Il diritto di accesso ai dati personali: fra sfide e criticità. Ecco le 10 raccomandazioni del Garante

Lo scorso 20 gennaio, il Comitato europeo per la protezione dei dati (EDPB) ha pubblicato la relazione contenente l’esito del “Coordinated Enforcement Framework” (CEF) 2024, “sull'attuazione del diritto di accesso da parte dei titolari del trattamento”. Il report elenca le principali criticità rilevate dalle 30 Autorità di controllo partecipanti, insieme ad alcune raccomandazioni utili. Abbiamo individuato 10 punti essenziali da considerare ed i relativi suggerimenti forniti dalla nostra Autorità Garante.

Il CEF 2024: panoramica delle azioni intraprese

Nel corso del 2024, nell’ambito del c.d. “Coordinated Enforcement Framework” (ne abbiamo già parlato in passato, qui), 30 autorità di protezione dei dati a livello europeo hanno avviato indagini coordinate al fine di verificare la conformità dei titolari del trattamento agli obblighi previsti in materia di diritto di accesso, ai sensi dell’articolo 15 del Regolamento (UE) 2016/679 (GDPR).

Le attività di enforcement hanno incluso l’apertura di procedimenti formali, la valutazione della sussistenza di presupposti per l'avvio di indagini ufficiali e lo svolgimento di accertamenti volti a verificare l’effettiva applicazione dei diritti degli interessati. L’azione ha coinvolto un totale di 1.185 titolari del trattamento, tra cui piccole e medie imprese (PMI), grandi imprese operanti in diversi settori e vari enti pubblici.

Il CEF 2024 si inserisce nel contesto delle iniziative dell’EDPB volte a garantire un’applicazione armonizzata del GDPR su scala europea, per rafforzare la tutela dei diritti fondamentali degli interessati e assicurare un livello elevato di protezione dei dati personali all'interno dell'Unione. Il vicepresidente dell'EDPB Zdravko Vukíc ha affermato: "Il CEF è un'iniziativa preziosa che aiuta a rafforzare la cooperazione tra le autorità di protezione dei dati (DPA)”. “Il modo in cui i titolari implementano il diritto di accesso è al centro della protezione dei dati ed è uno dei diritti degli interessati esercitati più frequentemente".

Qualche dato

Dei 13.893 titolari del trattamento contattati dalle Autorità di controllo partecipanti al CEF, solo 1.185 hanno risposto. Questo campione di soggetti considerati, tuttavia, rappresenta comunque un insieme eterogeneo e ben distribuito di settori.

Titolari del trattamento - settori coinvolti

Richieste di accesso ricevute dai titolari

I dati raccolti, relativi alle richieste di accesso ricevute e gestite dai titolari del trattamento, sembrano essere sottostimati: il 28% degli intervistati dichiara di non aver mai ricevuto una richiesta di accesso ai dati personali. Il valore rilevato non sembra essere veritiero, soprattutto considerando il numero di soggetti interessati coinvolti dalle attività di trattamento effettuate dai titolari (un bacino che, nel 14% dei casi, è compreso fra le 100.000 ed il milione di persone). Secondo le Autorità di controllo, ciò dipende dal fatto che molti titolari non dispongono di un sistema centralizzato per gestire le richieste ricevute e non sono quindi in grado di tenerne traccia, oppure non sono in grado di distinguere una istanza di accesso ai dati personali da qualsiasi altro tipo di richiesta.

Aree di miglioramento individuate dall’EDPB

I risultati suggeriscono, infatti, che è necessaria una maggiore sensibilizzazione dei titolari del trattamento rispetto a diversi aspetti del diritto di accesso. Per ciascuna sfida individuata, il report fornisce una serie di raccomandazioni di cui i titolari del trattamento devono tenere conto.

Sfide rilevate

Principali contromisure / azioni da intraprendere

Scarsa sensibilizzazione e consapevolezza.

Le istanze non vengono riconosciute o vengono confuse con richieste generali di informazioni, reclami dei clienti o richieste relative all'accesso ai documenti amministrativi.

Implementazione di procedure interne documentate, come migliore prassi, e formazione, obbligo normativo.

L’ambito dell’accesso.

Fra le criticità rilevate, non tutti i titolari sembrano essere consapevoli che i dati personali possono essere contenuti anche in file non testuali, metadati o dati di backup.

I titolari dovrebbero valutare il perimetro della richiesta di accesso facendo riferimento al registro delle attività di trattamento, per identificare con precisione le possibili posizioni di archiviazione dei dati personali (ovvero i database da cui attingere per fornire riscontro) ed eventualmente confrontarsi con gli IT al fine di valutare le informazioni da rendere ai richiedenti.

La definizione dei periodi di conservazione.

I titolari del trattamento devono garantire che la comunicazione relativa alla richiesta di accesso venga archiviata separatamente dalle altre informazioni relative all'interessato. Non essendo previsti specifici termini di conservazione all’interno del GDPR, spetta ai titolari del trattamento bilanciare le esigenze di conservazione dei dati e dimostrare, in caso di controlli, le valutazioni effettuate.

Le barriere al diritto di accesso.

Ostacoli nell'esercizio del diritto di accesso, come requisiti formali o la pretesa di documenti identificazione eccessivi / non necessari.

I titolari dovrebbero implementare canali dedicati alla gestione delle istanze e valutare caso per caso ogni richiesta di accesso ricevuta al fine di determinare se sia necessaria un'ulteriore identificazione o autenticazione dell'interessato.

Le limitazioni al diritto di accesso.

Sono state osservate interpretazioni incoerenti ed eccessive dei limiti al diritto di accesso, come l'eccessivo ricorso a determinate eccezioni per rifiutare automaticamente le richieste di accesso.

I titolari del trattamento devono essere consapevoli che, nei casi in cui decidano di limitare il diritto di accesso di un interessato, dovrebbero essere in grado di dimostrare /spiegare il ragionamento alla base di tale scelta.

Le richieste di precisazioni.

In alcuni casi i titolari richiedono, di default e senza alcun controllo preventivo, dettagli aggiuntivi in merito alla richiesta o precisazioni. Spesso tali richieste non sono accompagnate da informazioni relative alle finalità perseguite.

I titolari dovrebbero valutare ogni richiesta di accesso caso per caso e fornire agli interessati le dovute informazioni in merito ai trattamenti svolti.

I titolari potrebbero mettere a disposizione strumenti self-service o possibilità di preselezionare una, più o tutte le attività di trattamento su cui i richiedenti desiderano ricevere informazioni.

Il riscontro personalizzato.

Alcuni titolari del trattamento fanno semplicemente riferimento alla loro politica sulla privacy e forniscono informazioni in termini molto generali.

Le informazioni da fornire devono essere adattate all'interessato e alla specifica richiesta di accesso.

L’esito dei controlli svolti dall’Autorità Garante

In relazione ai riscontri raccolti dal Garante per la protezione dei dati personali, l’Autorità ha segnalato al Comitato, in particolare, che:

alcuni titolari del trattamento rispondenti non hanno fornito alcuna informazione su come documentano la conformità alle richieste di accesso. Non sempre vengono adottate misure adeguate per dimostrare la conformità dell’organizzazione nella gestione delle istanze privacy;
altri titolari del trattamento, pur fornendo informazioni generiche in merito alle istanze ricevute, non hanno fornito dettagli in merito agli attori coinvolti nella gestione delle richieste di accesso, alle relative funzioni svolte e al loro profilo di autorizzazione al trattamento dei dati;
un quarto dei titolari del trattamento non ha indicato alcun periodo di conservazione dei dati o ha indicato che la conservazione dei dati è perpetua. Altri titolari del trattamento indicano criteri molto generici per il periodo di conservazione dei dati. Questi risultati suggeriscono che non sempre viene stabilita una routine di cancellazione appropriata, un approccio non conforme al principio di limitazione della conservazione.

Rispetto alla gestione delle istanze di accesso, i riscontri ricevuti dal Garante hanno evidenziato ulteriori criticità.

In particolare, l’Autorità ha rilevato quanto segue:

solo il 50% dei titolari del trattamento partecipanti invia una conferma che la richiesta dell'interessato è stata presa in carico. Ciò evidenzia carenze nella capacità di garantire trasparenza e consapevolezza all'interessato;
solo pochi titolari del trattamento, anche quando inviano una comunicazione preliminare di presa in carico all'interessato, indicano a quest'ultimo le tempistiche di riscontro;
la maggior parte dei titolari non ha formalizzato una procedura per la gestione delle istanze privacy, comprensiva di indicazioni sulle corrette modalità di gestione delle richieste di accesso ai dati, ai sensi dell’articolo 15 del GDPR. Più di frequente le richieste di accesso vengono trattate applicando prassi e procedure standard aziendali;
molti titolari del trattamento richiedono che la richiesta di accesso avvenga in forma scritta e non prevedono misure specifiche in relazione alle diverse categorie di interessati. Ciò evidenzia carenze nel livello di accuratezza nella gestione delle istanze;
solo il 40% dei titolari del trattamento ha indicato di aver incluso la gestione delle richieste di esercizio dei diritti nelle valutazioni effettuate in sede di digitalizzazione dei processi o di integrazione di nuovi strumenti digitali. In alcuni casi, i titolari hanno specificato che tale processo è in corso di attuazione o hanno indicato in modo più generico il coinvolgimento del DPO nella digitalizzazione dei processi;
in alcuni casi, non sembra esserci un'adeguata distinzione tra la gestione delle richieste di accesso ai documenti amministrativi previste dalla normativa nazionale (es. Legge n. 241/1990, D.Lgs. n. 33/2013) e le richieste di accesso ai dati personali ai sensi dell'art. 15 del GDPR.

Infine, per quanto riguarda le informazioni rese agli interessati, il Garante ha constatato che:

i titolari del trattamento difficilmente conoscono le differenze tra quanto richiesto dall'art. 13 GDPR, in merito all'informativa, e quanto richiesto dall'art. 15(1)(c) GDPR;
solo una percentuale molto ridotta di titolari del trattamento adegua l'informativa tenendo conto delle diverse categorie di interessati (minori, anziani, ecc.);
la maggior parte dei titolari del trattamento, nell’informativa si limita a indicare le categorie di destinatari senza specificare, se possibile, i singoli destinatari;
circa la metà dei titolari del trattamento non prevede forme di rilascio dei dati alternative al trattamento di una copia degli stessi;
se i dati richiesti cambiano nel periodo che intercorre tra la data della richiesta e la data della risposta, circa la metà dei titolari del trattamento non fa riferimento al momento del ricevimento della richiesta per fornire la risposta.

In conclusione, secondo l’Autorità Garante, il livello di comprensione della materia (diritto di accesso ai dati personali) è pari a “Basso”, valore che, nella scala di riferimento, si posiziona al penultimo posto, sopra solo a “Molto basso”.

Quali soluzioni? 10 tips del Garante

In primo luogo, il Garante incoraggia i titolari del trattamento dei dati a progettare con maggiore attenzione le attività da svolgere per una corretta gestione delle istanze privacy;
il Garante richiede di definire preventivamente i ruoli dei soggetti autorizzati alla ricezione delle richieste di accesso;
l’Autorità promuove l'adozione di procedure interne dedicate;
oltre all’adozione di una specifica procedura interna per l'esercizio dei diritti degli interessati, il Garante riconosce come migliore prassi la pubblicazione di tale procedura sul proprio sito web istituzionale. Questa pratica può favorire un maggior livello di trasparenza tra il titolare del trattamento e gli interessati e facilitare l'esercizio dei diritti degli interessati;
alcune possibili best practice da evidenziare, sulla base delle risposte ricevute, sono l'utilizzo di moduli online per facilitare gli interessati nella presentazione delle richieste di accesso ai sensi dell'articolo 15 del GDPR;
l’Autorità suggerisce, ove possibile, l'utilizzo di sistemi di accesso self-service per consentire agli interessati di scaricare autonomamente i propri dati personali in qualsiasi momento;
il Garante richiede un monitoraggio o un controllo sistematico della gestione delle richieste di accesso - che nella maggior parte dei casi viene effettuato dal DPO o con il suo coinvolgimento - anche attraverso la tenuta di un apposito registro relativo alle richieste ricevute dagli interessati in merito ai loro diritti ai sensi del GDPR;
il Garante suggerisce, come migliore prassi, ai titolari del trattamento, quando forniscono estratti o documenti completi o parziali, di fornire anche una nota esplicativa per garantire la comprensibilità del contenuto dei dati;
in aggiunta, l’Autorità ricorda anche che i titolari del trattamento dovrebbero prestare particolare attenzione anche a limitare il periodo di conservazione dei dati (differenziando i termini previsti per la gestione delle istanze ricevute). Nel settore pubblico, i titolari del trattamento dovrebbero specificare il periodo di conservazione o i criteri utilizzati per determinare tale periodo nel proprio Piano di conservazione e nel Massimario di scarto;
il Garante incoraggia l'adozione di Codici di condotta, ai sensi dell'art. 40 del GDPR, al fine di individuare procedure standardizzate per l'effettiva applicazione del diritto di accesso, anche in considerazione delle diverse categorie di titolari del trattamento.

Contesto e prossime tappe

Il CEF rappresenta un'azione chiave dell'EDPB, volta a razionalizzare l'applicazione e la cooperazione tra le autorità di protezione dei dati. Al tempo stesso, dall’azione coordinata si ricavano utili indicazioni sui controlli che i DPO dovrebbero effettuare, per adempiere al proprio compito di sorvegliare l’osservanza del Regolamento da parte dei titolari.

Il CEF 2025 riguarderà l'attuazione del diritto alla cancellazione. Iscriviti alla newsletter di ASSO DPO per restare aggiornato sul tema.

Altre news

“Data Protection Day” 2025: come si governa il futuro della data protection?

L’innovazione della Convenzione 108Già nel 1981 la Convenzione 108 del Consiglio d’Europa (o “Convenzione di Strasburgo”) si [...]

L’indagine settoriale del Garante di Amburgo porta ad una sanzione da 900.000 euro. I dati erano conservati oltre i termini previsti per legge

L’indagine settoriale della DPA di AmburgoCon il comunicato del 12 novembre 2024, la Data Protection Authority di Amburgo (a seguire, per [...]

Direttiva NIS2: il termine di registrazione è ormai prossimo. Indicazioni operative in sintesi.

Quadro normativo e obblighi previsti La Direttiva UE 2022/2555 relativa a misure per un livello comune elevato di cibersicurezza nell'Unione (a [...]

Cybersecurity update: il report ENISA 2024 e le nuove fonti del diritto

Il report ENISA 2024 Come ogni anno, l’Agenzia dell'Unione europea per la cibersicurezza (ENISA) ha pubblicato il report “ETL” (ENISA [...]