breach, concedendo ad esempio l’accesso ai dati a persone che si spaccino per l’interessato, e talvolta ci troveremo a dover richiedere all’istante di specificare meglio la sua richiesta.
Ma l’approccio deve essere sempre improntato alla correttezza ed alla buona fede.
Il formalismo fine a sé stesso viene stigmatizzato persino ove applicato, con più o meno evidente eccesso di zelo, per accertare l’identità dell’istante. Le ultime sanzioni sul tema (ad esempio quella dell’Autorità spagnola di cui all’articolo a firma di Nicola Bernardi) hanno, prima di tutto, censurato e sanzionato l’approccio formale e farraginoso con cui i titolari hanno complicato l’esercizio dei diritti degli interessati.