L’EDPB ha reso noto di aver avviato la sua azione del cosiddetto Coordinated Enforcement Framework – CEF sul diritto di accesso ai dati per l’anno 2024.
In pratica, grazie a un framework coordinato si avrà un monitoraggio preciso delle Autorità di protezione dei dati europee con focus su quello che è uno dei diritti degli interessati previsto dal GDPR e sulla sua corretta implementazione.
Vediamo in dettaglio.
EDPB: avviata l’applicazione coordinata del diritto di accesso
Durante la seduta plenaria tenutasi lo scorso 28 ottobre 2023, l’EDPB ha individuato il diritto di accesso quale focus per la sua terza azione di esecuzione coordinata.
Semplifica e accelera il Customer Journey nel Retail con l’AI
Ciò in quanto è stato ritenuto un tema centrale in materia di protezione dati e, non di meno, uno dei diritti maggiormente invocati o meglio esercitati, sul quale, statisticamente, le Autorità di protezione dei dati ricevono molti reclami.
Cos’è e cosa implica il diritto di accesso
Il diritto di accesso, come noto, è previsto dall’art. 15, par. 1 GDPR e consiste nel diritto in capo all’interessato di ottenere dal titolare del trattamento la conferma che sia in corso o meno un trattamento dei dati personali che lo riguarda.
Di conseguenza, l’interessato ha il diritto di accedere ai propri dati personali raccolti ed elaborati nell’ambito di quel precipuo trattamento e di ricevere dal titolare del trattamento tutta una serie di informazioni ad esso correlate, al fine di capire come quei dati personali sono stati trattati, con quale finalità e come vengono utilizzati.
Nella fattispecie, il GDPR prevede che l’interessato abbia il diritto di conoscere:
- la finalità del trattamento;
- le categorie dei dati personali di cui il titolare è in possesso;
- i destinatari cui i dati sono stati o verranno comunicati, specificando in particolare se si tratta di soggetti che si trovano in Paesi terzi extra UE;
- il periodo di conservazione dei dati ove possibile ovvero i criteri cui il titolare fa riferimento per determinare tale durata.
Ancora, una volta esercitato questo suo ineludibile diritto, l’interessato può chiedere la rettifica o la cancellazione dei dati oppure la limitazione del trattamento medesimo e, infine, di opporsi allo stesso in quanto ritenuto illegittimo.
Ma non è tutto, l’interessato ha ancora il diritto di proporre un reclamo Garante privacy allorquando ritenga che vi sia stata violazione dei propri diritti o delle proprie libertà.
Non solo, sempre l’interessato (proprietario dei dati) ha diritto di sapere e di ottenere tutte le informazioni disponibili sull’origine dei dati nel caso in cui non siano stati raccolti presso l’interessato, ma ricevuti da soggetti terzi avendo prestato il consenso ovvero ottenuti tramite elenchi pubblici; e infine la logica di un eventuale processo automatizzato (profilazione). Il tutto deve essere comunicato dal titolare entro un mese dalla richiesta (fatta a titolo naturalmente gratuito).
Non poche sono, quindi, le informazioni che ha diritto di ottenere un interessato e da qui la centralità della tematica.
Le linee guida sul diritto di accesso
Ricordiamo che l’EDPB, nell’aprile 2023, ha adottato le Linee guida sui diritti degli interessati – Diritto di accesso al fine di aiutare le organizzazioni a rispondere alle richieste di accesso ai dati personali da parte dei soggetti interessati, in linea con i requisiti stabiliti dal GDPR.
Ciò al fine di valutare il modo in cui le stesse rispettino, nella pratica, questo diritto (di accesso).
Tramite questa iniziativa, le Autorità di protezione dei dati che parteciperanno potranno attuare il CEF in alcuni modi: tramite l’invio di questionari (check list) direttamente alle organizzazioni, onde facilitarne il ritorno in termine di accertamento dei fatti; oppure attraverso l’avvio di un’indagine formale; o ancora a seguito di indagini formali già in corso.
Risultanze del monitoraggio sull’attuazione del diritto di accesso
I risultati dell’iniziativa congiunta, si apprende dal comunicato dell’EDPB (divulgato anche dal GDPD) verranno analizzati “in modo coordinato e le Autorità di protezione dei dati decideranno eventuali ulteriori azioni di vigilanza e applicazione delle norme”.
Non solo, tutti queste risultante saranno aggregate generando da un lato una visione più approfondita della questione, e consentendo dall’altro un follow-up mirato a livello europeo.
All’esito del tutto, l’EDPB rende già noto che pubblicherà una relazione finale con le evidenze di questa analisi, a conclusione di tutte le azioni intraprese al riguardo.
Le precedenti CEF avviate dall’EDPB
Le CEF fanno quindi parte di tutta serie di azioni, e questa in parola rappresenta la terza iniziativa, che vengono svolte nell’ambito del quadro di applicazione coordinata (CEF) come da programma cui si rinvia.
Le precedenti azioni coordinate invece hanno esaminato, nel 2022 l’uso dei servizi cloud da parte del settore pubblico; mentre quella avviata nel 2023 ha riguardato la designazione e la posizione dei responsabili della protezione dei dati alle quali si rimanda, per completezza e se di interesse.
In conclusione
Lo scopo di queste iniziative è, quindi, chiaro ed evidente: semplificare l’applicazione e la cooperazione tra Autorità di protezione dei dati in ordine a quelle tematiche più cruciali, e non a caso avviene a livello europeo.
Non rimane che attenderne la conclusione per capire come si muoveranno di conseguenza le Autorità coinvolte.
Robot secondo l'IFR: le 5 tendenze che ne spingono l'adozione
@RIPRODUZIONE RISERVATA