Il Regolamento Generale sulla Protezione dei Dati dell’UE (GDPR) garantisce alle persone il diritto di scoprire quali dati personali un’organizzazione (denominata responsabile del trattamento) possiede su di loro, inviando una richiesta di accesso ai dati da parte dell’interessato (DSAR). Questo diritto è dettagliato nell’articolo 15, “Diritto di accesso dell’interessato”.
Sebbene il GDPR sia in vigore da un po’ di tempo, molte organizzazioni sono ancora incerte sul fatto di essere conformi o meno a questo requisito di legge. In questo articolo, troverai le risposte alle domande più frequenti su DSAR, ed anche consigli utili su come gestire queste richieste in modo efficiente.
DSAR: domande frequenti
Che cos’è una richiesta di accesso dell’interessato? DSAR è una richiesta che un individuo fa per sapere quali dati hai raccolto su di lui. Il considerando 63 del GDPR afferma: “Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che lo riguardano e di esercitare tale diritto facilmente e a intervalli ragionevoli, per essere consapevole del trattamento e verificarne la liceità.”
In che modo le organizzazioni devono rispondere alle DSAR? Una persona che effettua una DSAR ha diritto a ricevere una conferma dell’avvenuta elaborazione dei propri dati personali, una copia di tali dati, l’informativa sulla privacy e informazioni supplementari.
Che cos’è un’informativa sulla privacy? Una nota sulla privacy è un documento legale che spiega chiaramente come vengono trattati i dati personali. Richiedendo informazioni sulla privacy, il GDPR mira ad aggiungere trasparenza nel trattamento dei dati personali e garantire che le organizzazioni non elaborino i dati all’insaputa di una persona o contro la loro volontà. Una nota sulla privacy non è la stessa di una politica sulla privacy. Una nota sulla privacy è un documento disponibile al pubblico, mentre una politica sulla privacy è un documento interno che dettaglia gli obblighi di privacy dell’organizzazione, le regole per l’elaborazione dei dati e le pratiche di sicurezza.
Quali dati supplementari dovrebbero essere forniti? Oltre a una copia dei loro dati personali, le organizzazioni devono anche fornire alle persone le seguenti informazioni:
- Le finalità del trattamento
- Le categorie di dati personali raccolti
- I destinatari o le categorie di destinatari con cui i dati personali sono comunicati o condivisi
- Per quanto tempo vengono conservati i dati personali
- Consulenza su diritti aggiuntivi, come il diritto di opporsi al trattamento; il diritto di richiedere rettifiche, cancellazioni o restrizioni; e il diritto di presentare un reclamo al Garante per la Protezione dei dati personali o ad un’altra autorità di controllo
- Dove hai ottenuto i loro dati se non li hai ottenuti direttamente dall’interessato
- L’esistenza di qualsiasi processo decisionale automatizzato
- Le misure di sicurezza messe in atto nel caso di trasferimento di dati personali a un paese terzo o a un’organizzazione internazionale
Quanto tempo hai per rispondere? Normalmente, è necessario rispondere a una DSAR entro 30 giorni dalla ricezione. Tuttavia, se la richiesta è complessa, è possibile richiedere un’estensione di due mesi, sebbene sia necessario spiegare il motivo del ritardo entro il periodo di 30 giorni originale.
Cosa succede se non si rispettano le scadenze? Il mancato rispetto di una richiesta di accesso ai dati entro 40 giorni può comportare multe significative e altre sanzioni regolamentari, nonché danni alla reputazione.
Come garantire la conformità
Le richieste di accesso dell’interessato stanno diventando sempre più comuni, quindi è fondamentale assicurarsi di poter rispondere prontamente. Il team di gestione della privacy e della compliance dovrebbe adottare le seguenti misure:
Nominare una persona responsabile. Se l’organizzazione elabora i dati personali dei residenti nell’UE regolarmente, sistematicamente e su larga scala, è necessario designare un responsabile della protezione dei dati (DPO), sia interno che esternalizzato. Questa persona funge da punto di contatto per gli interessati ed è responsabile della supervisione delle strategie di protezione dei dati dell’azienda per la conformità al GDPR.
Sviluppare linee guida per la gestione dei dati. Specificare chi può accedere a quali tipi di dati, dove ogni tipo di dati è conservato e per quanto tempo, quali documenti devono essere stampati e dove devono essere conservati, quali documenti possono avere una versione digitale, come i dati devono essere eliminati una volta non ne hai più bisogno e così via.
Individuare la base giuridica per il trattamento dei dati personali. Una volta che conosci quali dati regolamentati hai, devi determinare e documentare la base giuridica per elaborarli. Questo non è solo un esercizio per giustificare la memorizzazione di tutti i dati desiderati; devi assicurarti di avere un motivo legittimo per conservare i dati. Si noti che il semplice fatto di avere il consenso dell’interessato non è una giustificazione sufficiente per l’archiviazione e l’elaborazione dei dati.
Eseguire una valutazione del rischio regolare. La valutazione del rischio è una best practice sulla sicurezza che rafforzerà le tue difese e ti aiuterà a mantenere la tua azienda fuori dai guai. La gestione del rischio (Risk Management) ti consentirà di adattarti rapidamente ai mutevoli scenari normativi e informatici e di rafforzare la sicurezza delle tue informazioni critiche.
Automatizzare l’individuazione e classificazione dei dati. È necessario conoscere esattamente quali informazioni regolamentate sono disponibili e tali informazioni devono essere facilmente individuabili e accessibili. Il modo migliore per raggiungere questo obiettivo è attraverso l’individuazione e classificazione dei dati. Comprendere chiaramente quali dati sensibili archiviate è utile per qualcosa di più della semplice conformità: ti aiuterà anche a perfezionare i criteri di raccolta dei dati, ottimizzare lo spazio di archiviazione, migliorare i processi di gestione dei dati e favorire la produttività e il processo decisionale degli utenti.
Per sapere come puoi soddisfare le richieste dell’interessanto in modo rapido e efficiente con l’aiuto di Netwrix Data Classification, partecipa al webinar Netwrix del 4 giugno.