Passa ai contenuti principali

La policy di riscontro delle richieste degli interessati

Immagine
di

Tra le policy più importanti da mettere a punto riguardo alla gestione della data protection in ambito privacy vi è sicuramente quella che riguarda il riscontro che il titolare del trattamento, o il suo rappresentante se nominato, deve dare all'interessato. Questa policy rientra tra quelle obbligatorie e si dovrà basare sugli artt. da 15 a 22 del regolamento europeo UE 2016/679 e in particolare:

  • Articolo 15 - Diritto di accesso dell'interessato
  • Articolo 16 - Diritto di rettifica
  • Articolo 17 - Diritto di cancellazione (diritto all'oblio)
  • Articolo 18 - Diritto di limitazione di trattamento
  • Articolo 19 - Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento
  • Articolo 20 - Diritto alla portabilità dei dati
  • Articolo 21 - Diritto di opposizione
  • Articolo 22 - Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

Inoltre occorre tenere conto anche dei considerando 59, 64 e 73:
(59) È opportuno prevedere modalità volte ad agevolare l’esercizio, da parte dell’interessato, dei diritti di cui al presente regolamento, compresi i meccanismi per richiedere e, se del caso, ottenere gratuitamente, in particolare l’accesso ai dati, la loro rettifica e cancellazione e per esercitare il diritto di opposizione. Il titolare del trattamento dovrebbe predisporre anche i mezzi per inoltrare le richieste per via elettronica, in particolare qualora i dati personali siano trattati con mezzi elettronici. Il titolare del trattamento dovrebbe essere tenuto a rispondere alle richieste dell’interessato senza ingiustificato ritardo e al più tardi entro un mese e a motivare la sua eventuale intenzione di non accogliere tali richieste.
(64) Il titolare del trattamento dovrebbe adottare tutte le misure ragionevoli per verificare l’identità di un interessato che chieda l’accesso, in particolare nel contesto di servizi online e di identificativi online. Il titolare del trattamento non dovrebbe conservare dati personali al solo scopo di poter rispondere a potenziali richieste.
(73) Il diritto dell’Unione o degli Stati membri può imporre limitazioni a specifici principi e ai diritti di informazione, accesso, rettifica e cancellazione di dati, al diritto alla portabilità dei dati, al diritto di opporsi, alle decisioni basate sulla profilazione, nonché alla comunicazione di una violazione di dati personali all'interessato e ad alcuni obblighi connessi in capo ai titolari del trattamento, ove ciò sia necessario e proporzionato in una società democratica per la salvaguardia della sicurezza pubblica, ivi comprese la tutela della vita umana, in particolare in risposta a catastrofi di origine naturale o umana, le attività di prevenzione, indagine e perseguimento di reati o l’esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica, o di violazioni della deontologia professionale, per la tutela di altri importanti obiettivi di interesse pubblico generale dell’Unione o di uno Stato membro, tra cui un interesse economico o finanziario rilevante dell’Unione o di uno Stato membro, per la tenuta di registri pubblici per ragioni di interesse pubblico generale, per l’ulteriore trattamento di dati personali archiviati al fine di fornire informazioni specifiche connesse al comportamento politico sotto precedenti regimi statali totalitari o per la tutela dell’interessato o dei diritti e delle libertà altrui, compresi la protezione sociale, la sanità pubblica e gli scopi umanitari. Tali limitazioni dovrebbero essere conformi alla Carta e alla Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali. 
Per le richieste da parte degli interessati non esistono formalismi particolari da seguire, in effetti le richieste possono essere fatte anche via email, pec, posta ordinaria, raccomandata, le richieste devono essere conservate dal titolare del trattamento oppure dal suo rappresentante se nominato. Siccome in taluni ambiti le richieste potrebbero essere tante sarebbe opportuno organizzarsi con un registro anche in formato elettronico che sostanzialmente contenga le seguenti informazioni:
  • Numero di protocollo
  • Data di ricezione della richiesta
  • Mezzo con cui è stata comunicata la richiesta (telefono, email, pec, raccomandata)
  • Nome e cognome dell'interessato che ha fatto la richiesta
  • Modalità di identificazione dell'interessato
  • Diritto in base al quale è stata fatta la richiesta (es. diritto all'oblio)
  • Data riscontro
  • Azione intrapresa
  • Estremi e modalità di comunicazione del riscontro
Come abbiamo visto dal considerando 59 il tempo massimo per il riscontro deve essere di 30 giorni. Un punto molto importante è l'identificazione del richiedente che può essere fatta anche attraverso un documento d'identità, una volta identificato l'interessato, in un'ottica di minimizzazione dei dati personali, non è necessario conservare nella documentazione della richiesta la copia del documento d'identità che quindi può essere cancellata. 
Labels:

Commenti

Posta un commento

Post popolari in questo blog

Chi ha paura dei log di navigazione internet?

di
Il GDPR, sulla base giuridica del legittimo interesse, consente al Titolare del trattamento di trattare dati personali relativi al traffico in misura strettamente necessaria e proporzionata per garantire la sicurezza delle reti e dell’informazione (Considerando 49) e per finalità di prevenzione delle frodi (Considerando 47). In questo contesto, è possibile conservare all’interno di apparati informatici di rete, come i firewall, i log generati dalle connessioni degli utenti a Internet: si tratta di file di testo che tracciano le attività digitali. Senza entrare troppo nei dettagli tecnici, tali log sono strumenti fondamentali per i tecnici informatici, ad esempio per ricostruire la dinamica di un attacco informatico oppure come strumento forense per individuare le cause e le responsabilità in caso di violazione dei dati personali ( data breach ). Inoltre, fatto non trascurabile, l'acquisizione forense di questi log è uno strumento di indagine essenziale per l'autorità giudiz...
Posta un commento
Continua a leggere »

CISO e DPO: interazione e compatibilità tra due figure strategiche nella difesa dei dati

di
Col recepimento della NIS2 in attuazione della direttiva (UE) 2022/2555, relativa a misure per un livello comune elevato di sicurezza informatica nell'Unione, sentiremo sempre più spesso parlare della figura professionale del CISO che è l'acronimo inglese di Chief Information Security Officer. In questo articolo esaminiamo il rapporto tra questa figura attinente alla sicurezza informatica e quella del Responsabile della protezione dei dati RPD conosciuto anche con l'acronimo di DPO (Data Protection Officer) come disciplinato dal Regolamento europeo sulla protezione dei dati personali (UE) 2016/679. Diciamo subito che entrambe sono figure che operano nell'ambito della sicurezza dei dati, con ruoli distinti ma complementari. Ecco una panoramica di ciascun ruolo e delle loro possibili interazioni. Ruolo del CISO: Il CISO è responsabile della sicurezza delle informazioni e dei sistemi aziendali. Si occupa della gestione dei rischi legati alla sicurezza informatica, della...
Posta un commento
Continua a leggere »

Shadowplay

di
Questo racconto è pubblicato integralmente su gentesicura.it «Si potrebbe alzare un po’ l’aria condizionata? Qui si muore di caldo». chiese la ragazza alzando gli occhi verso il soffitto per osservare il lento movimento delle pale del ventilatore. Davanti a lei, dall’altro lato della scrivania posta in una saletta nel seminterrato del grigio blocco della sezione IV, l’ispettore stava sfogliando il suo fascicolo fumando un sigaro. Ogni boccata rendeva l’aria del piccolo ambiente meno respirabile. «Cortesemente, guarda in basso e tieni le mani sotto le cosce. Ne avremo ancora per molto, parlami della tua famiglia, dove abitavate?» chiese l’ispettore. «Non capisco il senso di tutte queste domande, le inventa lei oppure gliele scrivono? Che c’entra adesso la mia famiglia?» «Tranquilla, sono solo domande e in risposta al tuo quesito, c’è chi le scrive per me, ma ho un ampio margine di manovra. Va bene, se non mi vuoi parlare della tua famiglia, allora parlami di Shadowplay». «Adesso ho sete...
Posta un commento
Continua a leggere »