Il Comitato Europeo per la Protezione dei Dati (EDPB) ha pubblicato lo scorso 16 gennaio un rapporto dettagliato sull’attuazione del diritto di accesso ai dati personali, con particolare riferimento alla conformità delle organizzazioni ai principi del Regolamento Generale sulla Protezione dei Dati (GDPR). Questa analisi si inserisce nell’ambito del Coordinated Enforcement Framework (CEF), volto a garantire un’applicazione armonizzata del GDPR tra le autorità di controllo degli Stati membri.
Il diritto di accesso, sancito dall’articolo 15 del GDPR, è uno strumento fondamentale per consentire agli interessati di verificare l’uso che viene fatto dei propri dati personali e, se necessario, esercitare ulteriori diritti, come la rettifica o la cancellazione. Tuttavia, la relazione dell’EDPB evidenzia criticità e disomogeneità nell’attuazione di questo diritto, proponendo raccomandazioni per migliorarne l’efficacia.
Principali evidenze della relazione
1. Livelli di conformità disomogenei tra i titolari del trattamento
L’indagine ha coinvolto 1.185 titolari del trattamento appartenenti sia al settore pubblico che privato. I risultati evidenziano una situazione eterogenea:
- il 66% delle autorità di controllo ha valutato il livello di conformità come “medio” o “alto”;
- le organizzazioni più grandi e quelle che ricevono un elevato numero di richieste di accesso tendono a essere più conformi;
- mancata consapevolezza delle linee guida EDPB 01/2022: molti titolari del trattamento ignorano gli standard operativi definiti a livello europeo.
Criticità emerse: la scarsa familiarità con le linee guida EDPB 01/2022 suggerisce la necessità di una maggiore sensibilizzazione e formazione da parte delle autorità competenti.
2. Mancanza di consapevolezza e procedure interne inefficaci
Uno degli aspetti più problematici riguarda la capacità dei titolari di riconoscere e gestire correttamente le richieste di accesso. La relazione segnala:
- scarsa identificazione delle richieste di accesso: alcune organizzazioni non distinguono le richieste di accesso da altre istanze (es. richieste di informazioni generiche o reclami);
- mancanza di procedure documentate: molte aziende non dispongono di processi chiari per gestire le richieste, il che porta a ritardi e risposte incomplete;
- archiviazione eccessiva o indefinita delle richieste di accesso: alcuni titolari conservano le comunicazioni relative alle richieste per periodi di tempo eccessivamente lunghi, in violazione del principio di limitazione della conservazione sancito dall’articolo 5(1)(e) GDPR.
Soluzioni proposte: le autorità di controllo suggeriscono di adottare procedure standardizzate, migliorare la formazione del personale e utilizzare strumenti digitali per tracciare e rispondere alle richieste in modo tempestivo ed efficiente.
3. Ostacoli alla facilitazione del diritto di accesso
Un’altra problematica rilevata riguarda le barriere operative che impediscono agli interessati di esercitare il proprio diritto di accesso. Alcuni esempi includono:
- richiesta obbligatoria di utilizzare moduli web specifici, escludendo altri canali di comunicazione;
- necessità di autenticazione eccessivamente rigorosa, con la richiesta indiscriminata di documenti di identità;
- rifiuto di fornire risposte orali o in formati accessibili, a danno di soggetti vulnerabili (es. persone con disabilità).
Best practice consigliate: implementare portali di self-service, adottare modelli di verifica flessibili e garantire formati accessibili per la trasparenza e l’inclusione.
4. Interpretazioni eccessivamente restrittive del diritto di accesso
Alcuni titolari applicano il diritto di accesso in modo restrittivo, limitandone l’efficacia:
- richiesta di specificare eccessivamente l’oggetto della richiesta, contrariamente al principio che garantisce il diritto di accesso senza necessità di giustificazioni dettagliate;
- negazione dell’accesso basata su motivazioni generiche come costi elevati o timori di uso improprio;
- applicazione estensiva dell’eccezione per la tutela dei diritti e delle libertà altrui (articolo 15(4) GDPR), negando l’accesso a informazioni senza una valutazione caso per caso.
Raccomandazioni dell’EDPB: le autorità di controllo dovrebbero emettere linee guida più dettagliate per chiarire i limiti legittimi al diritto di accesso e garantire che i rifiuti siano sempre giustificati da motivazioni precise e verificabili.
Prospettive future
La relazione EDPB 2024 mette in luce progressi e lacune significative nell’applicazione del diritto di accesso. Se da un lato molte organizzazioni hanno adottato buone pratiche, dall’altro emergono problematiche strutturali che richiedono interventi normativi e operativi.
Per il futuro, le autorità di controllo dovranno:
- promuovere una maggiore consapevolezza sulle linee guida EDPB 01/2022;
- incentivare l’adozione di procedure interne trasparenti e documentate;
- contrastare le barriere operative all’esercizio del diritto di accesso;
- fornire ulteriori chiarimenti sull’interpretazione delle eccezioni al diritto di accesso.
L’attuazione efficace di queste misure sarà essenziale per garantire ai cittadini europei un accesso reale ed equo ai propri dati personali, in linea con lo spirito del GDPR.
Daniele Giordano
Ultimi post di Daniele Giordano (vedi tutti)
- Legal design e informative privacy: verso una comunicazione più chiara e accessibile - 25 Febbraio 2025
- i nuovi criteri per l’applicazione per la Clausola di salvaguardia del Decreto NIS - 11 Febbraio 2025
- Pubblicati dalla Commissione Europea gli orientamenti sulle pratiche vietate in materia di intelligenza artificiale - 5 Febbraio 2025
- Data Act: implicazioni e prospettive per la proprietà dei dati nell’Unione Europea - 5 Febbraio 2025
- Le Nuove linee guida della Commissione Europea sulla definizione di un sistema di intelligenza artificiale - 5 Febbraio 2025
