Il Servizio Editoriale, come consuetudine, sospende le sue pubblicazioni per il mese di agosto e riprenderà giovedì 3 settembre 2020. Buone vacanze!

Esercizio dei diritti privacy

I provvedimenti delle autorità di supervisione, insieme a linee guida e pareri dell’EDPB, se letti in filigrana consentono di desumere importanti indicazioni su come operare nelle organizzazioni al fine di rispondere adeguatamente al principio di accountability. Gli ultimi interventi sanzionatori del Garante privacy sono ricchi di segnali in tal senso di cui si è dato conto in precedenti puntate (v. Editoriale del 23/1/2020, 20/2/2020 e 2 luglio 2020) ed anche quello del 9 luglio 2020 (doc. web n. 9435753) non è da meno.

 

Esercizio dei diritti

La mappa concettuale riportata sopra evidenzia mediante le ellissi colorate i principali profili di criticità che sono stati rilevati nell’organizzazione oggetto del provvedimento del Garante del 9 luglio scorso. Il contesto di riferimento era quello del marketing diretto che, come rilevato in numerose occasioni dall’autorità, rappresenta un settore che «genera costante e diffuso allarme sociale». I rilievi contenuti nel provvedimento, tuttavia, sono anche di portata generale come nel caso della sottolineatura dell’importanza che le misure adottate dalle organizzazioni «debbano essere corredate di maggiore effettività sul piano pratico per potersi ritenere sufficienti ad arginare (…) condotte illegittime». 

Tra i profili di rilievo oggetto del provvedimento e di maggiore portata generale abbiamo scelto quello dell’esercizio dei diritti, su cui ci soffermeremo in maggior dettaglio.

Operatività del processo

L’esercizio dei diritti privacy, noto con l’acronimo inglese “DSR” (Data Subject’s Request), è uno dei principali punti di contatto tra organizzazione ed interessati e corrispondentemente rappresenta un momento di verifica dell’adeguatezza dell’assetto organizzativo interno rispetto alle sollecitazioni cui esso è sottoposto dalle dinamiche del GDPR.  

Misure per l’esercizio dei diritti

Il legislatore del regolamento ha previsto una duplice funzione per le misure tecnico-organizzative, cioè:

• proteggere e rendere adeguatamente sicuri i dati personali
• agevolare il godimento di tutele e diritti degli interessati.

L’articolo 12 del regolamento menziona esplicitamente l’obbligo di adottare adeguate misure funzionali all’applicazione effettiva della disciplina; esso prescrive che «(i)l titolare del trattamento agevola l’esercizio dei diritti dell’interessato» ed il considerando (59) aggiunge che «(è) opportuno prevedere modalità volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti di cui al presente regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare l’accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione. Il titolare del trattamento dovrebbe predisporre anche i mezzi per inoltrare le richieste per via elettronica (…)».

 

Tra le principali criticità che si riscontrano nelle organizzazioni a tal riguardo sono:

• il mancato o ritardato riscontro all’interessato richiedente
• la gestione della richiesta.