La gestione del tempo nei riscontri agli interessati esprime l’accountability
Con il provvedimento n. 250 del 29 aprile 2025, l’Autorità Garante per la protezione dei dati personali ricorda l’importanza di svolgere una continua attività di controllo e riesame delle procedure adottate dal titolare per la gestione delle richieste di esercizio dei diritti degli interessati.
Il caso affrontato nel corso dell’istruttoria ha avuto origine da un reclamo presentato da parte di un lavoratore, il quale aveva formulato una richiesta d’accesso relativa ai propri dati personali “trattati dalla Società nell’ambito del rapporto di lavoro”. Dopo una prima risposta inviata entro i termini con cui erano state inviate una parte delle informazioni, il titolare aveva dunque richiesto “ulteriori delucidazioni per individuare puntualmente le informazioni da rendere”.
Nonostante le precisazioni ricevute e i successivi solleciti, si è giunti ad un riscontro completo solo dopo l’intervento del Garante, che ha portato alla contestazione della violazione degli artt. 12 par. 3 e 15 GDPR, rispettivamente relativi alla tempestività del riscontro e all’esercizio del diritto di accesso.
Il fatto di aver adottato e documentato in corso di istruttoria misure aggiuntive per migliorare l’efficacia della gestione delle richieste di esercizio dei diritti “volte a evitare il ripetersi di analoghe situazioni” e “in maniera indipendente dal fenomeno di sovraccarico lavorativo” sono stati elementi attenuanti, ma non esimenti dalla responsabilità derivante dall’inadeguatezza della procedura in essere le cui criticità sono emerse proprio in seguito ai fatti accertati nel corso dell’istruttoria.
L’aspetto della gestione delle tempistiche di riscontro è stato affrontato in modo specifico all’interno del provvedimento, citando le Linee guida EDPB 1/2022 sui diritti dell’interessato per fornire alcuni chiarimenti circa l’efficacia delle procedure. La premessa è che fornire il riscontro entro un mese dev’essere la regola, mentre la proroga fino ad ulteriori due mesi costituisce un’eccezione “tenuto conto della complessità e del numero delle richieste”.
Ovviamente, con l’onere del titolare di doverlo comunicare e ovviamente, nel caso in cui vengano avanzate contestazioni a riguardo, di essere in grado di comprovare che tale circostanza si sono realizzate in concreto. Questo comporta che farne uso come mera ipotesi astratta non è ammissibile ma anzi costituisce un abuso a riguardo. Inoltre, qualora si faccia troppo spesso ricorso ad una proroga del termine, questo è un indicatore dell’inadeguatezza della procedura predisposta e di conseguenza è necessario svilupparla ulteriormente aggiungendo ulteriori misure per garantirne l’efficacia.
Nel caso oggetto del provvedimento, le difese secondo cui il ritardo era stato causato da “un errore umano, dovuto alla contingenza nella quale si trovava la Società nel periodo di presentazione della richiesta integrativa e dei solleciti (…) che ha comportato un aggravio del carico di lavoro sulle risorse interne, nonché alcune sostituzioni delle risorse presenti”, non hanno comunque consentito di superare le contestazioni e i profili di illiceità rilevati. Il motivo è facilmente intuibile: se già il sovraccarico lavorativo (c.d. overburn) dev’essere contemplato nell’analisi dei rischi, l’elemento di contesto di una trasformazione dell’assetto organizzativo ne rende necessario un aggiornamento al fine di predisporre misure di mitigazione aggiuntive a riguardo. Misure che, si ricorda, devono però essere preventive.
In generale, una mancata, incompleta o non corretta gestione dei rischi è e resta in capo all’organizzazione. Nello specifico, se coinvolge procedure rilevanti come quella di riscontro all’esercizio dei diritti degli interessati, viene meno l’accountability dell’organizzazione che si esprime nella costante capacità di comprovare l’adempimento dele prescrizioni in materia di protezione dei dati personali.
Alla libertà d’azione senza formalismi propria dell’accountability corrisponde però la responsabilità inderogabile di svolgere una continua valutazione di adeguatezza delle misure adottate. Le modalità di controllo sono rimesse alla scelta dell’organizzazione, potendo spaziare da uno stress test della procedura a un riesame calendarizzato.
