GDPR e esercizio dei diritti dell'interessato: dopo 5 anni di vigenza del Regolamento e molte sanzioni è possibile stilare una lista degli errori più comuni che le aziende devono evitare per evitare sanzioni.  

I Garanti sono più attivi: pioggia di sanzioni

Il GDPR entrava in vigore il 25 Maggio 2018. Dopo 5 anni di vigenza il Regolamento ha continuato a porre sfide importanti per le aziende, mentre il legislatore e le authority si sono trovati nell'obbligo di "declinare in concreto" alcune previsioni generiche del GDPR stesso. Ne sta emergendo, quindi, un piano sempre più pratico e concreto, grazie allo storico dei provvedimenti dei vari Garanti europei e all'insieme delle previsioni delle Linee Guida (anche dell'EDB).

A questa opera di concretizzazione del GDPR si è affiancata una sempre maggiore attività sanzionatoria dei Garanti. La notizia della sanzione da record di 1.2 miliardi di euro contro Facebook / Meta ancora rimbalza sui media mondiali, ma i dati parlano chiaro: 5 miliardi di sanzioni in 5 anni.

Per approfondire > Maxi sanzione per Meta: 1,2 miliardi per violazione del GDPR

D'altronde il GDPR ha introdotto un principio la cui declinazione è piuttosto chiara: l'accountability prevede non soltanto che le aziende adottino comportamenti conformi al GDPR ma che siano anche in grado di dimostrarlo. Ecco perchè, tra gli infiniti aspetti coinvolti nell'applicazione del GDPR, oggi ne vediamo in dettaglio uno che è, spesso, grande motivo di diffcoltà per le organizzazioni e causa di sanzioni.

GDPR e esercizio dei diritti dell'interessato

Iniziamo dalle basi. L'art. 12 del GDPR, comma 1, specifica:

 " Il titolare del trattamento adotta misure appropriate per fornire all'interessato tutte le informazioni di cui agli articoli 13 e 14 e le comunicazioni di cui agli articoli 15 a 22 e all'articolo 34 relative al trattamento in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro, in particolare nel caso di informazioni destinate specificamente ai minori"

Il comma 2 specifica invece così:

"Il titolare del trattamento agevola l'esercizio dei diritti dell'interessato ai sensi degli articoli 15 a 22".

Per approfondire > la pagina tematica del Garante sui diritti dell'interessato

Ne deriva che i titolari del trattamento hanno l'obbligo di: 

• fornire tutte le informazioni necessarie per far conoscere agli interessati i propri diritti e le modalità di esercizio;
• agevolare l'esercizio dei diritti che il GDPR riconosce agli interessati;
• garantire riscontro alle richieste degli interessati. 

Per saperne di più > Informativa privacy: dove, come, quando, perché

Agevolare l'esercizio dei diritti dell'interessato: gli errori da non commettere

La teoria è piuttosto chiara. Le organizzazioni devono spiegare i diritti agli interessati e le modalità per il loro esercizio, approntare un canale comunicativo per raccogliere le richieste, dare celere riscontro. 

Non dare riscontro alle richiese di esercizio dei diritti
Ne consegue che il più grande errore che un'azienda possa commettere è quello di non prendere in considerazione le richiese di un interessato. Magari, banalmente, perchè l'email di contatto dichiarata a tale scopo nell'informativa non viene controllata. Ma c'è anche un problema concreto: può capitare che l'interessato richieda l'esercizio dei propri diritti in forme poco chiare o intellegibili. In questo caso può capitare che non sia di immediata comprensione la richiesta e, di conseguenza, l'istanza di esercizio dall'utente. La persona incaricata di verificare le richieste, deve essere in grado di comprendere la richiesta dell'interessato (anche a costo di ulteriori spiegazioni) anche se questa non è espressa chiaramente. Il mancato riscontro alle richieste infatti, oltre, a violare il GDPR può spingere l'interessato a presentare reclamo al Garante.

Negare l'esercizio del diritto senza poter dimostrare la legittimità del diniego
Il titolare del trattamento può negare l'esercizio dei diritti di un interessato in pochi e limitati casi specifici. Qualora un titolare decida di negare ad un interessato l'esercizio dei diritti, deve tenere in considerazione anche il fatto che dovrà dimostrare la legittimità di questo diniego. L'interessato potrebbe ad esempio ricorrere al Garante che chiederà al titolare, in rispetto del principio di accountability, di legittimare il diniego.

Questo è un punto importante perché, in questi 5 anni, le sanzioni comminate per ostacolo all'esercizio dei diritti degli interessati hanno raggiunto un numero elevato. Tra i casi più sanzionati: 

• troppa burocrazia;
• difficoltà / impossibilità di individuare l'interessato;
• modalità complesse e poco fruibili per presentare richieste di esercizio dei diritti.

Eccedere i tempi previsti dal GDPR
L'altro problema che si è spesso posto e che è stato motivo di sanzioni è il ritardo nel processare una istanza di esercizio dei diritt, eccedendo i tempi previsti dalla normativa. Qui i motivi sono infiniti ma i più comuni sono: 

• la richiesta rimane "bloccata" nell'account email di contatto e la persona incaricata di dare riscontro alle richieste degli interessatio riceve con estremo ritardo l'istanza;
• l'organizzazione non mette in condizione la persona incaricata di dare riscontro perchè non fornisce le informazioni necessarie. Caso classico quello di non riuscire a sapere dall'azienda se i dati dell'interessato sono davvero presenti nei database aziendali. Molto spesso questa difficoltà origina da una organizzazione aziendale non conforme al GDPR, nella quale l'organizzazione ha poca consapevolezza dei dati che gestisce e non è in grado di individuare le informazioni necessarie per processare l'istanza;
• l'organizzazione non riesce a identificare l'interessato. 

Per evitare sanzioni… 

1. Rispondere celermente alla richieste...
   Implementare e mantenere attivi i canali tramite i quali gli interessati possono presentare le istanze. Se a questo affianchiamo misure tecniche e non solo che rendano celere e sicura l'identificazione dell'interessato sarà possibile non solo ridurre la richiesta di ulteriori dati (documenti di identità), ma si potrà procedere più celermente nell'espletamento dell'istanza. E' fondamentale una prima risposta, a stretto giro, con la conferma della presa in carico dell'istanza.
2. Verificare di ricevere e analizzare tutte le istanze
   Un'azienda potrebbe non rendersi conto del fatto che non sta processando tutte le richieste di esercizio dei diritti ricevute. Questo è tipico di quelle situazioni in cui i punti di contatto offerti agli interessati sono molteplici. Mappare i punti di contatto, ridurli e razionalizzarli sarà molto utile.
3. Riconoscere le istanze di esercizio dei diritti
   L'azienda dovrà accertarsi che i soggetti incaricati di verificare i vari canali tramite i quali gli interessati possono presentare richieste di esercizio dei diritti - siano formati e in grado di riconoscere un'istanza valida di esercizio dei diritti anche se formulata in modo poco formale; - sappiano individuare il soggetto corretto a cui inoltrare l'istanza ovvero colui che dovrà fornire il riscontro all'interessato.
4. Implementare una procedura ad hoc
   così da ridurre al minimo, se non azzerare, i casi per i quali si "procede a tentativi".
5. Istituire un registro delle istanze di esercizio dei diritti
   consentirà di tenere traccia di tutte le istanze ricevute. Data di ricezione e data di evasione consentiranno di monitorare costantemente i riscontri forniti agli interessati.