Le linee guida dell’EDPB contengono le indicazioni e le raccomandazioni sul diritto di accesso ai propri dati personali. In questo modo gli interessati potranno essere informati in modo chiaro e trasparente sulla liceità del trattamento.
Il diritto di accesso rappresenta un fondamentale pilastro nel panorama normativo della privacy e della protezione dei dati personali. L’European Data Protection Board (EDPB), incaricato di coordinare l’azione delle autorità di protezione dei dati degli Stati membri, il 28 marzo 2023 ha emesso linee guida specifiche per fornire chiarezza sulle modalità corrette per rispondere agli interessati. Queste linee guida sono essenziali per garantire che le diverse organizzazioni gestiscano in modo appropriato le richieste di accesso, rispettando al contempo i diritti dei singoli e adempiendo agli obblighi normativi, senza dimenticare i principi di correttezza e liceità del trattamento.
Diritto di accesso e le sue implicazioni
Il diritto di accesso, sancito dall’articolo 15 del Regolamento Generale sulla Protezione dei Dati (GDPR) e dall’art. 8 della Carta dei diritti fondamentali dell’Unione europea, conferisce agli individui il diritto di ottenere la conferma che i propri dati personali siano o meno in fase di trattamento, e, in tal caso, di accedere a tali informazioni. L’accesso alle proprie informazioni personali è un diritto fondamentale che consente agli individui di mantenere il controllo sui dati che riguardano la propria persona. Questo diritto, tuttavia, comporta anche sfide per le organizzazioni che devono garantire una gestione sicura e trasparente dei dati personali. Le linee guida dell’EDPB offrono un quadro dettagliato su come rispettare questo diritto e assicurare la conformità normativa.
Il titolare dei dati dovrebbe infatti:
- sapere che è in corso un trattamento sulla propria persona;
- quali sono le finalità e le categorie dei dati trattati;
- chi sono i destinatari, specificando se vi è un trasferimento transfrontaliero o meno;
- la durata della conservazione delle informazioni;
- da quale fonte sono stati acquisiti i dati;
- essere informato sui suoi diritti (diritto alla rettifica, alla cancellazione etc.);
- essere informato su una possibile profilazione ed eventuali processi decisionali automatici.
Le linee guida dell’EDPB
Le linee guida dell’EDPB forniscono una mappa dettagliata per le organizzazioni che devono affrontare richieste di accesso. Innanzitutto, stabiliscono chiaramente che le informazioni dovrebbero essere fornite in un formato chiaro, conciso e comprensibile. Inoltre, sottolineano l’importanza di garantire che le informazioni siano accessibili e comprensibili, soprattutto quando si tratta di dati complessi o tecnici. Le organizzazioni sono inoltre incoraggiate a utilizzare strumenti e procedure che facilitino l’esercizio del diritto di accesso, come ad esempio i portali online dedicati.
Le linee guida delineano anche le tempistiche entro cui le organizzazioni devono rispondere alle richieste di accesso. Secondo il GDPR, le organizzazioni devono rispondere entro trenta giorni dalla ricezione della richiesta, prorogabile in caso di richieste particolarmente complesse. L’EDPB suggerisce che, in caso di proroga, le organizzazioni dovrebbero informare tempestivamente gli interessati e motivare la necessità di tale estensione. Questo approccio favorisce la trasparenza e la fiducia tra le parti coinvolte.
La risposta all’istanza dovrà essere fornita in forma scritta e attraverso mezzi elettronici qualora la domanda sia stata presentata in queste modalità. In genere, non sono previsti costi. Il titolare del trattamento potrà tuttavia chiedere un addebito ragionevole qualora l’istanza risulti infondata, eccessiva o dal carattere ripetitivo. La domanda inoltre non dovrà essere motivata.
In conclusione, le linee guida dell’EDPB rappresentano un prezioso strumento per le organizzazioni che devono gestire le richieste di accesso dei singoli. Adottare un approccio trasparente, garantendo la chiarezza e la tempestività nella risposta, non solo permette alle organizzazioni di rispettare gli obblighi normativi, ma contribuisce anche a instaurare un rapporto di fiducia con gli interessati. La tutela del diritto di accesso non è solo una questione legale, ma anche un elemento chiave per costruire una cultura aziendale improntata al rispetto e alla protezione della privacy dei dati personali.