Informazioni sulle richieste di accesso ai dati (DSAR)

Una richiesta di accesso ai dati (DSAR) è un modo per esercitare i propri diritti e conoscere le informazioni che un'organizzazione detiene su di loro e come l'organizzazione le utilizza. 

Il DSAR è la procedura per esercitare il diritto di accesso, unapietra miliare della protezione dei dati ai sensi del Regolamento generale sulla protezione dei dati (GDPR) e di molte altre leggi a livello mondiale.

Ma se da un lato le DSAR sono una parte fondamentale della conformità alla protezione dei dati, dall'altro possono rappresentare una sfida importante per le organizzazioni di tutte le dimensioni. La vostra risposta alle DSAR può avere un impatto sulla reputazione della vostra organizzazione e una gestione inadeguata delle DSAR può portare a problemi legali significativi.

Questo articolo spiega come funzionano le DSAR, fornisce esempi di come rispondere alle DSAR e fornisce alcuni suggerimenti per gestire le DSAR in modo efficiente e conforme alla legge.

Che cos'è una richiesta di accesso ai dati (DSAR)?

Una DSAR consente alle persone di scoprire quali dati personali un'organizzazione detiene su di loro, perché l'organizzazione possiede i dati, dove li ha ottenuti e con chi li condivide, tra le altre cose. Le DSAR contribuiscono a difendere i diritti di protezione dei dati e della privacy delle persone aumentando la trasparenza e la responsabilità.

Se avete intenzione di raccogliere o utilizzare dati personali, dovete sempre tenere presente che le persone hanno il diritto di sapere esattamente quali dati avete raccolto e per cosa li state utilizzando.

Sbagliare le DSAR può causare seri problemi. Le DSAR gestite male sono sempre tra gli oggetti più comuni di reclamo per il GDPR e possono causare danni alla reputazione, multe e persino cause legali.

Tuttavia, se le DSAR sono corrette , possono aiutare la vostra azienda a creare fiducia nei confronti dei clienti. Se avete incorporato buone pratiche di protezione dei dati, un DSAR è un'opportunità per dimostrare ai vostri clienti che rispettate i loro diritti e che vi prendete cura dei loro dati.

Componenti chiave di una richiesta di accesso ai dati

In linea di massima, una DSAR conferisce all'interessato due diritti:

1. Una copia dei loro dati personali e
2. Informazioni sulle modalità di trattamento dei dati personali da parte del responsabile del trattamento.

Nel caso in cui non abbiate familiarità con alcuni di questi termini:

• Per "dati personali" si intende qualsiasi informazione relativa a un individuo identificabile.
• "Elaborare" i dati personali significa raccoglierli, condividerli o utilizzarli in altro modo, praticamente in qualsiasi modo,
• Per "interessato" si intende la persona a cui si riferiscono i dati personali.
• Il "responsabile del trattamento" è l'organizzazione che ha deciso di trattare i dati personali.

L'articolo 15 del GDPR stabilisce il tipo di informazioni che un'organizzazione deve fornire in risposta a un DSAR, tra cui:

• Una copia dei dati personali che elaborate su di loro. Questo può includere molti tipi di informazioni, tra cui: alcuni testi
  • Identificatori diretti, come il nome dell'interessato o le informazioni di contatto
  • ID univoci, come un numero di cliente, un nome utente o un documento di identità rilasciato dal governo.
  • Informazioni sulle caratteristiche o sul comportamento della persona, come ad esempio dati sanitari, dati demografici o cronologia di navigazione
  • Informazioni tecniche, come i dati dei cookie, i segmenti di pubblico o gli ID dei dispositivi e della pubblicità

• Informazioni su come trattate i loro dati personali:testo
  • Le finalità del trattamento dei dati
  • I tipi di dati personali trattati
  • Eventuali destinatari con cui avete condiviso i dati
  • Per quanto tempo conserverete i dati
  • I diritti dell'interessato ai sensi del GDPR
  • Il diritto dell'interessato di presentare un reclamo a un'autorità di protezione dei dati.
  • Dove avete ottenuto i dati
  • Informazioni sul "processo decisionale automatizzato" ai sensi dell'articolo 22 del GDPR (se applicabile)
  • Informazioni sui "trasferimenti internazionali di dati" (se applicabile)

Non è necessario fornire tutte queste informazioni ogni volta, ma se l'interessato richiede qualcosa di questo elenco, è necessario fornirlo , a meno che non si applichi un'eccezione.

Esempio: DSAR presentata a una startup di applicazioni mobili

MuscleTrack, una startup che si occupa di fitness, riceve un'e-mail da Anna, una delle utenti dell'applicazione.

L'e-mail arriva al reparto vendite di MuscleTrack e recita: "Salve, ho letto un articolo sui fitness tracker che vendono i dati sanitari delle persone. Per favore fornire una copia di tutti i dati raccolti da FitTrack e dirmi con chi avete condiviso i dati. condiviso i dati con". Anna fornisce anche il suo nome utente.

Sebbene l'e-mail non menzioni il GDPR, il rappresentante di MuscleTrack riconosce l'e-mail come una DSAR e la inoltra all'ufficio legale dell'azienda. Sebbene MuscleTrack disponga di un portale dedicato alla richiesta di DSAR all'interno dell'app, il team legale accetta la DSAR via e-mail.

La DSAR proviene da un indirizzo e-mail associato all'account di Anna e include il suo nome utente, quindi l'ufficio legale è sicuro che la richiesta non sia fraudolenta. 

L'ufficio legale risponde ad Anna, riconoscendo la portata della sua richiesta e fornendo un calendario per soddisfare la sua DSAR.

L'ufficio legale apre un nuovo caso in un tracker DSAR interno per seguire la richiesta di Anna. Contattano i colleghi degli altri reparti interessati per raccogliere i dati personali. Una volta raccolti i dati, l'ufficio legale li esamina e rimuove qualsiasi riferimento ad altre persone interessate.

I dati personali vengono caricati su una piattaforma di condivisione file sicura. L'ufficio legale invia ad Anna un link riservato alla piattaforma, in modo che possa accedere ai suoi dati personali. Aggiornano il tracker DSAR interno di MuscleTrack e chiudono il caso un mese dopo l'ultimo contatto con l'interessato.

Quando e perché presentare un DSAR

Il considerando 63 del GDPR afferma che le DSAR consentono all'interessato di "conoscere e verificare la liceità del trattamento". In altre parole, lo scopo di una DSAR è che l'interessato verifichi se il responsabile del trattamento sta facendo qualcosa di illegale con i suoi dati personali.

Ma la "verifica della liceità del trattamento" è l'unico motivo valido per presentare una DSAR? La questione è stata risolta dalla Corte di giustizia dell'Unione europea (CGUE) nell'ottobre 2023 nella causa FT/DW.

Il richiedente, FT, ha presentato una DSAR al suo dentista, DW, sospettando che un lavoro dentale sbagliato avesse danneggiato i suoi denti. DW ha detto che questa DSAR non era valida perché riteneva che FT stesse raccogliendo prove per una causa legale, non per verificare la legittimità del trattamento dei dati, come specificato nel considerando 63.

Il tribunale si è schierato dalla parte del paziente. La sentenza spiega che il GDPR non limita le ragioni per presentare una DSAR. Infatti, il GDPR "non richiede che l'interessato fornisca le ragioni della sua richiesta". 

Un individuo può presentare un DSAR in qualsiasi momento e ci sono molte ragioni possibili per farlo, tra cui:

• Apprendere quali dati personali sono stati raccolti da un responsabile del trattamento
• Assicurarsi che i dati personali siano accurati
• Scoprire dove il responsabile del trattamento ha ottenuto i dati personali

Tuttavia, ci sono anche validi motivi per cui un responsabile del trattamento può rifiutarsi di ottemperare a un DSAR, come spiegheremo di seguito.

Guida passo-passo alla presentazione di un DSAR

Consideriamo ora il processo DSAR dal punto di vista dell'interessato. 

Il GDPR richiede pochissimo all'interessato durante il processo DSAR. 

• Non c'è un limite di tempo per presentare una richiesta.
• Praticamente tutti i dati personali rientrano nel campo di applicazione. Il responsabile del trattamento deve fornire tutti i dati richiesti in suo possesso, con alcune eccezioni.
• L'interessato può presentare una DSAR praticamente con qualsiasi mezzo, sia di persona che via e-mail, social media, posta o telefono. Il responsabile del trattamento può fornire un modulo DSAR, ma non può obbligare gli interessati a utilizzarlo.

Ecco alcuni modi in cui gli interessati possono aiutare i responsabili del trattamento a fornire con successo i dati personali richiesti:

• Siate il più specifici possibile. Per un responsabile del trattamento sarà molto più facile gestire una richiesta del tipo "Si prega di fornire una copia dei messaggi diretti inviati dal mio account il 18 gennaio 2025" piuttosto che "Si prega di fornire tutti i miei dati personali". Sebbene quest'ultima richiesta sia probabilmente valida, potrebbe richiedere molto più tempo per essere soddisfatta.
• Essere pronti a fornire un documento d'identità. I responsabili del trattamento devono essere certi di fornire dati personali alla persona giusta. Sebbene il responsabile del trattamento debba cercare di verificare l'interessato sulla base dei dati personali già in suo possesso, a volte è necessaria un'ulteriore verifica dell'identità.
• Siate gentili. L'elaborazione di una DSAR può essere difficile. I controllori possono rifiutare le richieste a determinate condizioni. Essere cortesi e collaborativi può contribuire al buon esito della richiesta.

Come le organizzazioni devono rispondere a un DSAR

Esaminiamo ora ogni fase del processo DSAR dal punto di vista del controllore.

Riconoscere un DSAR

Poche persone sanno cosa sia una DSAR o comprendono i loro diritti ai sensi del GDPR. Pertanto, l'interessato non ha bisogno di usare termini come "DSAR", "accesso" o anche "dati personali" quando presenta una DSAR.

Come già detto, le DSAR possono arrivare attraverso qualsiasi mezzo di comunicazione, quindi tutti i vostri dipendenti potrebbero riceverne una. Questo è uno dei motivi per cui la consapevolezza e la formazione sulla protezione dei dati sono importanti per tutte le organizzazioni.

Se si capisce che l'interessato vuole accedere ai propri dati personali, si deve trattare la richiesta come una DSAR. Se la richiesta non è chiara, potete chiedere all'interessato di chiarirla. Ma non ignorate una richiesta perché l'interessato non usa il linguaggio "giusto".

Verifica dell'identità dell'interessato

Il GDPR prevede che, in caso di "ragionevoli dubbi", si possano richiedere ulteriori informazioni per verificare l'identità dell'interessato. Questa parte del processo DSAR può essere sorprendentemente complicata.

Se non riuscite a verificare l'identità dell'interessato, rischiate di esporre le persone a frodi di identità. Ma la raccolta di dati non necessari per la verifica viola il principio di "minimizzazione dei dati" del GDPR e può dissuadere le persone dall'esercitare i propri diritti.

Nel 2022, un'azienda olandese è stata multata di 525.000 euro per aver richiesto agli interessati di fornire documenti d'identità rilasciati dal governo per accedere a dati a rischio relativamente basso, come nomi e indirizzi e-mail.

D'altra parte, una volta l'autorità di regolamentazione spagnola ha multato una banca per 25.000 euro per aver commesso l'errore opposto: aver consegnatodati personali alla persona sbagliata dopo aver omesso di verificare l'identità dell'interessato.

Ecco alcuni consigli per la verifica DSAR che vi aiuteranno a trovare il giusto equilibrio:

• Considerate i rischi potenziali di fornire i dati personali pertinenti alla persona sbagliata. Quanto più sensibili sono i dati personali richiesti, tanto più rigoroso deve essere il processo di verifica.
• Ricordate che dovreste richiedere ulteriori dati personali per la verifica solo se "necessario" e se avete "ragionevoli dubbi" sull'identità dell'interessato.
• Potreste essere in grado di verificare l'identità dell'interessato tramite dati personali già in possesso della vostra azienda. Come parte del processo di verifica, potreste chiedere alla persona interessata di
  • Utilizzare un modulo web o un portale accessibile solo tramite il proprio account,
  • Inviare la DSAR tramite un indirizzo e-mail associato al proprio account, oppure
  • Confermate i dettagli dei loro recenti acquisti presso la vostra azienda o altre attività sul conto.

Esame della richiesta

Una volta ricevuto un DSAR e verificata l'identità dell'interessato (se necessario), dovete assicurarvi di capire quali dati personali l'interessato sta cercando.

Se la richiesta non è chiara, potete chiedere all'interessato di chiarirla. Se la richiesta restituisce un volume molto elevato di dati personali, potete chiedere all'interessato di restringere la richiesta, ad esempio limitando la DSAR a un particolare periodo o tipo di dati personali.

Tuttavia, come osserva l'Information Commissioner's Office (ICO) del Regno Unito: 

"...non si può costringere un individuo a restringere l'ambito della propria richiestapoiché ha ancora il diritto di chiedere "tutte le informazioni in vostro possesso" su di lui. Se un individuo vi risponde e ripete la sua richiesta o si rifiuta di fornire ulteriori informazioni, dovete comunque soddisfare la sua richiesta facendo ricerche ragionevoli per ottenere le informazioni".

In quanto tale, non dovete fare pressione sull'interessato per restringere la sua richiesta. Il diritto di accesso è completo e, in teoria, dà diritto all'interessato di conoscere tutti i dati personali da voi trattati che lo riguardano.

Raccolta dei dati personali

La raccolta dei dati personali necessari per soddisfare una DSAR può richiedere minuti o mesi, a seconda della complessità della richiesta e della quantità di dati personali.

Ecco alcuni esempi di DSAR difficili che probabilmente sono validi, mache potrebbero richiedere molte risorse per essere completati:

• Un ex dipendente chiede copia di tutte le e-mail, i messaggi di chat e i documenti che menzionano il suo nome.
• Una persona vulnerabile richiede tutte le informazioni registrate su di lei da più servizi pubblici, alcune delle quali sono archiviate in file cartacei.
• Il richiedente di un prestito che non ha avuto successo richiede tutti i dati personali che hanno contribuito alla decisione del prestito, oltre a informazioni sulla logica coinvolta nell'algoritmo di valutazione del credito.

Quando si raccolgono dati personali per una DSAR, ricordate che la definizione di "dati personali" è molto ampia. Include tutto ciò che consente di identificare l'interessato (anche se combinato con altri dati personali accessibili alla vostra organizzazione).

Solide pratiche di governance dei dati sono una solida base per facilitare le DSAR. Il recupero dei dati personali è molto più semplice se i dati dell'organizzazione sono ben organizzati e accessibili, se si limita il numero di applicazioni software utilizzate dai dipendenti e se si scoraggia l'uso di dispositivi personali.

Una DSAR potrebbe coinvolgere diversi team e reparti della vostra organizzazione. Se la vostra organizzazione riceve regolarmente DSAR, dovreste implementare un processo di comunicazione tra i reparti e di cooperazione.

Un software aziendale specializzato può aiutare a tracciare e gestire il processo DSAR integrandosi con le più diffuse applicazioni di posta elettronica, messaggistica istantanea e cloud storage per recuperare i dati personali.

Rimozione dei dati di altre persone

Uno degli aspetti più lunghi della risposta a un DSAR è la rimozione dei dati personali di persone diverse dal richiedente.

L'articolo 15, paragrafo 4, stabilisce che i responsabili del trattamento non devono "pregiudicare i diritti e le libertà altrui" quando rispondono a una DSAR. Ciò suggerisce che, in generale, la risposta non deve includere dati personali di altre persone.

Ad esempio, se l'interessato ha richiesto copie di e-mail che includono nomi o dati personali di altre persone , dovrete riformulare le e-mail in modo che contengano solo i dati personali del richiedente.

La questione è ulteriormente affrontata nelle leggi nazionali di alcuni Paesi. Ad esempio, il Data Protection Act 2018 del Regno Unito stabilisce che è possibile divulgare i dati personali di un'altra persona in risposta a un DSAR solo se:

• L'altra persona ha acconsentito alla divulgazione; oppure
• È ragionevole soddisfare la richiesta senza il consenso della persona in questione.

L'approccio più sicuro è solitamente quello di eliminare i dati personali di terzi utilizzando un metodo di eliminazione sicuro e non reversibile.

Consegna dei dati personali

Il GDPR non fornisce molte regole certe su come fornire i dati personali quando si compila un DSAR.

L'articolo 12, paragrafo 1, stabilisce che i responsabili del trattamento devono fornire i dati personali richiesti: 

• "Per iscritto", 
• Con "mezzi elettronici", se del caso, o 
• "oralmente", su richiesta dell'interessato, se ha verificato la sua identità "con altri mezzi".

Il considerando 63 afferma che "ove possibile", il responsabile del trattamento deve fornire i dati personali dando all'interessato "accesso remoto a un sistema sicuro". Considerate quindi la possibilità di consegnare i dati personali tramite una piattaforma di condivisione di file crittografata.

Se dovete fornire i dati personali richiesti via e-mail, prendete in considerazione l'utilizzo di allegati protetti da password e l'invio della password tramite un'e-mail separata.

Rispetto o proroga della scadenza

Ecco i principi generali relativi alle scadenze per l'adempimento di una DSAR:

• Dovete compilare una DSAR "senza ritardi ingiustificati e in ogni caso entro un mese dal ricevimento".
• Se necessario, è possibile prorogare il termine di altri due mesi , a seconda della "complessità e del numero delle richieste".
• Se avete deciso di prorogare il termine, dovete comunicarlo all'interessato entro il periodo iniziale di un mese.

È buona norma riconoscere il DSAR non appena lo si riceve.

Se è necessario chiarire la richiesta o verificare l'identità della persona interessata, alcune autorità di regolamentazione affermano che è possibile "fermare il tempo" fino al completamento di questo processo. Tuttavia, questo consiglio varia da Paese a Paese, per cui è consigliabile verificare con la DPA locale.

La mancata compilazione delle DSAR nei tempi previsti può avere conseguenze. Nel dicembre 2022, la società svedese di recupero crediti Alektum Oy è stata multata di 750.000 euro per aver consegnato ripetutamente le DSAR in ritardo o per averle ignorate del tutto.

Rifiuto di un DSAR o addebito di una tariffa

Se un DSAR è "manifestamente infondato o eccessivo", è possibile:

• Rifiutare di affrontarlo, oppure
• Addebitare una tassa per coprire i costi amministrativi.

Il GDPR non fornisce molti dettagli su cosa costituisca una "DSAR manifestamente infondata o eccessiva", salvo dire che include le richieste "ripetitive". 

La Commissione irlandese per la protezione dei dati (DPC) fornisce la seguente interpretazione:

• "Manifestamente infondata" significa "la richiesta non riguarda affatto i dati personali... oppure, pur riguardando i dati personali, è evidente che i dati non sono trattati da voi".
• "Eccessivo" significa che la richiesta è ripetitiva o va oltre ciò che è "ragionevole in termini di tempo e denaro, tenendo conto delle circostanze del caso".

L'ICO britannico suggerisce che i responsabili del trattamento possono considerare di rifiutare una DSAR se l'interessato "dichiara esplicitamente" che la richiesta è intesa a causare disagi o se l'interessato "prende di mira un particolare dipendente contro il quale nutre un rancore personale". Ma l'onere della prova spetta al responsabile del trattamento.

Se decidete di rifiutare o addebitare una richiesta, dovete informare l'interessato entro il termine iniziale di un mese. 

La possibilità di rifiutare una DSAR è alta, e un rifiuto potrebbe indurre l'interessato a presentare un reclamo all'autorità di regolamentazione. Per questo motivo, spesso è più facile adempiere alla DSAR che rifiutarsi di agire.

Domande frequenti sulle DSAR

Quali sono le sanzioni in caso di mancata risposta a un DSAR?

Le violazioni che coinvolgono le DSAR possono essere sanzionate attraverso il livello più alto di sanzioni del GDPR, ovvero:

• Fino a 20 milioni di euro, o
• Fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente.

Le autorità di regolamentazione hanno a disposizione una serie di altre sanzioni, che vanno dall'ammonizione all'ordine al responsabile del trattamento di interrompere il trattamento dei dati personali.

Quali sono le regole per altri tipi di richieste del GDPR?

Oltre a presentare una DSAR in base al diritto di accesso, le persone possono esercitare vari altri diritti sui propri dati personali ai sensi del GDPR e di altre leggi sulla protezione dei dati. Ad esempio:

• Il diritto alla cancellazione: Le persone possono richiedere la cancellazione dei dati personali che le riguardano a determinate condizioni, ad esempio se i dati non sono più necessari per lo scopo originario o se sono stati trattati in modo illecito.
• Diritto di rettifica: Le persone possono richiedere la correzione di dati personali inesatti che le riguardano, l'aggiornamento di dati personali obsoleti o il completamento di dati personali incompleti.
• Il diritto alla portabilità dei dati: Le persone possono richiedere una copia portatile e "leggibile a macchina" dei loro dati personali e possono anche chiedere di trasferirli a un altro responsabile del trattamento.

Lo stesso approccio di base, le stesse scadenze e le stesse eccezioni si applicano quando si gestiscono le richieste relative a questi altri diritti: È necessaria una solida base di buona governance dei dati, la consapevolezza dei dipendenti e una comunicazione trasparente.

Un DSAR può essere presentato da qualcun altro per conto di una persona?

Sì. Il GDPR non vieta all'interessato di far presentare la propria DSAR da un'altra persona, come un genitore, un badante o un avvocato. Tuttavia, il responsabile del trattamento deve essere certo che l'interessato lo abbia richiesto e deve documentare la propria valutazione dell'identità del terzo.

Per dimostrare di agire per conto dell'interessato, il terzo può presentare una lettera firmata dall'interessato, fornire la prova di avere una procura o dimostrare di essere il genitore o il tutore dell'interessato, a seconda delle circostanze.

Cosa si deve includere in una risposta DSAR?

Una risposta DSAR deve includere i dati personali o altre informazioni richieste dall'interessato. È buona norma includere una panoramica della richiesta, comprese le date in cui l'interessato ha contattato la vostra organizzazione e un riepilogo di tutte le comunicazioni con l'interessato.

Con quale frequenza possono essere presentate le DSAR?

Non c'è limite al numero di DSAR che un individuo può presentare. Tuttavia, il responsabile del trattamento può addebitare un costo amministrativo o rifiutarsi di dare seguito a una richiesta ritenuta "eccessiva", in particolare se la richiesta è ripetitiva.

Il GDPR consente inoltre al responsabile del trattamento di addebitare un costo amministrativo per la fornitura di più copie degli stessi dati personali.

Ogni DSAR deve essere esaminata caso per caso, e una DSAR non deve essere rifiutata solo perché l'interessato ha già presentato una DSAR in precedenza.

Quali sono le eccezioni all'adempimento di un DSAR?

Il responsabile del trattamento non è tenuto a soddisfare una DSAR "manifestamente infondata o eccessiva". Ad esempio, se l'interessato cerca deliberatamente di provocare disagi, se nutre rancore nei confronti di un determinato dipendente o se ha presentato molte DSAR in un breve periodo.

La legislazione nazionale di ciascun Paese può anche prevedere eccezioni al "diritto di accesso". Ad esempio, l'Allegato 2 del Data Protection Act 2018 del Regno Unito prevede eccezioni limitate nelle seguenti aree:

• Criminalità e tassazione
• Immigrazione
• Sicurezza pubblica

In ogni caso, l'eccezione si applica solo in circostanze specifiche. Ad esempio, quando l'adempimento del DSAR pregiudica l'esito di un'indagine penale.

Migliori pratiche per gestire efficacemente le DSAR

Ecco alcuni suggerimenti per aiutare la vostra organizzazione a realizzare correttamente le DSAR:

• Implementare strategie di governance dei dati per mantenere i dati personali ben organizzati e accessibili.
• Fornite un modulo standardizzato o un portale web per la presentazione delle DSAR (ma ricordate che non potete obbligare l'interessato a usarlo).
• Fornire una formazione regolare sulla protezione dei dati per aiutare i dipendenti a riconoscere e facilitare le DSAR.
• Sviluppare una politica chiara e documentata per la gestione delle DSAR.
• Considerare l'utilizzo di un software specializzato per aiutare a tracciare e soddisfare le richieste di DSAR.
• Verificate l'identità dell'interessato se avete ragionevoli dubbi sulla sua identità, ma non chiedete un numero eccessivo di dati personali a scopo di verifica.
• Tenere aggiornati gli interessati durante l'intero processo e rispondere entro i termini obbligatori.
• Utilizzare una piattaforma di condivisione di file sicura per fornire i dati personali richiesti, ove opportuno.

Molte DSAR provengono da clienti insoddisfatti o da ex-dipendenti offesi. Gestire il processo di DSAR in modo utile ed efficiente può contribuire a migliorare l'impressione che l'interessato ha della vostra organizzazione. Al contrario, una gestione errata di una DSAR può causare danni alla reputazione e problemi legali.

Garantire la conformità e la trasparenza con un'efficace gestione delle DSAR

Il "diritto di accesso" è stato un modo cruciale per aiutare le persone a mantenere il controllo dei propri dati personali fin dalle prime leggi sulla protezione dei dati. 

Agevolare le DSAR è una parte importante della conformità al GDPR e tra gli obblighi più importanti dei responsabili del trattamento. È comprensibile che le persone si arrabbino se un responsabile del trattamento non rispetta le scadenze, non fornisce i dati personali o rifiuta una DSAR senza un motivo valido.

Grazie a una buona governance dei dati, a politiche di protezione dei dati chiare e a dipendenti ben informati e responsive , la vostra organizzazione può fare delle DSAR un'opportunità per costruire la fiducia dei clienti, evitando al contempo rischi legali e danni alla reputazione.

Risorse aggiuntive

• Information Commissioner's Office (ICO): Guida all'accesso ai soggetti
• Comitato europeo per la protezione dei dati (EDPB): Linee guida 01/2022 sui diritti delle persone interessate - Diritto di accesso
• Commissione irlandese per la protezione dei dati (DPC): Richieste di accesso soggetto: Guida per i responsabili del trattamento dei dati