La corretta presa in carico della istanza di accesso ai sensi dell’art. 15 GDPR, sotto la lente del garante per la Protezione dei dati Personali.

Abstract

La corretta applicazione dell’art. 15 e dell’art. 12 del Regolamento (UE) 2016/679[1] (di seguito, “GDPR), comporta in capo al titolare del trattamento, l’obbligo di adottare una Procedura aziendale al fine di consentire alla propria organizzazione di gestire al meglio i casi relativi all’esercizio dei diritti da parte dei soggetti interessati.

Infatti, verificandosi tali ipotesi si rende necessario procedere in maniera tempestiva senza però tralasciare la compiutezza delle obbligazioni disposte dal legislatore comunitario.

Le Linee guida 1/2022 dello European Data Protection Board (EDPB) , sui diritti degli interessati – diritto di accesso.

Le Linee guida sopra richiamate[2] hanno disposto quanto segue:

Il diritto di accesso degli interessati è sancito dall’articolo 8 della Carta dei diritti fondamentali dell’Unione europea. Tale diritto fa parte del quadro giuridico europeo sulla protezione dei dati sin dagli inizi ed è stato ulteriormente sviluppato dalle norme più specifiche e precise contenute nell’articolo 15 del regolamento generale sulla protezione dei dati (GDPR). Finalità e struttura generale del diritto di accesso La finalità generale del diritto di accesso consiste nel fornire alle persone informazioni sufficienti, trasparenti e facilmente accessibili in merito al trattamento dei loro dati personali, in modo che esse possano essere consapevoli del trattamento e verificarne la liceità, anche per quanto riguarda l’esattezza dei dati trattati. Ciò renderà più agevole per le persone esercitare altri diritti, come il diritto alla cancellazione o alla rettifica, anche se non ne costituisce una condizione. Occorre distinguere il diritto di accesso previsto dalla normativa in materia di protezione dei dati da diritti analoghi con altri obiettivi, ad esempio il diritto di accesso ai documenti pubblici che intende garantire la buona pratica amministrativa e la trasparenza del processo decisionale delle autorità pubbliche. L’interessato non ha però l’obbligo di motivare la richiesta di accesso, e non spetta al titolare del trattamento valutare se la richiesta sarà effettivamente utile all’interessato per verificare la liceità del trattamento pertinente oppure per esercitare altri diritti. Il titolare del trattamento dovrà dar seguito alla richiesta, tranne nel caso in cui sia evidente che essa è stata presentata in base a norme diverse da quelle in materia di protezione dei dati. Il diritto di accesso si articola in tre elementi diversi:

 la conferma che sia o meno in corso un trattamento di dati personali riguardanti l’interessato;

 l’accesso a tali dati personali; e

 l’accesso alle informazioni concernenti il trattamento, come le finalità, le categorie dei dati e i destinatari, la durata del trattamento, i diritti dell’interessato e garanzie adeguate nel caso di trasferimenti in paesi terzi.

Nell’analizzare il contenuto della richiesta il titolare del trattamento deve valutare se essa riguardi dati personali della persona che presenta la richiesta, se la richiesta rientri nell’ambito di applicazione dell’articolo 15 e se esistano altre e più specifiche disposizioni che disciplinano l’accesso in un determinato settore. Deve valutare inoltre se la richiesta si riferisca a tutti i dati trattati relativi all’interessato oppure soltanto a parti di essi. Non vi sono requisiti specifici per il formato della richiesta. Il titolare del trattamento dovrebbe fornire canali di comunicazione semplici e appropriati, che l’interessato possa utilizzare senza difficoltà. L’interessato non è però tenuto a valersi di questi specifici canali e può invece inviare la richiesta a un punto di contatto ufficiale del titolare del trattamento. Il titolare del trattamento non ha però l’obbligo di dar seguito a richieste inviate a indirizzi del tutto casuali o apparentemente inesatti. Se il titolare del trattamento non è in grado di identificare i dati che si riferiscono all’interessato, ne informa quest’ultimo e può rifiutarsi di concedere l’accesso a meno che l’interessato fornisca ulteriori informazioni che consentano l’identificazione. Inoltre, se il titolare del trattamento nutre dubbi in merito all’effettiva identità dell’interessato, può richiedere ulteriori informazioni per confermarne l’identità. La richiesta di ulteriori informazioni dev’essere proporzionata al tipo di dati trattati, ai danni che potrebbero verificarsi, eccetera, per evitare un’eccessiva raccolta di dati. Ambito di applicazione del diritto di accesso L’ambito di applicazione del diritto di accesso è determinato dall’ambito di applicazione del concetto di dato personale di cui all’articolo 4, punto 1), GDPR. A parte i dati personali fondamentali come nome, indirizzo, numero di telefono, eccetera, in questa definizione può rientrare un ampio ventaglio di dati: referti medici, cronologia degli acquisti, indicatori di affidabilità creditizia, registri delle attività, attività di ricerca, eccetera.

I dati personali sottoposti a pseudonimizzazione sono ancora dati personali, al contrario dei dati anonimizzati. Il diritto di accesso riguarda i dati personali concernenti la persona che presenta la richiesta. Questa limitazione non dovrebbe essere interpretata in maniera eccessivamente restrittiva e può comprendere anche dati che potrebbero riguardare altre persone: ad esempio la cronologia delle comunicazioni comprendente i messaggi in entrata e in uscita. Oltre a fornire l’accesso ai dati personali, il titolare del trattamento deve comunicare ulteriori informazioni sul trattamento e sui diritti dell’interessato.

Tali informazioni possono basarsi sui dati che già appaiono nel registro delle attività di trattamento del titolare del trattamento (articolo 30 GDPR) e nell’informativa sulla privacy (articoli 13 e 14 GDPR). È tuttavia possibile che queste informazioni generali debbano essere aggiornate al momento della richiesta, o personalizzate per rispecchiare le operazioni di trattamento svolte in relazione alla persona specifica che presenta la richiesta. Come fornire l’accesso Le modalità di concessione dell’accesso possono variare in funzione della quantità di dati e della complessità del trattamento effettuato.

Salvo altrimenti specificato, si deve intendere che la richiesta si riferisca a tutti i dati personali concernenti l’interessato; il titolare del trattamento può chiedere all’interessato di precisare la richiesta qualora il trattamento riguardi una grande mole di dati. Il titolare del trattamento dovrà cercare i dati personali in tutti i sistemi informatici e in tutti gli archivi non informatici, sulla base di criteri di ricerca che rispecchino il modo in cui le informazioni sono strutturate, ad esempio il nome e il numero del cliente. La comunicazione dei dati e di altre informazioni concernenti il trattamento deve avvenire in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.

I requisiti più precisi a questo riguardo dipendono dalle circostanze del trattamento dei dati, nonché dalla capacità dell’interessato di cogliere e comprendere la comunicazione (occorre ad esempio tener conto del fatto che l’interessato sia un minore o una persona con bisogni speciali). Se i dati consistono in codici o altri “dati grezzi”, può rendersi necessario spiegarli affinché l’interessato sia in grado di comprenderne il senso.

La modalità principale per concedere l’accesso è quella di fornire all’interessato una copia dei suoi dati; si possono però prevedere altre modalità (come informazioni orali e accesso in loco) qualora l’interessato lo richieda. È possibile inviare i dati tramite posta elettronica, a condizione che si adottino tutte le garanzie necessarie tenendo conto, ad esempio, della natura dei dati; si possono prevedere anche altre modalità, ad esempio uno strumento self-service.

Talvolta, quando la mole dei dati è cospicua e sarebbe difficile per l’interessato comprendere le informazioni se queste fossero fornite in blocco – soprattutto in un contesto online – la misura più appropriata sarebbe un approccio stratificato. La comunicazione di informazioni in diversi strati può favorire la comprensione dei dati da parte dell’interessato. Il titolare del trattamento dev’essere in grado di dimostrare che l’approccio stratificato comporta un valore aggiunto per l’interessato e che, qualora l’interessato così scelga, tutti gli strati devono essere accessibili contemporaneamente. È opportuno fornire la copia dei dati e le ulteriori informazioni in forma permanente, come ad esempio un testo scritto, che potrebbe presentarsi in un formato elettronico di uso comune facilmente scaricabile da parte dell’interessato. I dati si possono fornire mediante trascrizione o in forma compilata, purché siano incluse tutte le informazioni e ciò non alteri né modifichi il contenuto delle informazioni.

La richiesta dev’essere soddisfatta il prima possibile e comunque al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. L’interessato deve poi essere informato dei motivi del ritardo. Il titolare del trattamento deve attuare le misure necessarie per dar seguito alle richieste il prima possibile, adattando tali misure alle circostanze del trattamento.

Qualora i dati siano conservati soltanto per un periodo molto breve, occorre adottare misure per garantire che sia possibile soddisfare la richiesta di accesso senza che i dati siano cancellati durante il trattamento della richiesta. Qualora il trattamento riguardi un’ingente mole di dati, il titolare del trattamento dovrà predisporre procedure di routine e meccanismi adeguati alla complessità del trattamento.

La valutazione della richiesta dovrebbe rispecchiare la situazione del momento in cui il titolare del trattamento ha ricevuto la richiesta. Si dovranno fornire anche dati che potrebbero essere inesatti o trattati illecitamente. Non si possono fornire dati che siano già stati cancellati, ad esempio ai sensi di una politica di conservazione, e pertanto non sono più disponibili al titolare del trattamento. Limiti e limitazioni Il GDPR consente alcune limitazioni al diritto di accesso.

Non esistono altre esenzioni o deroghe. Il diritto di accesso non prevede riserve generali in materia di proporzionalità per quanto riguarda l’impegno che il titolare del trattamento deve profondere per soddisfare la richiesta dell’interessato. A norma dell’articolo 15, paragrafo 4, il diritto di ottenere una copia non deve ledere i diritti e le libertà altrui.

A parere dell’EDPB occorre prendere in considerazione tali diritti non soltanto quando si concede l’accesso fornendo una copia, ma anche quando si fornisce l’accesso ai dati con altri mezzi (ad esempio accesso in loco).

L’articolo 15, paragrafo 4, non è però applicabile alle ulteriori informazioni sul trattamento di cui all’articolo 15, paragrafo 1, lettere da a) a h). Il titolare del trattamento dev’essere in grado di dimostrare che i diritti o le libertà altrui sarebbero lesi nella situazione concreta. L’applicazione dell’articolo 15, paragrafo 4, non dovrebbe portare a respingere totalmente la richiesta dell’interessato; dovrebbe portare soltanto a omettere o rendere illeggibili le parti che potrebbero ledere i diritti e le libertà altrui.

L’articolo 12, paragrafo 5, GDPR consente ai titolari del trattamento di respingere le richieste manifestamente infondate o eccessive, o di addebitare un contributo spese ragionevole per tali richieste. Tali concetti si devono interpretare in senso stretto. Dal momento che esistono pochissimi prerequisiti per le richieste di accesso, l’ambito di applicazione che consente di considerare una richiesta manifestamente infondata è alquanto limitato. Il carattere eccessivo di una richiesta dipende dagli aspetti specifici del settore in cui opera il titolare del trattamento. Quanto più frequenti sono le modifiche alla banca dati del titolare del trattamento, tanto più frequentemente l’interessato potrà chiedere l’accesso senza che ciò sia considerato eccessivo.

Anziché rifiutare l’accesso, il titolare del trattamento può decidere di addebitare un contributo spese all’interessato. Tale decisione sarebbe pertinente soltanto in caso di richieste eccessive, allo scopo di coprire i costi amministrativi che potrebbero derivare da tali richieste.

Il titolare del trattamento dev’essere in grado di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.

Anche il diritto nazionale degli Stati membri può limitare il diritto di accesso ai sensi dell’articolo 23 GDPR e delle deroghe ivi contenute. I titolari del trattamento che intendono valersi di tali limitazioni devono controllare attentamente i requisiti delle disposizioni nazionali e tener conto delle eventuali condizioni specifiche applicabili.

Tali condizioni possono prevedere che il diritto di accesso subisca soltanto un ritardo temporaneo o che la limitazione si applichi soltanto ad alcune categorie di dati.

Il caso

Il Garante per la Protezione dei Dati Personali (di Seguito, “Il Garante”) ha adottato un Provvedimento[3] in relazione ad un reclamo presentato da un dipendente di una società che aveva presentato una istanza di accesso formulata ai sensi dell’art. 15 del Regolamento UE 679/2016, e di aver ricevuto un riscontro inidoneo.

In particolare, con la suddetta istanza la reclamante ha chiesto di accedere ai propri dati personali e, in particolare, “di ottenere […] una copia degli stessi mediante la consegna del registro delle presenze sul posto di lavoro riguardanti l’entrata e l’uscita rilevate mediante badge magnetico durante l’intero rapporto di lavoro tra la sotto scritta e il titolare”.

La Società ha dato riscontro alla richiesta della reclamante, confermando la ricezione della richiesta e la predisposizione della “documentazione necessaria per evaderla”. La stessa Società aggiungeva che non appena tale documentazione fosse stata pronta, avrebbe provveduto a contattare la reclamante per “la presa visione presso il nostro punto vendita”.

La Società non ha però più fornito alcun riscontro all’interessata.

Il Garante in fase istruttoria ha chiesto alla Società di fornire osservazioni in ordine ai fatti oggetto di reclamo, nonché ad aderire all’istanza di esercizio dei diritti avanzata dalla reclamante.

La Società ha riscontrato l’invito del Garante affermando quanto segue: “purtroppo non abbiamo modo di recuperare i report, delle presenze in questione, dal gestionale, perché, se non contestate nel mese dall’emissione della busta paga, vengono cancellate. Il consulente del lavoro ci ha comunque comunicato che le ore riportate in busta paga corrispondono a quelle da badge verificate con il riepilogo che la dipendente XX ha compilato mensilmente per l’elaborazione di quanto dovuto. Per tanto con la presente si conferma che fa fede la busta paga che ha le ore mensili contabilizzate.”

Con successiva comunicazione il titolare ha dichiarato: “Ho sentito il software house che gestisce il mio gestionale in parafarmacia, mi hanno risposto oggi dicendomi che facendo una query nei loro terminali possono forse recuperare una parte dei dati richiesti per quanto riguarda la signora XX. Mi dovrebbero inviare il tutto entro domani”.

Il Garante ha comunicato l’avvio del procedimento, ai sensi dell’art. 166, comma 5, del Codice,[4] in relazione alla violazione degli artt. 12, par. 3[5], e 15[6] del Regolamento.

L’esito dell’istruttoria e del procedimento per l’adozione dei provvedimenti correttivi e sanzionatori.

All’esito dell’esame delle dichiarazioni rese all’Autorità nel corso del procedimento nonché della documentazione acquisita, risulta che la Società, in qualità di titolare del trattamento, ha effettuato alcune operazioni di trattamento, riferite al reclamante, che risultano non conformi alla disciplina in materia di protezione dei dati personali.

In proposito si evidenzia che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell’art. 168 del Codice “Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante”[7].

Nel merito, è emerso che la Società non ha dato riscontro all’istanza di esercizio dei diritti, presentata dal reclamante ai sensi dell’art. 15 del Regolamento, e che, solo a seguito della presentazione del reclamo e dell’apertura dell’istruttoria da parte del Garante, è stato consentito l’accesso ai dati personali e alle ulteriori informazioni riferite al rapporto di lavoro intercorso con la parte. L’adempimento è dunque avvenuto circa due mesi oltre la scadenza del termine previsto dal Regolamento.

Non è infatti possibile considerare la nota del …, con la quale la Società ha informato la reclamante rispetto alla predisposizione della “documentazione necessaria”, come una richiesta di proroga ai sensi dell’art. 12, par. 3 del Regolamento.

Infatti, l’art. 12, par. 3, del Regolamento prevede che “il titolare del trattamento [debba fornire] all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa” e che, benché tale termine possa essere “prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste”, il titolare del trattamento è pero tenuto a informare l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta.

Per giunta, lo stesso art. 12, par. 3 specifica anche che se “l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato”.

Ebbene, la Società il … ha riscontrato l’istanza della Sig.ra XX, confermando la predisposizione della documentazione necessaria per la sua evasione e dichiarando che non appena tale documentazione fosse stata pronta, avrebbe provveduto a contattare la reclamante per la presa visione presso punto vendita. Ciò, in quanto, secondo quanto rappresentato, “la Società avrebbe potuto fornire all’interessata solo la documentazione cartacea riguardante la registrazione delle presenze mediante sottoscrizione, che tuttavia non era stata oggetto di richiesta. Questo è il motivo per cui la Società ha proposto all’interessata l’eventuale consultazione dei documenti in presenza”.

Tuttavia, nella nota poi inviata all’interessata non è stata fatta alcuna menzione al fatto di volersi avvalere della proroga prevista dall’art. 12, par. 3 del Regolamento, né è stata fornita alcuna motivazione del ritardo nel riscontro della richiesta di esercizio dei diritti.

Stando a quanto dichiarato, la Società si trovava impossibilitata, per motivi tecnici, a dar seguito alla richiesta dell’interessata, dovendosi rivolgere al proprio fornitore di soluzioni informatiche al fine di recuperare i dati e le informazioni oggetto dell’istanza in questione. Ciò si evince anche dalla comunicazione del …, dalla quale risulta che la Società aveva avviato un’iniziativa interna volta a recuperare i dati e dare riscontro alla reclamante.

Tuttavia, soltanto a seguito dell’intervento dell’Autorità, la Società ha effettivamente recuperato i dati richiesti e ha riscontrato, seppur tardivamente, l’istanza di esercizio dei diritti formulata dall’interessata.

Sulla base delle suesposte ragioni la Società ha pertanto violato i principi di trasparenza e correttezza (v. art. 5, par. 1, lett. a) del Regolamento) e, in particolare, l’obbligo di fornire un riscontro intelligibile e facilmente accessibile (art. 12 del Regolamento) all’istanza di accesso presentata ai sensi dell’art. 15 del Regolamento, contenente tutte le specifiche informazioni richieste dall’interessato con riferimento alle categorie di dati allo stesso riferiti trattati dal titolare.

Conclusioni: dichiarazione di illiceità del trattamento. Provvedimenti correttivi ai sensi dell’art. 58, par. 2, del Regolamento.

Per i suesposti motivi, l’Autorità ritiene che le dichiarazioni, la documentazione e le ricostruzioni fornite dal titolare del trattamento, nel corso dell’istruttoria, non consentono di superare i rilievi notificati dall’Ufficio con l’atto di avvio del procedimento e che risultano pertanto inidonee a consentire l’archiviazione del presente procedimento, non ricorrendo peraltro alcuno dei casi previsti dall’art. 11 del Regolamento del Garante n. 1/2019.

Risulta, quindi, accertato che la condotta posta in essere dalla Società, con riferimento al mancato riscontro all’istanza di accesso presentata dal reclamante, risulta infatti illecito, nei termini su esposti, in relazione agli artt. 12, par. 3, e 15 del Regolamento.

Preso tuttavia atto di tutti gli elementi acquisiti nel corso dell’istruttoria, in particolare tenuto conto del carattere colposo della violazione, dell’assenza di precedenti violazioni pertinenti e della condotta complessivamente tenuta dalla Società che, pur non essendo tecnicamente in grado di recuperare i dati all’interno del proprio software gestionale al momento della richiesta formulata da parte dell’interessata in data …, ha fornito un primo riscontro, seppur non esaustivo, all’interessata in breve tempo e ha successivamente recuperato i dati richiesti presso il fornitore del software, si ritiene che il caso possa essere qualificato come “violazione minore” ai sensi dell’art. 83, par. 2[8] e cons. 148 del Regolamento.

Tenuto inoltre conto che, ai sensi del considerando 148 del Regolamento, “in caso di violazione minore o se la sanzione pecuniaria che dovrebbe essere imposta costituisse un onere sproporzionato per una persona fisica, potrebbe essere rivolto un ammonimento anziché imposta una sanzione pecuniaria”, si ritiene sufficiente ammonire il titolare del trattamento ai sensi dell’art. 58, par. 2, lett. b), del Regolamento.

Si rappresenta, inoltre, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

[1] REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

[2] Link: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_it

[3] Provvedimento del 14 novembre 2024 – Registro dei provvedimenti n. 677 del 14 novembre 2024 – [doc. web n. 10091206]

[4] Art. 166 (Criteri di applicazione delle sanzioni amministrative pecuniarie e procedimento per l’adozione dei provvedimenti correttivi e sanzionatori

(omissis)

5. L’Ufficio del Garante, quando ritiene che gli elementi acquisiti nel corso delle attivita’ di cui al comma 4 configurino una o piu’ violazioni indicate nel presente titolo e nell’articolo 83, paragrafi 4, 5 e 6, del Regolamento, avvia il procedimento per l’adozione dei provvedimenti e delle sanzioni di cui al comma 3 notificando al titolare o al responsabile del trattamento le presunte violazioni, nel rispetto delle garanzie previste dal Regolamento di cui al comma 9, salvo che la previa notifica della contestazione non risulti incompatibile con la natura e le finalita’ del provvedimento da adottare. Nei confronti dei titolari del trattamento di cui agli articoli 2-ter, comma 1-bis, e 58 del presente codice e all’articolo 1, comma 1, del decreto legislativo 18 maggio 2018, n. 51, la predetta notifica puo’ essere omessa esclusivamente nel caso in cui il Garante abbia accertato che le presunte violazioni hanno gia’ arrecato e continuano ad arrecare un effettivo, concreto, attuale e rilevante pregiudizio ai soggetti interessati al trattamento, che il Garante ha l’obbligo di individuare e indicare nel provvedimento, motivando puntualmente le ragioni dell’omessa notifica. In assenza di tali presupposti, il giudice competente accerta l’inefficacia del provvedimento

[5] Articolo 12 Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato (C58-C60, C64)

(omissis)

3. Il titolare del trattamento fornisce all’interessato le informazioni relative all’azione intrapresa riguardo a una richiesta ai sensi degli articoli da 15 a 22 senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta stessa. Tale termine può essere prorogato di due mesi, se necessario, tenuto conto della complessità e del numero delle richieste. Il titolare del trattamento informa l’interessato di tale proroga, e dei motivi del ritardo, entro un mese dal ricevimento della richiesta. Se l’interessato presenta la richiesta mediante mezzi elettronici, le informazioni sono fornite, ove possibile, con mezzi elettronici, salvo diversa indicazione dell’interessato.

[6] Articolo 15 Diritto di accesso dell’interessato (C63, C64)

1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:

a) le finalità del trattamento;

b) le categorie di dati personali in questione;

c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;

d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;

e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;

) il diritto di proporre reclamo a un’autorità di controllo;

g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;

h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.

2. Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.

3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.

4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.

[7] Art. 168 (Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante)

1. Salvo che il fatto costituisca piu’ grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, e’ punito con la reclusione da sei mesi a tre anni.

2. Fuori dei casi di cui al comma 1, e’ punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un’interruzione o turba la regolarita’ di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.

[8] Articolo 83

Condizioni generali per infliggere sanzioni amministrative pecuniarie (C148, C150-C152)

(omissis)

2. Le sanzioni amministrative pecuniarie sono inflitte, in funzione delle circostanze di ogni singolo caso, in aggiunta alle misure di cui all’articolo 58, paragrafo 2, lettere da a) a h) e j), o in luogo di tali misure. Al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l’ammontare della stessa in ogni singolo caso si tiene debito conto dei seguenti elementi:

a) la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l’oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;

b) il carattere doloso o colposo della violazione;

c) le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;

d) il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;

e) eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;

f ) il grado di cooperazione con l’autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;

g) le categorie di dati personali interessate dalla violazione;

h) la maniera in cui l’autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;

i) qualora siano stati precedentemente disposti provvedimenti di cui all’articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;

j) l’adesione ai codici di condotta approvati ai sensi dell’articolo 40 o ai meccanismi di certificazione approvati ai sensi dell’articolo 42; e

k) eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

Articoli

Categorie

Eli e Sofi: le gemelle virtuali influencer.

MARKETING: team interno vs outsourcing

Fundraising: cos’è e come nasce. Tutti i modi per fare fundraising.

L’utilizzo di sistemi di Intelligenza Artificiale in ambito lavorativo.

Il Responsabile della Conservazione Digitale: gli obblighi in capo agli enti pubblici ed ai soggetti privati.

Propaganda elettorale: Garante, no all’uso dei dati dei pazienti

Il Garante dà l’ok al nuovo sistema di fatturazione elettronica per gli operatori sanitari che andrà in vigore dal 1° gennaio 2026.

L’autenticità dei dati, quale ulteriore criterio – insieme alla riservatezza, alla integrità e alla disponibilità – per determinare il livello di sicurezza di una organizzazione.

Il Governo della Intelligenza Artificiale Generale: visto dall’altra sponda dell’Oceano. Come delineare un profilo di rischio per il futuro.

La necessità di una Governance per i sistemi di Intelligenza Artificiale.

La Determinazione 164179 del 14 aprile 2025, ACN con le specifiche di base per l’adempimento agli obblighi previsti dagli articoli 23, 24, 25, 29 e 32 del decreto NIS.

La minaccia cibernetica al settore sanitario: ACN gennaio 2023 – marzo 2025

L’istituzione scolastica e la pubblicazione di foto degli alunni su un social network senza il consenso degli alunni.

La corretta presa in carico della istanza di accesso ai sensi dell’art. 15 GDPR, sotto la lente del garante per la Protezione dei dati Personali.

About Author / Davide De Luca

Una guida alla governance delle migliori pratiche per la sicurezza digitale e la relativa gestione del rischio, ad uso delle organizzazioni; pubblicata dalla Governance Institute of Australia.

Le campagne malevole del 2024: pubblicato il report del CERT-AGID

Lascia un commento Annulla risposta

Articoli

Categorie

La corretta presa in carico della istanza di accesso ai sensi dell’art. 15 GDPR, sotto la lente del garante per la Protezione dei dati Personali.

About Author / Davide De Luca

Una guida alla governance delle migliori pratiche per la sicurezza digitale e la relativa gestione del rischio, ad uso delle organizzazioni; pubblicata dalla Governance Institute of Australia.

Le campagne malevole del 2024: pubblicato il report del CERT-AGID

Lascia un commento Annulla risposta

Potrebbe piacerti