Il GDPR (Regolamento generale sulla protezione dei dati) conferisce agli interessati (coloro a cui appartengono i dati personali) il diritto di accedere ai propri dati trattati dai titolari del trattamento “per essere consapevoli del trattamento e verificarne la liceità” (Considerando 63).
I titolari del trattamento devono rispondere alla richiesta entro un mese dalla sua ricezione.
Questo blog ti spiega come creare una procedura di risposta alle richieste di accesso ai dati (DSAR, data subject access request) per fare in modo che la tua organizzazione rispetti i requisiti e gli obblighi imposti dal Regolamento UE.
Cos’è la richiesta di accesso ai dati?
L’articolo 15 della normativa stabilisce che i titolari del trattamento devono confermare agli interessati se è in corso un trattamento dei loro dati personali e fornire una copia di tali dati personali a meno che ciò non leda i diritti e le libertà altrui.
Inoltre, devono fornire le seguenti informazioni:
- Le finalità del trattamento
- Le categorie di dati personali coinvolti
- I destinatari (o le categorie di destinatari) a cui sono stati o saranno comunicati i dati personali
- Il periodo previsto di conservazione dei dati (o, se ciò non fosse possibile, i criteri utilizzati per determinare tale periodo)
- L’esistenza del diritto di rettifica o cancellazione dei dati personali e del diritto di limitazione e di opposizione al trattamento
- Il diritto di reclamo presso l’autorità di controllo
- Se i dati non sono stati raccolti direttamente dall’interessato, qualsiasi informazione disponibile sulla fonte e la loro provenienza
- L’esistenza di processi decisionali automatizzati, tra cui la profilazione, e le informazioni sulla logica utilizzata, oltre all’importanza e alle conseguenze previste del trattamento per l’interessato.
È quindi essenziale stabilire una procedura di risposta alle richieste di accesso.
Procedura di risposta alle richieste di accesso ai dati
La procedura dovrebbe garantirti di essere in grado di soddisfare i requisiti seguenti:
- Nella maggior parte dei casi, le informazioni richieste devono essere fornite gratuitamente.
- Tuttavia, puoi addebitare un “contributo spese” nel caso in cui la richiesta si dimostri infondata, eccessiva o ripetitiva. La spesa riguarda i costi amministrativi sostenuti per fornire le informazioni.
- Le informazioni devono essere fornite senza ritardo, entro un mese.
- Nel caso in cui il volume di richieste ricevute sia elevato, è consentito estendere la scadenza a tre mesi. Tuttavia, entro un mese si deve comunicare all’interessato il motivo dell’estensione della richiesta.
- Gli interessati devono essere in grado di inoltrare le richieste sia fisicamente che elettronicamente, in particolare nel caso in cui i dati personali siano trattati con mezzi elettronici.
- Le richieste di accesso possono essere fatte in qualsiasi forma, per esempio tramite e-mail, telefonata o modulo di contatto sul sito web.
Il Considerando 63 raccomanda che, dove possibile, “il titolare del trattamento dovrebbe poter fornire l’accesso remoto a un sistema sicuro che consenta all’interessato di consultare direttamente i propri dati personali”.
Crea la procedura usando i modelli precompilati
Di seguito è riportato un esempio di modello di procedura tratto dal Kit di documenti GDPR.
Il Kit di documenti GDPR è stato progettato e sviluppato dagli esperti di protezione dei dati e GDPR di IT Governance ed è già stato utilizzato da migliaia di organizzazioni in tutto il mondo. Contiene:
- Una serie completa di modelli di documenti precompilati, facili da usare e personalizzabili;
- Una dashboard utile e degli strumenti per garantirti la copertura completa del GDPR;
- Le linee guida dei nostri esperti di protezione dei dati;
- Due licenze per il corso e-learning per la formazione del personale sul GDPR.
Scarica la versione di prova del kit per scoprire in prima persona i vantaggi che otterrai in termini di risparmio di tempo e denaro.
| Scarica la versione in prova gratuita >> |
Maggiori informazioni sul kit di documenti >> |
