Non basta rispondere all’interessato che i suoi dati personali vengono utilizzati in conformità alla normativa sulla privacy
Con il provvedimento n. 318 del 18 luglio 2023, l’Autorità Garante per la protezione dei dati personali ha ribadito che il contenuto della risposta all’esercizio del diritto di accesso da parte dell’interessato deve essere tempestivo, completo e specifico, escludendo che possa ritenersi sufficiente il fare ricorso a formule generiche o alla presunzione che taluni dati personali siano già in possesso dello stesso.
Nel caso oggetto di reclamo, l’interessato aveva avanzato una richiesta di accesso e contestuale cancellazione dei propri dati personali raccolti e trattati nell’ambito di un pregresso rapporto di lavoro. Il riscontro fornito dal titolare, oltre che tardivo rispetto al termine di un mese, si era limitato a rassicurare esclusivamente circa il fatto che la società «ha utilizzato e utilizzerà i suoi dati personali solo in conformità alla normativa di legge».
Solo successivamente all’invito rivolto da parte del Garante Privacy aveva informato circa l’aver provveduto alla cancellazione dei dati, e che «i dati asseritamente non comunicati all’Interessato erano noti e nella disponibilità dello stesso in quanto dati necessariamente trattati per la gestione del rapporto di lavoro. L’interessato era informato di detta circostanza e aveva prestato il necessario consenso al trattamento».
All’esito dell’istruttoria, il Garante ha contestato la violazione degli artt. 12, 15 e 17 GDPR in ragione dell’inidoneo riscontro alle istanze di accesso e di cancellazione, comminando di conseguenza una sanzione pecuniaria dell’importo di 15 mila euro. Gli elementi di maggiore rilievo che emergono dal provvedimento consentono infatti di valutare l’idoneità della risposta che deve essere fornita agli interessati a fronte dell’esercizio dei propri diritti.
Per valutare la tempestività del riscontro, assume rilevanza il contenuto dell’istanza e il suo carattere inequivocabile circa l’esercizio di un diritto e la possibilità in concreto per il titolare di poter perimetrare l’oggetto della richiesta formulata. In ogni caso, è bene ricordare che il termine di un mese è comunque perentorio per richiedere ulteriori precisazioni o altrimenti informare circa l’impossibilità di provvedere a riguardo e che una mancata o tardiva risposta comporta già di per sé una violazione dell’art. 12 GDPR.
Il contenuto il riscontro deve invece consistere in una risposta specifica e completa a fronte delle richieste avanzate. Nel caso del diritto di accesso, la sua portata in assenza di particolari indicazioni deve essere intesa come estesa ad ogni dato personale che riguarda l’interessato, a prescindere dalla base giuridica o dalla possibilità che l’interessato già ne abbia o meno contezza o disponibilità. Lo scopo del diritto di accesso è infatti quello di consentire all’interessato di avere contezza dei trattamenti in corso e verificarne la liceità, anche al fine di esercitare ulteriori diritti quale, come in questo caso, quello di cancellazione.
Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che la riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità. (Considerando n. 63 GDPR)
La stessa attenzione circa la specificità e completezza del contenuto del riscontro deve riguardare anche la risposta alla richiesta di cancellazione, la quale non solo deve confermarne o meno l’esito, ma anche precisare quali dati personali debbano essere conservati, per quanto tempo e in forza a quale obbligo di legge cui è soggetto il titolare.
Gli elementi così emersi sono degli spunti utili per integrare una procedura di gestione dedicata alle richieste di esercizio dei diritti da parte degli interessati, nonché per formare o sensibilizzare i soggetti che intervengono in detta procedura. Inoltre, sono dei criteri di controllo che il Data Protection Officer, ove presente, applicherà per rilasciare un parere circa l’idoneità o meno della risposta che il titolare si propone di fornire all’interessato.