Diritto di Accesso: motivazioni sanzione GPDP

Diritto di Accesso: motivazioni sanzione GPDP

Con il provvedimento n. 406 del 1° dicembre 2022 emesso dal GPDP viene sanzionata la società Amazon Italia Logistica s.r.l. per aver omesso il riscontro all’istanza di accesso presentata da un dipendente.

Le modalità per l´esercizio di tutti i diritti da parte degli interessati sono stabilite, in via generale, negli artt. 11 e 12 del regolamento.

Il termine per la risposta all´interessato è, per tutti i diritti (compreso il diritto di accesso), 1 mese, estendibili fino a 3 mesi in casi di particolare complessità; il titolare deve comunque dare un riscontro all´interessato entro 1 mese dalla richiesta, anche in caso di diniego.

Spetta al titolare valutare la complessità del riscontro all´interessato e stabilire l´ammontare dell´eventuale contributo da chiedere all´interessato, ma soltanto se si tratta di richieste manifestamente infondate o eccessive (anche ripetitive) (art. 12.5), a differenza di quanto prevedono gli art. 9, comma 5, e 10, commi 7 e 8, del Codice, ovvero se sono chieste più “copie” dei dati personali nel caso del diritto di accesso (art. 15, paragrafo 3); in quest´ultimo caso il titolare deve tenere conto dei costi amministrativi sostenuti. Il riscontro all´interessato di regola deve avvenire in forma scritta anche attraverso strumenti elettronici che ne favoriscano l´accessibilità; può essere dato oralmente solo se così richiede l´interessato stesso (art. 12, paragrafo 1; si veda anche art. 15, paragrafo 3).

La risposta fornita all´interessato non deve essere solo “intelligibile”, ma anche concisa, trasparente e facilmente accessibile, oltre a utilizzare un linguaggio semplice e chiaro.

Il titolare del trattamento deve agevolare l´esercizio dei diritti da parte dell´interessato, adottando ogni misura (tecnica e organizzativa) a ciò idonea. Benché sia il solo titolare a dover dare riscontro in caso di esercizio dei diritti (artt. 15-22), il responsabile è tenuto a collaborare con il titolare ai fini dell´esercizio dei diritti degli interessati (art. 28, paragrafo 3, lettera e) ).

L´esercizio dei diritti è, in linea di principio, gratuito per l´interessato, ma possono esservi eccezioni (si veda il paragrafo “Cosa cambia”). Il titolare ha il diritto di chiedere informazioni necessarie a identificare l´interessato, e quest´ultimo ha il dovere di fornirle, secondo modalità idonee (si vedano, in particolare, art. 11, paragrafo 2 e art. 12, paragrafo 6).

Sono ammesse deroghe ai diritti riconosciuti dal regolamento, ma solo sul fondamento di disposizioni normative nazionali, ai sensi dell´articolo 23 nonché di altri articoli relativi ad ambiti specifici (si vedano, in particolare, art. 17, paragrafo 3, per quanto riguarda il diritto alla cancellazione/”oblio”, art. 83 – trattamenti di natura giornalistica e art. 89 – trattamenti per finalità di ricerca scientifica o storica o di statistica).

E´ opportuno che i titolari di trattamento adottino le misure tecniche e organizzative eventualmente necessarie per favorire l´esercizio dei diritti e il riscontro alle richieste presentate dagli interessati, che – a differenza di quanto attualmente previsto – dovrà avere per impostazione predefinita forma scritta (anche elettronica). Potranno risultare utili le indicazioni fornite dal Garante nel corso degli anni con riguardo all´intelligibilità del riscontro fornito agli interessati e alla completezza del riscontro stesso [si vedano varie decisioni relative a ricorsi contenute nel Bollettino dell´Autorità pubblicato qui: doc. web n. 766652, e più recentemente, fra molti, doc. web n. 1449401 in materia di dati sanitari, ovvero doc. web n. 1290018 in materia di dati telematici].

Quanto alla definizione eventuale di un contributo spese da parte degli interessati, che il regolamento rimette al titolare del trattamento, l´Autorità intende valutare l´opportunità di definire linee-guida specifiche (anche sul fondamento delle determinazioni assunte sul punto nel corso degli anni: si veda in particolare la Deliberazione n. 14 del 23 dicembre 2004), di concerto con le altre autorità Ue, alla luce di quanto prevede l´Art. 70 del regolamento con riguardo ai compiti del Board.

Diritto di accesso (art. 15) prevede in ogni caso il diritto di ricevere una copia dei dati personali oggetto di trattamento.

Fra le informazioni che il titolare deve fornire non rientrano le “modalità” del trattamento, mentre occorre indicare il periodo di conservazione previsto o, se non è possibile, i criteri utilizzati per definire tale periodo, nonché le garanzie applicate in caso di trasferimento dei dati verso Paesi terzi.

Qui https://bit.ly/3x9O8BL le argomentazioni difensive formulate da Amazon e il confronto con le motivazioni dell’Autorità che ha comportato la sanzione di 20000 Euro