Faro dei Garanti sull’attuazione del diritto di accesso

Arrivano dal Comitato europeo per la protezione dei dati (EDPB) i risultati della terza azione coordinata di applicazione[1] sull’attuazione del diritto di accesso da parte dei titolari e dei responsabili dei trattamenti. La relazione è il risultato di un’indagine coordinata a livello dell’UE ed elenca le criticità riscontrate e indica una serie di raccomandazioni utili alla corretta attuazione del diritto di accesso.

Come accaduto per le prime due indagini –uso di servizi cloud da parte del settore pubblico e designazione e il ruolo dei RPD[2], l’analisi, avviata a febbraio 2024, è stata portata avanti da tutte le Autorità di protezione dei dati delle Spazio economico europeo interessando un totale di 1.185 soggetti, costituiti da piccole e medie imprese e grandi imprese attive in diversi settori, nonché diversi enti pubblici. Tutta la documentazione analizzata è allegata al Report.

Il diritto di accesso

Sancito dall’art. 8 della Carta dei diritti fondamentali dell’Unione Europea[3] e disciplinato all’art. 15 del Regolamento, il diritto di accesso alle informazioni che li riguardano, assume un ruolo fondamentale per i soggetti interessati al trattamento: nella maggior parte dei casi, ne costituisce proprio il presupposto, è propedeutico e strumentale rispetto all’esercizio degli ulteriori diritti previsti dagli articoli 15-22 del Regolamento. È lo strumento attraverso il quale l’interessato viene a conoscenza che è in corso un trattamento dei propri dati personali, premessa indispensabile per esercitare tutti i diritti che il Regolamento europeo 2016/679 gli riconosce. Ancor più consente all’interessato di avere il controllo sul trattamento dei propri dati personali, la possibilità di verificare la legittimità del trattamento ed eventualmente di modificare le informazioni attraverso richieste di integrazione, cancellazione od opposizione.

Il diritto di accesso racchiude in sé alcuni dei principi fondanti del Regolamento: diritto alla trasparenza, potere di controllo e di intervento sui propri dati personali.

Aree di miglioramento e principali sfide

Dall’analisi emerge quale centrale una maggiore diffusione della conoscenza delle Linee Guida EDPB n. 1/2022 sui diritti degli interessati – Diritto di accesso Versione 2.1, adottate il 28 marzo 2023, laddove gli orientamenti espressi aiutano nella pratica i titolari del trattamento ad attuare il diritto di accesso, spiegano in che modo l’esercizio di tale diritto può essere reso più semplice ed elencano le eccezioni e le limitazioni del diritto di accesso. 

Come nelle precedenti azioni anche in questo caso sono state individuate non poche criticità.

Al primo posto si colloca la constatazione della prevalente mancanza di procedure interne documentate per gestire le richieste di accesso. Anzi i risultati dell’azione sembrano tracciare una correlazione tra mancanza di procedure interne documentate e un’accentuata possibilità di violazione dell’art. 15 GDPR.

Sicuramente adottare e rendere pubblica una procedura oltre ad essere sinonimo di trasparenza, incarna, in concreto, la corretta modalità di rispettare l’obbligo, previsto dal GDPR a carico di titolari e responsabili del trattamento, di agevolare l’esercizio dei diritti da parte dei soggetti interessati ai trattamenti. Procedura che potrebbe agevolare l’individuazione della corretta tipologia di richiesta, causa dei ritardi nella definizione delle stesse richieste.

Seguono la presenza di interpretazioni incoerenti ed eccessive delle limitazioni al diritto di accesso, con il ricorso alle eccezioni con l’obiettivo esplicito di rifiutare automaticamente le richieste di accesso e gli ostacoli frapposti nello stesso percorso per ottenere l’accesso alle informazioni, come i requisiti formali o la richiesta di fornire documenti di identificazione eccessivi.

Per ciascuna sfida individuata, la relazione fornisce un elenco di raccomandazioni non vincolanti di cui i titolari del trattamento e le autorità di protezione dei dati dovrebbero tenere conto.

Tra le raccomandazioni emergono alcuni consigli pratici, diversi per tipologia, ma che appaiono tutti utili all’accountability del titolare:

• è da considerare una buona pratica l’invio da parte del titolare di una conferma di ricezione della richiesta di accesso, pur in assenza di un obbligo legale;
• si raccomanda la promozione di Codici di condotta (ai sensi dell’art. 40 RGPD) al fine di identificare procedure standardizzate per l’applicazione effettiva del diritto di accesso da porre in relazione alle diverse categorie di titolari e responsabili del trattamento;
• occorre una formazione particolarmente attenta per qualificare e filtrare adeguatamente le richieste di accesso sin dall’inizio anche con il coinvolgimento dei DPO.

Risultati positivi

Nonostante le criticità e le esigenze di miglioramento, due terzi delle autorità di protezione dei dati partecipanti hanno valutato il livello di conformità dei titolari del trattamento che hanno risposto per quanto riguarda il diritto di accesso da “medio” a “elevato”.

Positiva è la considerazione del volume delle richieste di accesso pervenute laddove il loro numero elevato contribuisce a raggiungere un grado sempre più alto di conformità.

Risultati positivi osservati in tutta Europa. Questi includono l’attuazione delle migliori pratiche da parte dei titolari del trattamento, come moduli online di facile utilizzo che consentono alle persone di presentare facilmente una richiesta di accesso e sistemi self-service per consentire alle persone di scaricare autonomamente i propri dati personali in pochi clic e in qualsiasi momento.

Tuttavia, i risultati suggeriscono anche che i titolari non sempre sono consapevoli del contenuto delle Linee Guida 01/2022. Occorre una loro maggiore diffusione.

Le iniziative delle Autorità nazionali

Molti sono i poteri che il GDPR attribuisce alle autorità nazionali, anche correttivi con l’emissione di richiami o ingiunzioni o sanzioni pecuniarie, per i casi di inosservanza dell’art. 15 GDPR. Provvedimenti sono stati adottati in tutti gli Stati membri e indagini formali specifiche verranno focalizzate proprio sulle criticità emerse dai questionari raccolti con possibile adozione di ulteriori misure correttive.

Il Report preannuncia un possibile aggiornamento delle Linee Guida EDPB 1/22 anche per tener conto delle intervenute pronunce in materia della Corte di Giustizia Europea. Alcune autorità hanno sviluppato proprie linee guida generali e specializzate per settori o anche pubblicato una guida completa sul diritto di accesso che riguarda chi può richiedere l’accesso ai dati, quali dati possono essere richiesti, come i dati possono essere ottenuti, quale costo può essere sostenuto o quando il diritto può essere limitato o rifiutato nonché informazioni sul diritto di accesso ai dati personali relativi a persone decedute.

Oltre al frequente uso di FAQ disponibili sul sito, un’autorità ha lanciato uno strumento interattivo che utilizza un linguaggio facilmente comprensibile e casi pratici con l’obiettivo di aumentare la consapevolezza del valore della protezione dei dati.

Prossime tappe

Dal Report emerge come le azioni coordinate di applicazione, rimangono uno strumento chiave dell’EDPB nell’ambito della sua strategia 2024-2027, volta a razionalizzare l’applicazione e la cooperazione tra le autorità di protezione dei dati. Infatti, al di là della generale soddisfazione è evidente l’esigenza di porre in essere iniziative informative, di sensibilizzazione e di formazione con l’obiettivo di educare le persone su come possono esercitare questo diritto ed essere consapevoli dell’esigenza di gestire efficacemente i propri dati personali e di conoscere i loro obblighi e i loro diritti. Tutti, titolari e interessati al trattamento devono esserne resi consapevoli. A tal fine verranno avviate iniziative informative, di sensibilizzazione e di formazione con l’obiettivo di educare le persone su come possono esercitare questo diritto ed essere consapevoli dell’esigenza di gestire efficacemente i propri dati personali e di conoscere i propri diritti come riconosciuti dal GDPR.

Il rapporto potrà essere aggiornato successivamente tenuto conto dello stato di avanzamento dei procedimenti ad oggi non ancora conclusi e/o stante i problemi identificati.

L’EDPB ha anche annunciato che oggetto dell’azione 2025 sarà l’attuazione del diritto alla cancellazione.

Contributo alla Rubrica “Appunti di Privacy”: notizie, spunti di riflessione, brevi commenti, chiarimenti sui principali temi di attualità sul tema della tutela dei dati personali. A cura di Patrizia Cardillo, Esperta di Protezione dati personali, in collaborazione con FPA.

[1] Le azioni di applicazione coordinata tra gli Stati membri hanno l’obiettivo di rendere coerente tra gli Stati membri l’applicazione del GDPR e assicurare la cooperazione tra le autorità di protezione dei dati su temi ritenuto prioritari.

data[2] Cfr. Appunti di privacy: Cloud pubblico e privacy: le Autorità Ue chiedono più attenzione alla tutela dei dati personali e Faro dei Garanti sui Data Protection Officer e sui diritti.

[3] Articolo 8, par. 2, della Carta dei Diritti Fondamentali dell’Unione Europea. “Protezione dei dati di carattere personale” 1. Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente».